8:51
17/1/2012

Są takie chwile, kiedy potrzebujemy dostępu do naszego GMaila (lub innej usługi od Google), ale mamy obawy, że na komputerze z którego chcemy skorzystać jest zainstalowany keylogger i ktoś mógłby przechwycić nasze hasło (np. kawiarenka internetowa, uczelnia, etc.).

Google Sesame – logowanie bez hasła, kodem QR

Rozwiązaniem problemu może być Sesame – nowa usługa Google. Wystarczy udać się pod ten adres – https://accounts.google.com/sesame i zrobić zdjęcie kodowi QR, który ukaże się na ekranie naszego telefonu. Zdjęcie można wykonać dowolną aplikacją do rozpoznawania kodów QR (np. Google Goggles).

google sesame qr code

QR Kod uwierzytelniający w Google - zdjęcie wykonane aplikacją Google Goggles

QR kod przekieruje nasz telefon na odpowiednią stronę należącą do Google, gdzie potwierdzimy chęć zalogowania się:

google sesame login

Google Sesame - potwierdzenie chęci zalogowania z niezaufanego komputera

I tyle! Na komputerze zostaniemy automatycznie zalogowani do naszego GMaila. Oczywiście na telefonie, którym robimy zdjęcie kodowi QR powinniśmy być zalogowani do Google (aktywna sesja) — jeśli nie jesteśmy, w telefonie trzeba będzie zalogować się z hasłem.

Pamiętajcie tylko:

  • “Niezaufany” komputer może także robić screenshoty, a więc czytać Waszą pocztę. Jeśli macie dostęp do internetu w telefonie, lepiej więc korzystajcie z telefonu do czytania poczty…
  • Zawsze warto korzystać z różnych haseł do różnych serwisów.
  • Google daje także możliwość logowania za pomocą SMS — wystarczy włączyć podwójne uwierzytelenienie (tutaj opis jak to zrobić). Dzięki temu nasze konto będzie bezpieczne, nawet jeśli ktoś “przechwyci” nasze hasło (np. keyloggerem), ale nie uda mu się ukraść naszego telefonu. No i ta metoda ma jeszcze jeden plus — działa bez “internetu” na naszym telefonie.

P.S. Ciekawe kiedy pojawią się pierwsze phishingi z tym mechanizmem…

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Ten link (do “sesame”) przydałby się na stronie logowania googla, bo obawiam się, że kiedy będzie mi już ten mechanizm potrzebny, będę przeszukiwał w pośpiechu archiwum Niebezpiecznika żeby sobie przypomnieć jak to się nazywało ;) Przy okazji może było by trudniej o jakiś phishing.

  2. Rozwiązanie ciekawe, działa.. Z tym, że do pełni szczęścia brakuje:

    – Linka na stronie logowania Google
    – Aplikacji na telefon, która korzystałaby z aktualnie zalogowanego konta (Android)

    • Linka nie ma bo beta
      Co do Aplikacji, jest Google Goggles …albo dowolna inna, która czyta qr kody + dowolna przeglądarka. Jesteś zalogowany w przeglądarce na Androidzie? Tyle wystarczy.

    • No właśnie nie jestem zalogowany :) Poza tym korzystam z dwuetapowej autentykacji co powoduje, że w przeglądarce telefonu muszę wpisywać hasło + kod sms.. No ale to beta :) Miejmy nadzieję, że będzie lepiej.

    • @Pawel Użyj “Hasła aplikacji” dostępne w ustawieniach weryfikacji dwuetapowej

    • @Krzysztof, nie za bardzo rozumiem co moga tutaj pomoc “Hasla aplikacji”. Mozesz rozjasnic?

    • @Paweł: Korzystasz z dwuetapowej… że co?

  3. Po zalogowaniu w ten sposób, sesja Google w telefonie i na komputerze, do którego się logujemy zostają powiązane. Wylogowanie się na komputerze kończy również sesję w telefonie. Wylogowanie w telefonie nie zakończy jednak sesji na komputerze.

