otwarta kłódka przy klawiaturze
31

Google też już nie ufa SMS-om do dwuskładnikowego uwierzytelniania

Dwuskładnikowe uwierzytelnianie, to jedno z najlepszych i najbezpieczniejszych obecnie metod na logowanie się do popularnych serwisów. Możemy w ten sposób logować się na konta Google, Microsoft czy na Facebooka i Twittera. Większość serwisów udostępnia dwie metody dodatkowego uwierzytelniania, albo poprzez kody SMS albo poprzez kody w aplikacji, czy to przez Google Authenticator czy podobną aplikację od Microsoftu.

Autoryzacja poprzez kody SMS odchodzi już jednak powoli do lamusa, głównie poprzez dziury w protokole SS7. Dostrzegają ten problem banki, które coraz częściej udostępniają autoryzacje płatności poprzez powiadomienia push w swoich aplikacjach mobilnych do bankowości. Tak jest już w mBanku czy ING Bank Śląski.

Dostrzega to również Google i od tego tygodnia będzie namawiał użytkowników, zarówno Androida jak i iOS do zastąpienia kodów SMS, autoryzacją poprzez powiadomienia w telefonie.

dwuetapowe uwierzytelnienie logowania google

Jak ta funkcja działa? Podczas logowania na konto Google, będzie przychodziło powiadomienie na ekranie Waszego telefonu, musicie potwierdzić wtedy chęć zalogowania na telefonie, by proces logowania był skuteczny.

W przypadku Androida, opisywałem Wam już tę funkcję, przy okazji mojego „odkrycia” jej w lutym tego roku. Jeśli jeszcze nie dostaliście takiego monitu, możecie sami ją włączyć na stronie weryfikacji dwuetapowej.

weryfikacja dwuetapowa ustawienia google

Jeśli jej nie włączycie, Google od tego tygodnia będzie rozsyłał Wam prośby o przejście na tą metodę, w sytuacji gdy będziecie akurat korzystali z kodów SMS.

dodaj telefon do dwuetapowej weryfikacji

W przypadku użytkowników iOS, muszą najpierw zainstalować aplikację Google z App Store. Po jej zainstalowaniu również mogą sami aktywować tę funkcję na podanej wyżej stronie lub czekać na zaproszenie do niej od Google.

iphone logowanie do google z innego komputera

Funkcja, jak najbardziej użyteczna, nie musicie przepisywać kodów z SMS-a czy nawet z aplikacji. Wystarczy potwierdzić chęć zalogowania na swoje konto z poziomu powiadomień na swoim telefonie. No i co najważniejsze, bezpieczniejsza od kodów przepisywanych z SMS-a.

Źródło.

Zdjęcie główne – Pixabay.

  • Kmil

    Yahoo ma to już od tak dawna… Powolne Google ;/

    • Google funkcję tę też ma od dawna, teraz chce aby wszyscy na nią przeszli, zamiast kodów SMS

    • gom1

      Google funkcję tę też ma od dawna, teraz chce aby wszyscy na nią przeszli

      Mam nadzieję, że kodów generowanych w aplikacji nie ruszą. Wolę ten sposób autentykacji.

    • Nie sądzę, zwłaszcza, że apkę tę wykorzystać można w innych serwisach

    • Piotr Potulski

      Raczej zostaną, ale te powiadomienia są o tyle lepsze, że w całości korzystają z osobnego kanału komunikacji. Dodatkowo jest to zwyczajnie wygodniejsze.

    • gom1

      Korzystałem przez chwilę, wróciłem do aplikacji. Wydaje mi się ona bezpieczniejsza – żeby uruchomić apkę z kodami (Authy) muszę podać PIN. Dodatkowa warstwa security nie zawadzi – w końcu i tak muszę wziąć smartfona do ręki :-)

    • Ymnytor

      Wydaje mi się, że Google kiedyś mi proponowało porzucenie apki z kodami na rzecz powiadomień, ale na razie nie zmieniłem, bo w apce mam podłączone też inne usługi np. facebooka i wolę mieć wszystko razem.

    • Jarek

      Nie porzucą. Kody działają off-line, push wymaga połączenia z Internetem. Poza tym push wymaga bycia zalogowanym na dane konto Google na danym urządzeniu, a nie każdy ma na to ochotę (chociażby na kilka kont, albo konta prywatne i służbowe, a jeden telefon i nie ma ochoty logować się na oba. Kody działają bez logowania). No i OATH jest standardem obsługiwanym nie tylko przez Google Authenticator i nie tylko przez Google.

