משתמשים באימות דו-שלבי? בקרוב לא תצטרכו להזין את הקוד באנדרואיד

הפיצ’ר היה שם, אבל הסרבול שלו מנע ממפתחים להשתמש בו. עכשיו בגוגל רוצים לשנות את המצב

מקור: צילום מסך

משתמשי אנדרואיד שבחרו להגן על המידע שלהם על ידי שימוש באימות דו-שלבי נתקלים לא פעם בקבלת SMS ובו קוד כשהם מנסים להתחבר לחשבונם. מדובר בשיטה מאובטחת אבל מסורבלת יחסית, בהתחשב בכך שחלק גדול מהאפליקציות לא מושכות את הקוד מיישום ה-SMS שאליו מגיע הקוד. כעת גוגל מנסה לטפל בבעיה באמצעות הצעת מילוי אוטומי של הקודים שיגיעו ב-SMS, וכך, תנסה להגביר את השימוש באימות הדו-שלבי בקרב משתמשי אנדרואיד.

הפיצ’ר היה קיים ב-API, אבל המפתחים לא השתמשו בו

אחזור הקוד מה-SMS היישר לתוך האפליקציה שבה אתם משתמשים קיים באנדרואיד וזמין למפתחים מזה זמן מה וסביר להניח שנתקלתם בו בכמה אפליקציות, אבל המפתחים לא ששו להשתמש בו. הסיבה? לפי מפתח ששוחח עם XDADevelopers, ה-API היה מסורבל ודרש שכל SMS יתחיל ב-# ויסתיים בחתימה התואמת את האפליקציה, אחרת, התהליך לא היה עובד.

כעת נראה שגוגל שואפת לעודד שימוש באימות דו-שלבי בקרב משתמשי אנדרואיד ובכך לשפר את השמירה על המידע שלהם, ומוכנה לעשות כמה צעדים בשביל זה. איך זה יקרה? גוגל תציג אופציה חדשה בתפריט ההגדרות תחת השם “Verification Code Autofill”, שבחירה בו תאפשר משיכה אוטומטית של הקוד שמתקבל בהודעה בצורה טובה יותר, תוך כדי שיפור האימות הדו-שלבי.

אחד מהמשתמשים דיווח לאתר Android Police שהאפשרות כבר נפתחה בפניו, עם עדכון Google Play Services לגרסה 19.2.75, אחרי שנכנסה ל-APK של אנדרואיד עוד בגרסה 18.7.13 ביולי האחרון. עם זאת, לא לכל המשתמשים נפתחה האפשרות – כולל לכותב שורות אלו, כך שיתכן שתצטרכו לחכות עוד קצת עד שהאפשרות תהיה זמינה.

שימוש בקוד אימות המגיע ב-SMS במסגרת אימות דו-שלבי עלול להיחשב כלא מאובטח לקורא הסקפטי שרוצה לשמור על המידע שלו, אך בגוגל טוענים אחרת. בפוסט בבלוג האבטחה של החברה שפורסם בחודש מאי האחרון נכתב כי קבלת קוד ב-SMS עזרה להגן על 100% ממשתמשי אנדרואיד מפני מתקפות בוטים אוטומטית, על 96% מהמשתמשים בפני מתקפות פישינג ועל 76% מהמשתמשים שחוו מתקפות ממוקדות בניסיון לגנוב את פרטי חשבונם.

היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כאן

אושרי אלקסלסי

עדיין מבואס מהפסקת שידורי TechTV בישראל. נהנה מסרטי סטאר וורז החדשים - Don't @ Me.

הגב

10 תגובות על "משתמשים באימות דו-שלבי? בקרוב לא תצטרכו להזין את הקוד באנדרואיד"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
moti
Guest

כדי להשתמש בזה צריך כנראה להוסיף הרשאה לקריאת סמס וההרשאה הזו לא כלכך מתאימה לכל אפלקציה. אני אישית מעדיף שלא לאפשר גישה שלא נצרכת באמת למידע שלי.

אחד שיודע
Guest

אז זהו שלא.

חזקיהו
Guest

כמובן שהפציר קיים ב iOS מזמן
סירי עושה את זה שנים

מישהו
Guest

זה הזמן להזכיר – SMS הוא לא באמת 2FA וניתן לזיוף. זה שכל המוסדות בישראל התחילו להשתמש בו כ 2FA זה כי המפתחים והציבור עצלנים. הוא טוב רק ל OTP פעם אחת בהרשמה לשירות.

aaaa
Guest

על מה היית ממליץ?

מישהו
Guest

time-based one-time password – TOTP
את האימות עושים עם אפליקציה במכשיר כמו המאמת של גוגל, 1Password, Authy, LastPass Authenticator ועוד.
נתמך בגוגל, אמזון, גיטהאב ועוד רבים
כמובן שאם יש אפשרות לטוקן פיזי זה הכי טוב. בקרוב אנדרואיד תתמוך בשימוש במכשיר כטוקן פיזי.

מישהו
Guest

זה הזמן להזכיר שסמס הוא לא 2FA טוב וניתן לזיוף. משתמשים בו בארץ בכל הארגונים כי המפתחים והציבור עצלנים. סמס טוב רק ל OTP בהרשמה לשירות.

כרובי
Guest
“בפוסט נכתב כי קבלת קוד ב-SMS עזרה להגן על 100% ממשתמשי אנדרואיד מפני מתקפות בוטים אוטומטית, על 96% מהמשתמשים בפני מתקפות פישינג ועל 76% מהמשתמשים שחוו מתקפות ממוקדות בניסיון לגנוב את פרטי חשבונם” מה שהם שכחו לכתוב זה שאת קוד הSMS ניתן ליירט באמצעות stingray או אפילו באמצעות משתף פעולה בחברת הסלולר. כמו כן ניתן לבצע מניפולציות נוספות כדי לתקוף אפליקציה שתומכת בכך. הנסיון שלהם להסתיר את חולשות הפונקציונליות באמצעות התבטאות “מוחצת” מסוג “עזרה להגן על 100%” היא מגוכחת. זה כמו החברות האלה שמפרסמות “אתה חייב אבטחת מידע לאתר שלך, קנה SSL עכשיו” – כאילו שSSL יגן על משהו (לא… Read more »
בלה
Guest

יש לי את זה כבר

בלה
Guest

יש לי את זה כבר

wpDiscuz

תגיות לכתבה: