Google свела к нулю количество фишинговых атак на аккаунты сотрудников

После введения в 2017 году обязательных ключей безопасности в Google не зарегистрировали ни одной фишинговой атаки на сотрудников, пишет Engadget.

Google на собственном примере показала, что ключи безопасности могут быть более эффективны, чем другие методы многофакторной аутентификации. По данным Krebs on Security, физические ключи безопасности вместо одноразовых кодов в Google стали использовать в 2017 году, и с этого времени данные ни одного из 85 тысяч её сотрудников не попали в руки хакеров. С помощью ключей в компании проходят верификацию в множестве приложений и в ряде других случаев: это зависит от конфиденциальности приложения и риска атаки на аккаунт в определённый момент времени.

Чтобы войти в систему на сайтах с помощью таких ключей, нужно вставить их в разъём и нажать кнопку: здесь нет необходимости вводить пароли или генерировать одноразовые коды. Такой метод имеет свои недостатки, но считается более надёжным, чем двухфакторная аутентификация, особенно в случае, если коды высылаются в SMS, так как эти сообщения могут перехватить злоумышленники.

На сегодняшний день аутентификация с использованием U2F-устройств ещё не получила широкого распространения. Технологию поддерживает Chrome, в Firefox для этого нужно предварительно изменить некоторые настройки. Браузер Edge от Microsoft получит поддержку U2F к концу 2018 года, а Apple об интеграции технологии в Safari пока не сообщала. Кроме того, с ней совместимы лишь немногие сайты и сервисы, например, Facebook и менеджеры паролей Keepass и LastPass. Позитивный опыт Google может стимулировать распространение стандарта.