21:42
20/9/2010

Niebawem logowanie do GMaila będzie wymagało, oprócz podania hasła, odczytania również kodu przesłanego SMS-em na telefon komórkowy. Dwuskładnikowe uwierzytelnienie w usłudze pocztowej Google’a zasługuje na zachwyt, bo często nie posiadają go nawet banki…

2 składnikowe uwierzytelnienie

Podwójne uwierzytelnienie (ang. 2 factor authentication) jest stosowane przy dostępie do krytycznych pod względem bezpieczeństwa usług (np. bankowość internetowa). Z reguły jest to token kryptograficzny albo “karty zdrapki” — w przypadku Google będzie to SMS lub kod generowany przez specjalną aplikację na komórkę.

Google (GMail) 2 factor authentication

2-składnikowe uwierzytelnianie w Gmailu

Usługa ma zapobiec kradzieży kont, ale zapewne pomoże również ochronić GMaila przed masowym zakładaniem “spamerskich” skrzynek na GMailu (nie oszukujmy się, CAPTCHA przy rejestracji to dziś nie jest wielki problem).

System na darmowych skrzynkach ma wejść w życie na przestrzeni najbliższych miesięcy — płatni użytkownicy usług Google’a mogą z niego już korzystać. Usługa jest darmowa i opcjonalna.

A co jak zgubię telefon?

Google oferuje również możliwość wygenerowania 5 jednorazowych kodów, które pozwolą na dostęp do konta (i zmianę numeru telefonu), w przypadku gdy zgubimy komórkę lub chwilowo nie będziemy mieli do niej dostępu.

Zastanawiam się tylko jak będzie z dostępem po POP3 i IMAP? Czyżby szykowało się jakieś rozszerzenie do protokołu? Google wspomina o udostępnieniu podwójnego uwierzytelniania jako otwartego standardu…

Przeczytaj także:


76 komentarzy

Dodaj komentarz
  1. wow! :)

  2. Może chodzi o to, że np. jak zależy mi na większym bezpieczeństwie to wyłączam POPa, wyłączam IMAPa, a włażę tylko przez webaccess korzystając z 2 factor authentication.

  3. i takaż też była moja reakcja, Tomku.

  4. Taaa, wielki brat czuwa i chce mój numer telefonu.

    • @remix: lrn2read — oprócz kodu z SMS-em jest możliwość skorzystania z aplikacji na telefon, nie musisz podawać numeru telefonu ;)

    • Tak, a aplikacja będzie grzecznie służyć tylko do autoryzacji, akurat!

  5. Nie cieszcie się za wcześnie, nie wiadomo czy będzie obsługa polskiej sieci komórkowej

  6. Rozumiem, że taki dostęp będzie tylko do np. zmiany hasła i innych ‘krytycznych’ ustawień, tak ? Czy może za każdym razem, jak się będę chciał na pocztę zalogować, to będę musiał hasło sms odczytywać i przepisywać ?

  7. Aplikacja do generowania kodów jest dostępna w App Store pod nazwą “Google Authenticator”. Jest też na Androida i BlackBerry.

    W moim (płatnym) apps nie widzę opcji do włączenia tego.

  8. Mi to się nawet podoba. Google ma dość dobre kontakty z operatorami bo jako jedyny chyba portafi wysłać powiadomienie z kalendarza do GaduAir :) Tzn. pewnie korzysta z usług jakieś firmy oferującej SMS-Premium ale działa to bardzo dobrze, sms’y przychodzą niemal że natychmiast :)

  9. @glucik
    Polskie sieci raczej działają. Przy resecie hasła można wysłać token resetu na ustawiony wcześniej numer telefonu. Wiem bo sam z tego skorzystałem i działało.

  10. @glucik – skoro bez problemów przysyłają SMSy z Google Calendar i rejestrują konto na Google App Engine z użyciem polskich numerów to czemu tu miałoby być inaczej?

