В декабре 2016 года компания Google добавила в приложение Google Authenticator поддержку беспроводных карт U2F. На сайте GitHub опубликовано неофициальная демонстрация работы этого проекта, а компания Fidesmo, занимающаяся производством карт U2F, нашла несколько API в приложении Google Authenticator. Что это за технология и для чего она Google?
U2F (Universal Two Factor) — ключ, который используется в качестве дополнительного токена аутентификации пользователя. Первичная аутентификация производится с помощью пароля, а U2F обеспечивает дополнительную защиту, заменяя собой приложение Google Authenticator ввод кода, пришедшего по SMS. Такие ключи уже выпускаются, но они не беспроводные, а подключаются к USB-порту компьютера. Google готовит технологию для беспроводных ключей.
Ключи с поддержкой U2F могут использоваться для входа на сайты, в приложения и сервисы Google, защищённые двухфакторной системой аутентификации, когда помимо ввода пароля требуется ещё какое-нибудь подтверждение личности пользователя. Эти ключи работают даже без приложения Google Authenticator, поскольку они обращаются к серверам Google напрямую через специальные API.
Эти ключи также можно будет использовать для входа в сторонние приложения и сервисы, использующие аккаунт Google, причём разработчикам не придётся вносить дополнения в код своих проектов — опять же благодаря использованию универсальных API, отвечающих за безопасную аутентификацию. Google планирует реализовать в своих ключах беспроводную передачу данных — она потребуется для входа в приложения, установленные на смартфоны, куда сложно или физически невозможно установить карту U2F.
Ключ, который разрабатывает Google, беспроводной, он поддерживает связь со смартфоном с помощью Bluetotoh или NFC. Использовать его для двухфакторной аутентификации будет довольно просто — достаточно поднести его к смартфону, после чего будет осуществлён вход в приложение. Возможно, в дальнейшем Google будет выпускать хромбуки со встроенными NFC-модулями, которые обеспечат совместимость с такими ключами.
Конечно, использование физического ключа для двухфакторной аутентификации в некоторых случая может быть небезопасным. К примеру, в случае его кражи злоумышленнику нужно будет лишь узнать ваш пароль, после чего он сможет воспользоваться ключом U2F. Но наверняка Google предусмотрит защиту от таких инцидентов — к примеру, встроит в ключи сканеры отпечатков пальцев. В этом случае ими смогут пользоваться только их законные владельцы.
