Google wprowadza dwuetapowe uwierzytelnianie

We wpisie w firmowym blogu technicy Google zapowiadają nową, opcjonalną metodę logowania, która oprócz hasła wymaga jeszcze podania kodu weryfikacyjnego. Ten ostatni jest generowany przez specjalną aplikację na smartfonie albo przesyłany przez Google w wiadomości SMS pod wskazany numer. Tym samym do zalogowania się konieczne jest spełnienie dwóch niezależnych czynników: trzeba nie tylko znać hasło, ale jeszcze mieć dostęp do uprzednio zdefiniowanego telefonu komórkowego.

Od dawna wiadomo, że same hasła nie zapewniają wystarczającego poziomu bezpieczeństwa. Hasła odporne na złamanie są trudne do zapamiętania - przynajmniej te o odpowiedniej długości. Nawet długie hasło złożone z niekoniecznie alfanumerycznych znaków nas nie ochroni, gdy w komputerze zagnieździł się trojan, który po prostu odczyta je podczas wprowadzania z klawiatury. Z tego względu konieczna jest dodatkowa, działająca niezależnie metoda weryfikacji.

Już przed czterema laty eBay wraz z podległą sobie spółką PayPal podjął próbę wprowadzenia bezpiecznego uwierzytelniania za pomocą haseł jednorazowych. Przedsięwzięcie to jednak zakończyło się fiaskiem głównie dlatego, że należało zakupić token i cały czas nosić go przy sobie. Wraz z upowszechnianiem się smartfonów generatory kodów przybierają jednak postać aplikacji.

Jednorazowy nakład pracy potrzebny na skonfigurowanie dwuetapowego logowania się Google szacuje na około 15 minut. Z opublikowanych dotychczas zrzutów ekranu można się dowiedzieć, że Google chce pójść na kompromis, pozwalając na uwierzytelnienie komputera w taki sposób, aby kod weryfikacyjny trzeba było wprowadzać jedynie co 30 dni. Nawet jeśli w trakcie realizacji projektu Google będzie musiał dokonać optymalizacji, to podjętymi działaniami daje wyraźny sygnał, że tym razem faktycznie zależy mu na rozwiązaniu problemu z hasłami.