Google va permite în curând setarea autentificării în doi pași și fără nevoia furnizării unui număr de telefon, în ideea că această metodă pentru obținerea codurilor de validare a devenit mai puțin relevantă în contextul folosirii generalizate a aplicațiilor 2FA, precum Google Authenticator.
Sistemul 2FA (two-factor authentication) poate că e doar o improvizație pe drumul către tehnologia Passkey ca alternativă solidă și funcțională la clasicele parole. Dar încă e de actualitate și e folosit la scară largă, așa că orice îmbunătățire adusă acestuia este binevenită.
Într-o postare pe blog , Google a anunțat că de acum poți configura autentificarea în doi pași fără nevoia unui număr de telefon. În schimb, poți apela direct la aplicația Google Authenticator ca intermediar în procesul de autentificare, sau folosind o cheie de securitate fizică. Ambele opțiuni oferă un nivel rezonabil de protecție și îngreunează accesul hackerilor, chiar dacă aceștia reușesc să-ți obțină parola setată pentru respectivul cont.
Sub formula folosită anterior setarea unui cont pentru autentificare 2FA trebuia să includă și furnizarea unui număr de telefon, de folosit mai târziu pentru recepționarea codurilor unice de validare a identității. Problema e că, între timp, numărul de telefon a devenit o țintă în sine pentru hackeri, aceștia descoperind că îl pot folosi în multe alte scopuri, din moment ce toată lumea a ajuns să-l considere drept soluția infailibilă pentru divulgarea celor mai sensibile informații pe care nu le-ai transmite prin e-mail.
Așa se face că oricine deține minime noțiuni de autoprotejare în mediul online ezită să-și divulge numărul de telefon, știind foarte bine că acesta reprezintă cea mai la îndemână modalitate prin care o persoană rău intenționată îi poate urmări fiecare mișcare și eventual, să-i spargă conturile online asociate cu respectivul număr de telefon. Să recunoaștem, folosirea exagerată a codurilor SMS ca metodă de autentificare 2FA nu a fost cea mai inspirată abordare.
Totuși, Google nu spune povestea până la capăt. Scoțând din ecuație numărul de telefon doar muți „povara” înspre aplicații precum Google Authenticator, a cărei securitate este legată de cea a contului Google. Cine reușește să se autentifice în contul tău Google, sau să obțină la acces la un dispozitiv deja autentificat cu acesta și preinstalat cu aplicația Authenticator își va putea face de cap cu orice conturi setate cu metoda de autentificare 2FA. Iar pentru ca deranjul să nu fie prea mare, la contul tău Google este „legat” și un manager de parole pe care un eventual atacator îl poate folosi pentru a obține parola fixă atribuită contului respectiv.
Dar concluzia nu este aceea că Google nu face treabă bună, ci că sistemul 2FA este depășit, utilizatorii având la dispoziție soluții mult mai eficiente, cum ar fi noul sistem Passkey și soluții hardware de securitate, luând forma cheilor FIIDO.