  • Monika Stępień

    Niestety nie zawsze działa to dobrze. Czasami po kliknięciu nic się nie dzieje i trzeba wysłać SMS-a.
    Cały czas czekam na logowanie za pomocą finger prints lub coś bardziej sensownego.
    Oby nie pysk, bo tapeta czas ma inny kolor :P

    • U mnie działa cały czas za każdym razem, wcześniej na Androidzie, teraz na iOS, ale rozbawiłaś mnie drugą częścią:)

    • Ile razy wy podajecie te kody? U mnie zapamietuje maszyne na ktorej sie logowalem i wiecej nie pyta. Uzywam aplikacji ‚Authenticator plus’ czyli – rozumiem – ze nie dostane zadnego powiadomienia.

    • Monika Stępień

      Na tablecie Samsung t585 nigdy to nie działa, zupełnie jakby przycisk „tak” był nieaktywny.

      S8 ma problemy z makijażem…

  • m

    Mogli by przy okazji zacząć nie tylko zachęcać korzystających z weryfikacji do zmiany metody, ale wszystkich do włączenia jej w ogóle. Gdyby taka firma jak google zaczęła ostrzej reklamować dwuetapową weryfikację ogólny poziom bezpieczeństwa w internecie by się podniósł.

  • lgawe1994 ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    Czy działa to bez Internetu?

    • Janusz

      Kody generowane przez apk’e tak, potwierdzenie przyciskiem nie.

  • raj0

    Tylko że to jest metoda autentykacji wyłącznie dla tych, którzy maja smartfony.
    A ja nie mam (i nie chcę), a z pewnych wzgledów musze korzystać z konta Google z dwuskładnikowa weryfikacją (to niestety nie moja decyzja, gdyby to ode mnie zależało to chętnie bym 2FA wyłączył). Ciekawe co będzie, jak Google stwierdzi, że już całkiem rezygnuje z SMS-ów…

    • Jest jeszcze opcja recznego wpiasania tzw. backup codow. Przy ustawianiu 2FA dostajesz ich dziesiec.

    • gom1
    • vaG

      O tym samym pomyślałem. Również muszę korzystać w pracy ze służbowego konta Google z dwuskladnikową weryfikacją + 10 innych zabezpieczeń (uroki korpo). Kłopot w tym, że już smartfona służbowego nie dali tak więc ani apki do weryfikacji nie włączę, tym bardziej powiadomień push, zostają smsy. Owszem – ja sobie poradzę – apkę mam na prywatnym telefonie, dorzucić kolejne konto to żaden problem. Ciekawe co zrobią inne osoby w ogóle nie obeznane w dzisiejszym świecie technologicznym… Przecież samo logowanie i wpisywanie jakiś haseł to już dla nich czarna magia ;)

  • isaakPL

    Proste i wygodne

  • A

    A co w przypadku kont domenowych?

    • Jarek

      W przypadku logowania sfederowanego przez SAML (na przykład Microsoft ADFS) Google ZTCP w ogóle nie oferuje 2FA, to rola dostawcy tożsamości. Co ma sens.
      2FA można włączyć dla kont umożliwiających zarówno logowanie sfederowane (z sieci firmy), jak i przez Google (z reszty Internetu, wykorzystywane gdy IdP jest dostępny tylko z sieci firmowej). Ale wtedy też 2FA nie jest wykorzystywane jak uwierzytelnia zewnętrzny IdP.

      Przynajmniej kiedyś tak było (sprawdzałem ~2 lata temu).

  • astek

    ” […] prośby o przejście na tą metodę, w sytuacji gdy będziecie akurat korzystali z kodów SMS.” Tę metodę.

  • Patrick Serevco

    Opcja wlaczona od wczoraj. Zastanawiam sie teraz czy w ogole usunac opcje kodow SMS z mojego konta. Co polecacie?

    • Ja bym zostawił, nie przeszkadza, a czasem może się przydać, ustaw tylko jako domyślną pusha

    • Patrick Serevco

      Samo sie ustawilo na domyslne jak tylko wlaczylem. Dzieki :)

  • gf

    Nie działa to zbyt dobrze gdy używamy zestawu apple watch + iphone. Na zegarku pojawia się info o próbie logowania bez możliwości zatwierdzenia, a na telefonie nie ma żadnego monitu (bo pojawił się na zegarku).
    Trzeba pamiętać przy logowaniu aby telefon był odblokowany, wtedy monit pojawi się na telefonie a nie na zegarku.
    Prosta rzecz a zepsuli tak, że łatwiej już przepisać kod SMS.

  • Mono25

    Dzięki temu artykułowi zachąciłeś mnie do włączenia weryfikacji dwuetapowej. Naprawdę.

  • Driggooziz

    W końcu. SMSy weryfikujące są cholernie irytujące.

    • fgt

      Ja wolę SMSy bo odbieram na zegarku lub komputerze a w przypadku tego typu weryfikacji muszę sięgać po telefon