...мировая Империя Добра(тм) совершенствует свою систему аутентификации. теперь она вводит OTP, т. е. One-Time Passwords - одноразовые пароли, которые будут приходить на ваш телефон (закрепленный за вашей учеткой) всякий раз, когда вы логинитесь на сервисы гугла. пользователи дроидов и ежевичек получат для своих гаджетов специальное приложение, делающее процесс аутентификации более прозрачным.

что и говорить, штука удобная. и, вроде бы, повышает общий уровень безопасности всей системы, но...

"узким" местом всей системы становится, собссна, телефон. именно он берет на себя (вернее, перекладывает на своего владельца) львиную долю рисков безопасности. например, кража телефона теперь означает не потерю стоимости аппарата, а риск нарушения конфиденциальности всей вашей информации (напомню, она может быть не только личной, но и корпоративной). возможность забыть аппарат дома повышает риск нарушения доступности информации и так далее.

можно, конечно, быстро заблокировать симку по звонку в техподдержку сотового оператора. но как потом снова получить доступ к своей учетке? восстановление симки с тем же номером происходит довольно быстро, только если вы регистрировали контракт на свое имя. а если вы при этом еще и в командировке и быстро вернуться не можете? а ведь большинство еще и пользуется анонимными prepaid-пакетами, купленными походя в ларьке евросети или даже у бабульки на рынке.

второй момент. насколько я понял, OTP будет не генерироваться вашим телефоном (как это обычно происходит в подобных системах), а передаваться на него с серверов авторизации гугла. иными словами, возникает проблема безопасной передачи ключевой информации. и если для пользователей дроида или ежевички ее можно красиво решить (включив шифрование), то для обычных телефонов доступны только незашифрованные СМС-сообщения.

резюмируя, хочется сказать, что гугл в последнее время не радует продуманностью своих новых инициатив. вэйв, такое на первый взгляд многообещающее нововведение, почило в бозе. живая лента, он же бузз, живет лишь благодаря автоматическим постингам из других сервисов. социальная составляющая у гугла пока исправно работает лишь в блоггере, просто потому, что там она имеет всем привычный вид, безо всяких "новаторств".

подозреваю, что идею введения двухфакторной аутентификации пользователей ждет та же судьба, что и вэйв. те, для кого гугл - это просто личная почта, не представляющая монетизируемой ценности, не будут включать второй фактор просто потому, что им не нужен подобный уровень безопасности за счет такого уровня неудобств в работе. те же пользователи, которых по-настоящему заботит безопасность своих эккаунтов, имхо не захотят перекладывать на себя все риски. "дешевле" ввести двухфакторную аутентификацию своими средствами. например, просто усложнить пароль и спрятать его на флэшку/токен под PIN.