  11. @glucik – na dzień dzisiejszy Google Calendar wysyła bez problemu powiadomienia smsem na polskie numery – więc myślę, że również i tutaj nie będzie problemu

  12. @Dawid: kwestia dogadania się z Polkomtelem i Google ma od razu GaduAir, mBank mobile etc. Hasło na dziś – Mobile Virtual Network Operator, MVNO ;)
    Co do tematu: nie widzę na moim koncie do rejestracji w (niektórych) serwisach internetowych konieczności podwójnej identyfikacji. Nawet jak stracę maila i wszystkie konta z nim powiązane to nic się nie stanie.

  13. Przetestowane, działa.

  14. Trochę spamuję po forum – ale właśnie zauważyłem, że po włączeniu 2 factor auth jednak przez popa na iphone nie mogę ściągnać poczty ;)

  15. “@remix: lrn2read — oprócz kodu z SMS-em jest możliwość skorzystania z aplikacji na telefon, nie musisz podawać numeru telefonu ;)” – Piotr Konieczny

    Ciekawe kiedy obejdą tą aplikację – to chyba niewielki problem przerzucić coś z fona na kompa a później emu i heja :D

  16. No to mam problem. Telefony całej rodziny mają przekroczone limity na GMailu, jak nie wyzerują, to będzie niefajnie :/

  17. Nie masz telefonu (w ogóle/pod ręką) = nie masz gmaila? Dziwne posunięcie. A na głupiego użytkownika i “10-factor authentication” nie pomoże, i tak się nabierze na phishing. Chyba żadne zabezpieczenia nie zastąpią odpowiedniej edukacji. A od sms-ów wolałbym jakieś certyfikaty (chociażby wydawane przez google).

  18. Byle nie działało to jak potwierdzające SMSy z kodem z Fuj-Zbuka, na które czekałem dwa dni.

  19. Poznają mój numer telefonu i będą wysyłać SMSy z reklamami :D haha to ja może podziękuję już i tak dostaje o wiele za dużo tego spamu SMSowego….

  20. Już widzę jak ktoś na polibudziastym koncie grupy ćwiczeniowej to włącza i odcina wszystkich od zadań z materiałów. a taki w każdej grupie się znajdzie;p

  21. @would

    Rozwalił mnie myk ze wspólnym kontem mailowym dla całego roku do wymiany informacji jak się. Jakby nie można było załorzyć bez problemu zamkniętej listy mailingowej ;))

  22. By slac SMSy nie potrzebuja sie dogadywac z nikim w polsce (chyba ze chca miec wysoki priorytet w sieciach jak banki) ;) wystarczy ze maja dogadane to z jakims opem i moga slac na caly swiat bo wymiana miedzy opami jest bez oplat.

  23. @Tygrysek: bez przesady, od dwóch lat korzystam z powiadomień sms-owych w Google Calendar, i jakoś żadnego spamu z tego tytułu mi nie przybyło.

  24. @ktos/@would: Polibuda i nie potrafią więcej niż jednej skrzynki pocztowej założyć?

  25. Ciekawi mnie jak szybko złamią aplikację do generowania kodów i zrobią sobie keygena z muzyczką .xn w podkładzie :P

  26. *8bitową muzyczką w .xn w podkładzie – niech ktoś uprawniony scali będę wdzięczny.

  27. @piotr:
    na informatyce SGGW tez tak robia ;D
    jak ma dzialac ta aplikacja na telefon?

  28. @jurek ogórek
    Pewnie jak token – tylko zamiast “breloczka” mamy aplikacje.
    Tak mnie teraz naszło, a co z XMPP (czy jak kto woli GTalk?). Też będzie nowa procedura weryfikacji? Za każdym uruchomieniem komunikatora tez będzie trzeba generować kod? W sumie fajnie ;p

  29. Apropo polibudy… nie wiem na jakim wydziale, ale przynajmniej na infie w życiu o takim fetyszu nie słyszałem. Powiedziałbym wręcz, że jest dość sporo innych sposobów na przekazywanie materiałów (niezależnie od tego czy tych ‘oficjalnych’, czy też tych mniej…). Chociaż w sumie może i faktycznie gdzieś kiedyś słyszałem o takim czymś na jakiejś innej uczelni.

