После того, что из двухфакторной аутентификации сотворили в Apple, аналогичная система Google кажется глотком свежего воздуха. Google использует двухфакторную аутентификацию исключительно по ее прямому назначению: в качестве дополнительной меры безопасности и ни для чего больше. В учетных записях Google без двухфакторной аутентификации доступны ровно те же возможности, что и с ней.
Восстановление пароля Google с двухфакторной аутентификацией
В Google чрезвычайно либерально относятся к тому, что именно может выступать дополнительным фактором. Вот список:
Твой телефон или планшет на Android, в котором добавлена твоя учетная запись
- Только если ты можешь его разблокировать (биометрикой, паролем и прочим)
- Push-уведомления достаточно просто подтвердить без каких-либо кодов
- Аутентификация проводится через сервер (а точнее, через сервисы GCM)
Доверенный телефонный номер
- В отличие от Apple, Google не считает телефонную аутентификацию безопасной. Соответственно, наличие хотя бы одного доверенного телефонного номера не является обязательным требованием
- Можно зарегистрировать несколько доверенных номеров
Приложение Authenticator
- Работает офлайн
- Стандартный протокол TOTP
- Приложений этого класса существует множество для любых, даже самых экзотических платформ. Они совместимы между собой
- Приложения выпускают компании Google, Microsoft, Xiaomi и множество независимых разработчиков. Повторюсь, все они выполняют свою функцию в том числе для учетных записей Google
- Все экземпляры приложений-аутентификаторов инициализируются одним и тем же QR-кодом. Соответственно, коды, генерируемые всеми экземплярами по протоколу TOTP, будут одинаковы в каждый момент времени
- Один и тот же QR-код можно использовать для инициализации множества экземпляров аутентификаторов на разных платформах
- Отзыв одного скомпрометированного аутентификатора в настройках Google Account автоматически отзывает и все остальные экземпляры аутентификаторов, инициализированные тем же QR-кодом
Другие интересные варианты
- Список одноразовых кодов: его можно распечатать и сохранить в безопасном месте
- Аппаратные ключи (FIDO U2F или встроенные в смартфон)
- Браузер (подразумевается Chrome, но работают в этом качестве и другие), с которого ты зашел в учетную запись Google, если ты не отметил во время входа, что заходишь с публичного компьютера
Если утрачен второй фактор для входа в Google Account
В Google понимают, что доступ к 2FA может быть утрачен точно так же, как и пароль. В компании написали на эту тему подробную статью «Проблемы при использовании двухэтапной аутентификации», которая начинается с пункта «Мой телефон потерялся или был украден». В целом нам не расскажут ничего особо интересного: большинство предложений сводится к тому, чтобы воспользоваться одним из множества дополнительных факторов аутентификации, которые все еще могли остаться в твоем распоряжении. Пожалуй, интерес представляет лишь вариант войти в настройки Google Account из браузера на компьютере, в котором ты когда-то вошел в учетную запись Google, и прямо оттуда двухфакторную аутентификацию временно отключить или, к примеру, сгенерировать с десяток свежих резервных кодов. Впрочем, с учетом того, насколько либерально относится Google к дополнительным средствам аутентификации, можно заранее озаботиться тем, чтобы завести дополнительные.
Если же ни один из дополнительных факторов тебе не доступен, то единственный оставшийся вариант — автоматизированная процедура восстановления доступа к аккаунту. Мы неоднократно тестировали работу этой функции и, как и в случае с Apple, пришли к выводу, что ее успешное использование — вопрос исключительно удачи, а не чего-либо еще. Иногда нам удавалось получить доступ к аккаунту, но нередко наши попытки заканчивались тем, что Google просто блокировал аккаунт и требовал сменить пароль. Кстати, попытка восстановить доступ к аккаунту провалится с очень высокой вероятностью, если ты попробуешь это проделать, находясь в заграничной поездке. А вот из дома, с собственного IP, у тебя есть шансы.
Двухфакторная аутентификация, детские аккаунты и Family Link
Так же как и Apple, Google рекомендует создавать отдельные учетные записи для детей, в том числе для детей, не достигших тринадцати лет. Так же как и в экосистеме Apple, ты можешь добавить ребенка в семейную группу, что позволит ребенку пользоваться купленными тобой приложениями — впрочем, только теми, которые ты оплатил после 2 июля 2016 года. (К примеру, купленный мной в незапамятные времена лаунчер Nova в моей семейной группе недоступен.)
Если ребенок использует планшет или телефон с Android, то его учетной записью можно управлять с помощью приложения Google Family Link (кстати, функциональность Family Link доступна и на платформе iOS через одноименное приложение). Google Family Link во многом похож на «Экранное время» Apple и выполняет схожие функции. Впрочем, в Google нет ряда ограничений (например, учетную запись ребенка можно свободно добавлять и удалять независимо от возраста), зато есть другие (например, при активации Family Link приложение YouTube автоматически становится недоступным на устройстве ребенка, не достигшего тринадцати лет).
Нас же Family Link интересует в первую очередь тем, как в нем обрабатывается двухфакторная аутентификация — а она есть. Для того чтобы настроить устройство ребенка, тебе потребуется ввести как пароль от аккаунта ребенка, так и пароль одного из родителей: вот он, второй фактор аутентификации.
Дети могут забыть свой пароль (пользоваться этим паролем им не приходится, так что подобное случается сплошь и рядом). Соответственно, процедура смены забытого детского пароля упрощена до предела: родителю достаточно открыть приложение Family Link и прямо на главном экране тапнуть на команду «изменить пароль». После этого пароль детского аккаунта можно поменять. Весь процесс занимает секунды.
Что произойдет, если ребенок потеряет устройство? Ты просто настроишь новый смартфон или планшет на Android, используя пароль от детского аккаунта (актуальный или свежеустановленный) и — в качестве второго фактора — пароль от собственного аккаунта Google. Как видим, никакой драмы; возможности потерять доступ к учетной записи просто нет.
Кстати, интересный момент. Когда ребенку исполнится тринадцать, он может проявить самостоятельность и выйти из-под контроля Family Link. После этого у него появится возможность настроить собственные способы двухфакторной аутентификации.
Заключение
Для Google оба фактора аутентификации примерно равнозначны, но механизмы восстановления доступа также будут отличаться. К примеру, если ты вошел в свою учетную запись Google через браузер Chrome на компьютере, то у любого, кто откроет окно браузера на том же компьютере, будет возможность изменить или отключить двухфакторную аутентификацию или сгенерировать пакет одноразовых кодов. Однако возможности сменить пароль от учетной записи Google у такого пользователя не будет: для изменения пароля потребуется ввести старый или пройти процедуру восстановления доступа к учетной записи.
А вот в случае с Apple пароль от Apple ID можно изменить и без ввода старого: для этого достаточно воспользоваться одним из доверенных устройств или сервисом iForgot, получив одноразовый код на доверенный телефонный номер. Отключить двухфакторную аутентификацию в экосистеме Apple у тебя, скорее всего, не получится (такая возможность хоть и существует, но не афишируется, а сама процедура отключения чрезвычайно длительная). Изменить настройки двухфакторной аутентификации (например, добавить еще один доверенный телефонный номер) можно и без пароля, но один из уже имеющихся дополнительных факторов должен быть доступен.