  4. “ukaże się na ekranie swoim telefonem”
    hmm … :)
    A odnośnie działania, to możecie przybliżyć, bo nie do końca zrozumiałem algorytm uwierzytelniania:
    1. logujemy się na gmaila na telefonie
    2. wchodzimy na ten kod na komputerze
    3. robimy zdjecie telefonem
    i co dalej? Telefon rozpoznaje kod i przesyła potwierdzenie na serwer, że maszyna na której kod został wyświetlony jest powiązana z danym kontem?

  5. na stronie sesame jest teraz tak:

    Hi there – thanks for your interest in our phone-based login experiment.
    While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.

    Stay tuned for something even better!

    Dirk Balfanz, Google Security Team.

    • No cóż, jak napisałem, Sesame nie jest w niczym lepszy od 2 factor authenticatinon. Bardziej widowiskowy może i tak, ale oprócz tego ma wady (wymaga internetu w komórce + możliwość ciekawego phishingu z racji nowatorskiego podejścia).

    • Zepsuli… a takie fajne było…

  6. Wada – telefon z aparatem i internet w telefonie(znam osobe, co ze wzgledow “bezpieczenstwa”(wirusy itp) kozysta z nokii 3310…

    Imho kody sms + zmiana hasla po uzyciu takiego komputera powinna wystarczac. (phishing i keyloggery zawsze beda…)

  7. Co to za czytnik QR kodów na iPhone?

  8. Ładnie to tak RickRoll’ować czytelników? :D

    • Zastanawiałem się, kogo diabeł podkusi ;)

    • Dobre, serio. :)
      Aż zeskanowałem kod, mimo, że artykuł przeglądałem na komórce… (dla potomnych – wystarczy pobrać obrazek z kodem, a następnie wysłać go do aplikacji Google Goggles)

  9. Zastanawiam się nad sensem wyjmowania telefonu, odpalania appki, klikania na linka i czekania zamiast po prostu wklepania hasła na kompie.
    Plusem za to jest to że chociaż keylogger nie podsłucha, robienie screenshotów też nic nie da póki user nie kliknie na zalogowanym telefonie. Tyle że jak mamy keyloggera to pewnie ma też dostęp do naszych ciasteczek i połowy systemu ;]

    • Ale ciasteczko wygasa wraz z naciśnięciem “wyloguj”.

  10. Usługa już nie działa:)

  11. Co do phishingu pewnie pojawi się dość szybko :)

    • No właśnie brakowało mi w sekcji “Pamiętajcie tylko:” uwagi o phishingu. Skoro jest ryzyko keylogger’a(a mówimy tu tylko o takim użyciu) to równie dobrze może być aplikacja która wygeneruje i podmieni kod QR na swój z podstawioną stroną.

      Natomiast mam dużo lepsze wykorzystanie tego mechanizmu(choć nie niweluje to żadnego problemu) można by go używać do logowania się w “kioskach” gdzie często nie ma klawiatury.

    • Przecież jest uwaga o phishingu :)

  12. Szkoda, że podwójne logowanie w gmail ma pewną wadę. Sms-y od jakiegoś miesiąca w ogóle nie przychodzą na komórkę. Trzeba potwierdzić poprzez połączenie telefoniczne i mieć nadzieję, że nie włączy się automat- kobieta, bo jeśli jest rano trudno nadążyć za tym co mówi, chyba że ktoś już kawę wypił. Mówię o sieci PLAY. Na inne sieci sms-y do podwójnego logowania przychodzą bez problemu

    • Play jest dość nowa na rynku. Kwestia czasu, a będzie wszystko grało.

  13. takie QR powinno byc jednorazowe jesli mialo by to wypalic = )

  14. Ukradli pomysl TIQR? https://tiqr.org/

  15. Ciekawe kiedy to bede takie kody QR lamac nasze hasla;)

  16. Zamiast samoprzylepnych karteczek z hasłami w pokoju pani Krysi i Halinki monitory będą oblepione fotkami QR…

  17. Fajna strona się otwiera po zeskanowaniu tego kodu co jest na niebezpieczniku:)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.