  30. Ta polibuda to Politechnika Warszawska. Wydział inżynierii środowiska i wydziały mechatroniki itp podobno też. w praktyce wygląda to tak: przychodzi sobie ćwiczeniowiec, mówi gościowi, żeby założył konto na gmailu i podał wszystkim hasło i login i potem tam wszystko leci. Dla mnie też to paranoja. To samo robią na prawie na UW. Najgorzej jak trafi się idiota, który doda konto do outlooka/thunderbirda i nie skonfiguruje tak, żeby zostawiał oryginał na serwerze. Taki potrafi uwalić całą grupę na zajęciach kiedy nikt nie zrobi pracy na geometrię wykreślną. (Tak głąbie jeśli to czytasz to wiedz, że nadal jestem wk..wiony…)

    • @would: załamałeś mnie z tym outlookiem ;-)

  31. Nie chcialbym zbaczac zbyt mocno z tematu ale skrzynka mailowa dla calej grupy na studiach to dosyc powszechne rozwiazanie.
    Rozwiazanie ktore przy okazji niesie pewne zagrozenia: http://www.wykop.pl/link/201933/jestes-studentem-masz-maila-grupowego-uwazaj-18/ [NSFW]
    no ale to temat na zupelnie inna dyskusje.

  32. Generalnie pomysl fajny – ale zeby nie bylo to uciazliwe w korzystaniu wartaloby wprowadzic pare “poziomow” bezpieczenstwa, np.:
    – dla korzystajacych ze stalego IP, mozliwosc wylaczenia autoryzacji sms dla danego IP
    – samo powiadamianie smsem o zalogowaniu (dla mnie to by wystarczylo) + mozliwosc wyslania sms do googla, ktory by skutkowal odcieciem tej sesji
    – autoryzacja sms tylko do “account settings” – czyli zmiany hasla, ustawien POP3, itd.

    @would: gmail ma chyba opcje dot. POP3/IMAP “archive downloaded msgs” – powinno dzialac niezaleznie od klientow pocztowych…

  33. @would ustawiasz skrzynkę, żeby pozostawiał kopię na serwerze a nie program pocztowy to raz. Dwa jest ciekawszy pomysł adekwatnie mailowania – jest takie cuś jak np. googlegroups czy inne grupy dyskusyjne. Mówię o google groups bo moja grupa wykładowa taką założyła. Też dostajesz e-mail mniej więcej w tym schemacie: “nazwa-grupy”@googlegroups.com więc można go podać wykładowcy, info o nowych wiadomościach dostajesz po zapisaniu się do grupy na maila (o ile chcesz ofc, bo można nie dostawać).

  34. chyba och**eli – podam im numer telefonu a potem zamiast spamerskich reklam od orange będę dostawać jeszcze spam reklamy od wuja gógla, który to w regulaminie na bank coś o tym będzie mieć – niestety chyba nadszedł czas rozglądać się za inną skrzynką mailową

    gmail używam bo jest wygodny, dobrze mi filtruje spam i ma dobrą wyszukiwarkę (używam poczty tylko przez www) ale jak ten SMS wprowadzą to mówię im “dobranoc!”

  35. Również otrzymuję smsy od Googla(calendar) i jakoś nie zauważyłem, aby został numer użyty do niecnych celów. Niewątpliwie w przyszłości taka baza numerów może posłużyć np. …serwowaniu reklam sieci X użytkownikom sieci Y. ;)

    Google zbiera wiele informacji, ale ja jestem zadowolony jednak z ich pracy. Przede wszystkim dlatego, że mam czystą i darmową pocztę. Praktyki m.in. interii i wp uważam za nieetyczne, dokładają swoje reklamy do każdego wysłanego maila… i bombardują nas -użytkowników gmaila- śmieciami ukrytymi w mailach od innych.

  36. A po co mają coś udostępniać, jako rozszerzenie do protokołu. Przecież większość korzysta z interfejsu www, a jak ktoś nie korzysta to może sobie to 2auth wyłączyć.
    Zastanawiam się tylko co z pozostałymi usługami Google?

