Теперь у Google появился новый способ включить двухфакторную аутентификацию: использовать ваш телефон в качестве почти эквивалента физического ключа безопасности.
Вы уже должны быть знакомы с двухфакторной аутентификацией: как правило, вы защищаете веб-приложение, такое как Gmail, не только вводя пароль, но и предоставляя второе средство аутентификации, такое как SMS-код, отправленный на ваш телефон, или код, предоставленный приложением для аутентификации, таким как эти перечислены по ссылке выше.
Существует альтернативный метод 2FA, которому уделяется не так много внимания: физический аппаратный ключ, такой как YubiKey, который проверяет подлинность, будучи физически вставленным в ваш компьютер. Думайте об этом как о ключе от машины: Ты владеешь этим, у тебя это есть, так что ты должен быть тем, за кого себя выдаешь.
Новое использование Google телефона Android в качестве “аппаратного ключа” – это почти то же самое, но не совсем то же самое. Вместо отправки уведомления в приложение на вашем телефоне, к которому злоумышленник мог бы получить доступ, если бы вы потеряли телефон и они знали ваш PIN—код, веб—сайт или служба пытаются подключиться к вашему телефону через Bluetooth. Новый метод 2FA от Google не требует физического подключения ключа к ПК, но поскольку диапазон действия Bluetooth относительно невелик, вероятность того, что злоумышленник получит доступ к вашему разблокированному телефону, оставаясь физически рядом с вашим компьютером, относительно невелика.
В остальном способ работы этой двухфакторной аутентификации должен быть знакомым: вы входите в систему, служба отправляет на ваш телефон запрос “Вы пытаетесь войти в систему?”, а затем вы подтверждаете, что да, это вы. Прямо сейчас новая аутентификация Google ограничивается ее собственными сервисами, такими как Gmail и G Suite, и требует наличия телефона под управлением Android 7 или выше. Однако нет никаких указаний на то, что это связано с WebAuthn для включения 2FA на веб-сайтах.
На странице безопасности Google подробно описаны необходимые шаги:
Включите двухфакторную аутентификацию, если вы еще этого не сделали, в соответствующей веб-службе.
На вашем телефоне Android перейдите в myaccount.google.com/security .
В разделе “Вход в Google” выберите двухэтапную проверку.
Прокрутите вниз до пункта ”Настройка альтернативного второго шага”.
Выберите Добавить ключ безопасности, а затем свой телефон Android и затем включите.
Для пользователей, владеющих Pixel 3, есть один бонус: вместо того, чтобы требовать разблокировки телефона, вы можете (необязательно) просто нажать кнопку уменьшения громкости, чтобы подтвердить запрос на аутентификацию.