Uwierzytelnianie za pomocą powiadomień push umożliwia uwierzytelnianie użytkownika poprzez wysyłanie powiadomienia push bezpośrednio do bezpiecznej aplikacji na urządzeniu użytkownika. Powiadomienie takie ostrzega go, że ma miejsce próba uwierzytelnienia. Użytkownicy mogą przeglądać szczegóły uwierzytelniania i zatwierdzać lub odmawiać dostępu, zazwyczaj za pomocą prostego naciśnięcia przycisku.
Powiadomienia mogą być wysyłane w tym samym kanale komunikacyjnym lub poza nim, za pomocą dowolnej liczby kanałów komunikacyjnych.
Powiadomienia push uwierzytelniają użytkownika, potwierdzając, że urządzenie zarejestrowane w systemie uwierzytelniania – zazwyczaj urządzenie mobilne – jest w rzeczywistości w posiadaniu użytkownika. Jeśli urządzenie zostanie przejęte przez osobę atakującą, powiadomienia push zostaną przejęte.
Uwierzytelnianie oparte na powiadomieniach push zyskuje na popularności, ponieważ zapewnia prosty sposób uwierzytelniania użytkowników, zwłaszcza jeśli jest używany bez haseł.
Jakie są zalety uwierzytelniania za pomocą powiadomień push?
Uwierzytelnianie za pomocą powiadomień push weryfikuje próby logowania poprzez wysyłanie żądań dostępu do powiązanego urządzenia mobilnego. Rejestrując swoje konto, łączysz je z posiadanym urządzeniem mobilnym. Następnie, za każdym razem, gdy próbujesz zalogować się na swoje konto, podajesz swoją nazwę użytkownika lub identyfikator. Zamiast wpisywać hasło, na smartfonie otrzymasz powiadomienie o żądaniu dostępu, które możesz zatwierdzić lub odrzucić.
Uwierzytelnianie za pomocą powiadomień push ma kilka zalet. Oczywistą zaletą jest to, że użytkownicy nie muszą zapamiętywać i zarządzać hasłami. Ponadto powiadomienia zapewniają płynną i przyjazną dla użytkownika obsługę. Zamiast grzebać w telefonie, aby znaleźć i otworzyć aplikację uwierzytelniającą, użytkownicy mogą natychmiast zweryfikować swój login, wysyłając do nich żądanie uwierzytelnienia. Weryfikacja żądania uwierzytelnienia jest często szybsza niż wprowadzanie złożonego hasła.
Uwierzytelnianie w Google
Google zapewnia opcję uwierzytelniania za pomocą powiadomień push dla swojego pakietu usług i aplikacji online. Między innymi takich jak Gmail, Dysk Google, Dokumenty, Kalendarz itp. Firma Microsoft wprowadziła również podobną usługę dla swoich usług Outlook.com. Konfiguracja obydwu usług jest łatwa, a użytkownicy mogą rozpocząć pracę w ciągu kilku minut.
Jednak problem z tymi rozwiązaniami polega na tym, że działają one tylko z usługami poszczególnych firm i ograniczonymi aplikacjami, które integrują się z ich usługami. To sprawia, że są niedostępne dla organizacji, które korzystają z rozwiązań firmowych i autorskich. Co więcej, większość z tych technologii powiadomień push jest oferowana jako dodatkowe metody uwierzytelniania i mają one obejścia, takie jak jednorazowe kody dostępu do aplikacji SMS i uwierzytelniających (OTP), które narażają je na podstępnych hakerów.
Podobnie jak SMS, powiadomienia Push same w sobie nie są funkcją bezpieczeństwa. Wiadomości są przesyłane w sposób jawny przez dostawcę push (Apple i Google) i w przeszłości byliśmy świadkami, że usługi Push zostały skompromitowane na masową skalę .