  37. Wydaje mi się, że Google nie tyle chce się zabezpieczyć przed nieautoryzowanym dostępem do usług, co przed nieautoryzowaną zmianą ich ustawień czyli w praktyce – jego przejęcia. Taka praktyczna implementacja postulatu ponownego uwierzytelnienia/autoryzacji operacji, które coś zmieniają.

  38. @gadulix Pozostawienie kopii na serwerze jest ustawiane w obu miejscach. Google daje tu więcej opcji niż większość innych serwerów, ale jeżeli na kliencie będzie, żeby usuwało to ustawienie na serwerze nic nie zmieni (chyba).

  39. Jak już wielu pisało – calendarowi podałem numer, spamu niet.
    Co do sms-ów – IMHO styknie, jeśli zmiana ustawień będzie zabezpieczana sms-em.
    Co do IMAP/POP/XMPP – może się pokuszą o możliwość ustawienia różnych haseł per usługa. Miałem tak na swoim serwerze – SSH/POP/IMAP/SMTP/webmail/FTP – miałem możliwość ustawienia dla każdego usera innego hasła na każdą usługę.
    Wspólne konta – porażka. O ile pamiętam to nawet większość regulaminów zabrania takich rzeczy. Do takich rzeczy zakłada się albo prywatne forum albo listę mailową.

  40. najgłupsze w tym wspólnym adresie email jest to, że ktoś może wysłać głupiego maila do wykładowcy z adresu “grupy” i wszyscy mają przewalone bo ciężko dojść kto to tak faktycznei zrobił-były już takie sytuacje.

    Dla mnie podwójna autentykacja to zbyt duży wysiłek-nie będzie mi się chciało przepisywac kodów i pewnei szybko to wyłącze. Chociaż dla firm, do krytycznych kont to fajny feature.

  41. hehe, tyle danych naszych maja, jeszcze im numer telefonu brakuje ;d

  42. @Mariusz
    “jeszcze im numer telefonu brakuje”
    W tej chwili nie da się założyć chyba konta na gmailu bez podania numeru telefonu

  43. … albo pobierze MacAddress i będzie
    Cię śledzić :) I podsyłać adekwatne reklamki.
    Pozdrawiam raz jeszcze!

  44. P.S. Powinni mi za to płacić :)

  45. Ekstra, teraz google będzie o mnie wiedzieć już prawie wszystko. Email – bo to pewne, że zaglądają do skrzynek, geo – bo XSS im to umożliwia i teraz jeszcze nr telefonu – żeby móc mnie namierzyć w każdym momencie…. Myślę, że nawet Orwell złapałby się za głowę.

  46. Jeśli tak zrobią, to stracą wielu użytkowników i tyle… (chyba że będzie to jako opcja)
    Nie wyobrażam sobie przepisywać jakieś durne kody przy każdym logowaniu na skrzynkę. Jeśli by coś takiego zrobili, bez możliwości wyłączenia, to natychmiastowo się przenoszę gdzieś indziej. Niech sobie znajdą inny sposób radzenia ze spamerami.

  47. @Norbert – bo dotychczas mieli tylko twoje maile, lokalizacje i wyniki wyszukiwania, nie? Bez paranoi, spamu nie ma i jakoś nie wierzę, żeby nagle zaczęli wysyłać.
    @wojtekm – A po adresie IP nie idzie dojść do tego kto to wysłał?

  48. would: dostep to popa da sie wylaczyc w gmailu ;]

  49. @Anon – softtokeny i zabezpieczenia wykorzystujące hasła SMS pokazali jak złamać i to nasi rodzimi spece. Polecam url od znajomego z banku, podobno krąży tam od kilku tygodni: http://www.prevenity.com/pl/zasoby-konferencja-IBS-2010.html

    po obejrzeniu przerzucilem sie z powrotem na zdrapki :] a swoja droga zdziwiony jestem, ze nie dotarlo to jeszcze do niebezpiecznika

  50. @Piotr Konieczny
    kajam się… po pracy przeczytam

    @Sergi zależy od serwera, jeśli ktoś wysyła korzystając z webowego dostępu do poczty, to zdaje się, że w nagłówkach znajdzie się tylko ip serwera, no chyba że serwer dołączy ip logowania. Można też prześledzić historię logowań.

