情報セキュリティにある程度精通している男性であるため、この決定について意見を述べることにしました。 その実現可能性と最も重要なのは信頼性についていくつかの疑問があります。 この問題に関するハバロフスクの住民の意見も知りたい。
データはGCM(Google Cloud Messaging)を介して交換されます。 通知がユーザーのデバイスに送信され、アカウントに入るためにそれを受け入れる必要があります。 もっと学ぶことに興味がある人はここで読むことができます 。
実際、この革新について世界に情報を提供したRohit Paulによれば、このシステムは2要素認証の原則に基づいて機能します。 まず、ユーザーはスマートフォンにログインする必要があり(最初の要因)、その後のみゴーグルから通知を受け入れてアカウントを入力できます(2番目の要因)。
しかし、私はこれに同意しません。 結局のところ、このスキームにはいくつかの「しかし」があります。
- このような認証の2要素の方法を検討するのは誤りです。「はい」ボタンをクリックすると、ユーザーは実際には1つの要素(電話所有権の要素)のみを確認するからです。 2番目の要素(パスワードの知識要素)は、システムによってチェックされません。 2要素認証では、2つの異なる要素を同時に使用する必要があります-知識要素と、2番目の要素である所有または生体認証です。 2FAの重要な考え方は、1つの要因の欠点が別の要因の利点と重なるということです。
- スマートフォンがロックされている、紛失している、または単にアクセスできない場合、ユーザーは通常のユーザー名とパスワードを入力するオプションがあります。 つまり、2番目の要素は必要ありません。 攻撃者がこの抜け穴を悪用し、プロセス全体を単純なパスワード入力に減らすのを防ぐには何が必要ですか? そして、フィッシング、ソーシャルエンジニアリング、ブルートフォースなどを使用してパスワードを既に見つけています。 ハッカーにとっては大きな問題ではありません。
- 実際、このような技術革新はアカウント保護で状況を著しく悪化させる可能性があります。攻撃者はパスワードを選択するか、スマートフォンでウイルスを実行するかを選択できるためです。 Androidスマートフォンの87%が脆弱であり、iOSの脆弱性に関するニュースはしばしばスキップされると主張する統計を思い出します。
ユーザーデータの保護を強化するために、GoogleによってテストされたGCMチャネルを介した信号伝送を備えた新しい認証システムは、明らかに作成されていません。 このスキームは、ユーザーがボタンを1つ押すだけで済むため、ログインプロセスを簡素化するのに適しています。 それから私は同意します、それは便利で、ほとんどのユーザーはそれを好むでしょう、なぜならすべての人は本質的に怠け者だからです。
しかし、データ保護の問題に責任がある場合は、私の意見では、そのような認証方法を拒否し、ワンタイムパスワードで2FAを使用する方が良いでしょう。 現在、ワンタイムパスワードを生成するための無料アプリが多数あります。 同じGoogle認証システム、またはMicrosoft、Dell、ATSolution、Authentry、Protectimusなどの他のモバイル認証システム。 ほとんどすべてを試してみましたが、そのうちの1つを使用します。これには、Google認証システムと比べて多くの利点があります。 一般的なソーシャルネットワークでの認証にそれらを使用する方法。 ネットワークとそれらの優れた点については、別の記事で説明します。