Двухфакторная аутентификация (2FA) — или двухэтапная проверка (2SV) в терминологии Google — является важной мерой безопасности. G Suite теперь добавляет возможность ограничивать коды одним устройством или сетью, на которых они генерируются.
В иерархии методов 2FA физические ключи безопасности, которые необходимо вставлять в устройство, с которого вы входите в систему, для подтверждения вашей личности, являются наиболее надежными. Существуют опасения по поводу кодов безопасности, которые необходимо вводить вручную, и которые могут быть перехвачены злоумышленниками, но они по-прежнему необходимы для устаревших устройств.
Google теперь добавляет опцию входа, где коды безопасности могут использоваться только на том же устройстве или в локальной сети (NAT или LAN), где они были сгенерированы. Эта новая опция заменяет общую настройку по умолчанию, запрещающую использование кодов безопасности.
У администраторов G Suite теперь есть три связанные настройки (Консоль администратора > Безопасность > Расширенные настройки безопасности). Последняя позволяет использовать коды безопасности на других устройствах и в других сетях, например, при доступе к удаленному серверу или виртуальной машине.
- Не разрешать пользователям генерировать коды безопасности: Пользователи не могут генерировать коды безопасности.
- Разрешить коды безопасности без удаленного доступа: Пользователи могут генерировать коды безопасности и использовать их на том же устройстве или в локальной сети (NAT или LAN).
- Разрешить коды безопасности с удаленным доступом: Пользователи могут генерировать коды безопасности и использовать их на том же устройстве или в локальной сети (NAT или LAN), а также на других устройствах или в сетях, например, при доступе к удаленному серверу или виртуальной машине.
Представленная как способ сделать «коды безопасности более безопасными», Google отмечает, что устаревший метод аутентификации «широко используется» на устройствах, которые фактически способны поддерживать ключи безопасности и совместимые браузеры, такие как Chrome.
Новая опция с ограниченным доступом для кодов безопасности позволяет удовлетворить этот сценарий использования, снижая при этом некоторые потенциальные уязвимости. Неограниченные коды по-прежнему будут доступны для пользователей, которым они нужны (например, для тех, кто использует удаленные серверы или виртуальные машины).
Никаких изменений для пользователей не будет до тех пор, пока администратор G Suite не внесет изменения. Эта опция ограничения кодов безопасности начнет внедряться с сегодняшнего дня.