    Ale czy wyobrażasz sobie takiego wykładowcę, który poleca gmaila jako formę kontaktu grupy jak przeszukuje logi serwera i nagłówki poczty, żeby znaleźć winowajcę?

    Poza tym uważajcie też na korzystanie z takiego grupowego gmaila i wyszukiwanie czegoś. Domyślnie jest włączona “Historia wyszukiwania” i można się dowiedzieć jakie fetysze kręcą kolegów z grupy.

  51. @wojtek – To też prawda, bo to wszystko wynika z lenistwa. U mnie stosowane było publiczne FTP z materiałami i wszyscy byli szczęśliwi.
    “…można się dowiedzieć jakie fetysze kręcą kolegów z grupy….” Znasz z autopsji? ;)

  52. znam ze “słyszenia”
    http://www.wykop.pl/ramka/201933/jestes-studentem-masz-maila-grupowego-uwazaj-18/

  53. Post: “(…)System na darmowych skrzynkach ma wejść w życie na przestrzeni najbliższych miesięcy — płatni użytkownicy usług Google’a mogą z niego już korzystać. Usługa jest darmowa i opcjonalna.(…)”

    @hydralisk [“(…)Jeśli tak zrobią, to stracą wielu użytkowników i tyle… (chyba że będzie to jako opcja)(…)”].

    Przeczytaj ostatnie słowo cytowanego akapitu i znajdź powiązanie słów “opcja” i “opcjonalna”.

  54. @piotr:
    co do “autentykacji”, skoro jestes takim purystą jezykowym, to zmien “rozpocznij dyskusje jako pierwszy”, na “rozpocznij dyskusje”. w obecnej formie jest to blad jezykowy (pleonazm). to tak jakbys napisal “podskoczylem do gory”, albo “cofnalem sie w tyl” :P

  55. @ Piotr Konieczny
    obawiam się że jednak chodzi szpiclom o nr telefonu, ja kilka dni temu próbowałem założyć skrzynkę na gmailu i nie dało rady bez podania nr telefonu

  56. Hmm, great, inwigilacji wujka Googla ciąg dalszy.

  57. Ciekawe czy to wejdzie w brandowanym gmailu typu. Gazeta.pl. Konto na Gazecie to de facto Gmail z tym, że login do gazetowego konta jest też loginem do forum.

  58. A nie mozna wylaczyc?

  59. Jeszcze lepiej – jak sie logowalem z incognito to poprosili mnie o drugiego maila albo komoreczke jakbym zapomnial hasla. A przy kolejnej probie nie dostalem prosby o odczytanie kodu z sms-a.

  60. Google AdSense w SMSach!

  61. ale głupota, jak dla mnie google spying …i wogóle strata czasu
    to dobre chyba dla ludzi mających hasło takie jak hasło , qwerty, lub qazwsx1…

    @art ja miałem lepiej, po miesiącu sie loguje bo MUSIAŁEM cos wysłac a tu pyk, podaj nr bo inaczej nie wejdziesz na skrzynkę…
    oczyywiscie swojego nie dałem ;)

  62. @Tomko – jakoś umknęło mi to wcześniej :)

    No tak to proszę bardzo, myślałem że na siłę to ludziom chcą wcisnąć.

  63. @Tommy: Myślisz, że zdrapki, “szachownice” i listy kodów jednorazowych są bezpieczniejsze? Niespodzianka – nie są. Są tylko podatne na nieco inne ataki. Boisz się malware na telefonie komórkowym? A co każe Ci sądzić, że Twój komputer jest bezpieczniejszy? Wiesz jakie cuda może zrobić malware na nim? Przy kodach SMS czy tokenach challenge-response masz szansę w pewnym zakresie zweryfikować parametry realizowanej transakcji, przy kodach “papierowych” – nie wiesz jaką transakcję w rzeczywistości realizujesz.

    Z dwojga złego wolę ograniczać skutki ewentualnego posiadania malware na stacji roboczej i korzystać z kodów SMS. Oczywiście, to podejście będzie musiało się zmienić w przyszłości, gdy malware na telefonach komórkowych będzie równie pospolity jak na komputerach. Na razie prawdopodobieństwo tych zdarzeń jednak trochę różni się od siebie.

  64. @wojtekm – mieliście debila admina na tej grupie dyskusyjnej bo domyślnie opcja wysyłania maila za pomocą adresu grupy jest wyłączona, że odznaczył to już wasz problem :D

  65. Wiadomo jak ktoś ma malware na komputerze, czy telefonie, to nic nam nie pomoże. Jednak smsy można przechwycić nawet i bez żadnego malware’u. Za jakieś $1000-1500 można najzwyczajniej w świecie podszyć się pod stacje przekaźnikową (np. open hardware) i tyle – jeśli będziemy dostatecznie blisko ofiary, jej telefon wybierze naszego BTSa jako, że będzie mieć mocniejszy sygnał :) (robimy coś w stylu man in the middle) Wtedy to my będziemy decydować, którego smsa przekazać ofierze, a którego nie… możemy nawet wysłać ofierze fałszywego smsa, czy też zadzwonić z dowolnego numeru, więc jeśli chodzi o telefony możliwości są jeszcze większe.

  66. poprawcie te herezje – na chwile obecna to jest opt-in w google apps.

    • Kwpolska: a gdzie w poście jest napisane, że to nie jest opt-in? lrn2read: “Usługa jest darmowa i opcjonalna.”

  67. @hydralisk: W zasadzie masz rację. Diabeł tkwi w szczegółach. Zwracam uwagę na “drobną” różnicę w zysku z ataku masowego wykorzystującego malware na stacjach roboczych i hipotetycznego (targetowanego) ataku, o którym piszesz. No i jeszcze koszty oraz ryzyko. Malware na komputerach można posadowić z zupełnie innego krańca świata. Przechwytywać komunikację GSM (między BTS i telefonem komórkowym, nie mówię o ataku na infrastrukturę operatora) już nie. Jeśli chcemy wchodzić w ataki targetowane, to przekraczamy granice “zdrowej paranoi”. Oczywiście, można sobie wyobrazić próby zdalnego klonowania kart SIM w poniedziałek w porannym pociągu Kraków-Warszawa. Cały czas jednak dużo (podkreślam jeszcze raz DUŻO) bardziej prawdopodobnym zdarzeniem jest ten wspomniany malware na stacji.

    I tak, zdaję sobie z tego sprawę: http://imgs.xkcd.com/comics/conditional_risk.png :)

  68. @Piotr Konieczny: możesz waść już pisać szkielet artykułu, powiedzmy.. styczeń-luty 2011, proponuję temat:
    miliony numerów komórek użytkowników Gmaila wyciekły do __________*, chaos w telekomunikacji
    * – tu wpisać nazwę serwisu.
    :)

  69. Googlowe kody SMS działają już od jakiegoś czasu, także na polskie numery telefonów. Pierwszy raz spotkałem się z nimi podczas zakładania kont na Gmail.com. Jak na razie jeszcze mnie nie spamują.

  70. Jeśli chodzi o dostęp do Gmaila przez POP3 lub IMAP (lepiej ustawić IMAP) to po ustawieniu 2-składnikowego uwierzytelniania istnieje możliwość wygenerowania specjalnego hasła dla aplikacji nie obsługujących takiego uwierzytelniania. Przypomina ono serial do programów i wpisuje się go do ustawienia konta Gmaila zamiast dotychczasowego hasła.

  71. W komercyjnych systemach renomowanych producentów, jak na przykład SafeNet, wykorzystuje się jedną frazę hasła połączoną z wygenerowanym jednorazowo kodem.
    Daje to taki sam efekt, jak wpisanie najpierw jednego, a potem drugiego w osobnym okienku. Myślę, że tędy również powinno podążyć Google chcąc wprowadzić Two-Factor auth w obrębie całego swojego królestwa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: