Google расширяет инструменты восстановления доступа к учетной записи Gmail с помощью новой опции «Доверенные контакты» (Recovery Contacts). Механизм позволяет заранее назначить людей, которые подтвердят легитимность запроса и помогут вернуть доступ, когда стандартные способы (код по SMS, резервный email, физический ключ) недоступны.
Что такое «Доверенные контакты» и для чего они нужны
Функция дополняет стратегию Google по переходу к аутентификации без паролей на базе passkeys. Эти ключи привязываются к устройству и домену, что делает их устойчивыми к фишингу. Однако потеря смартфона или недоступность второго фактора может заблокировать восстановление. Новый механизм добавляет резервный, но контролируемый канал подтверждения личности через людей, которым вы доверяете.
Как работает восстановление через доверенных лиц
Пользователь может назначить до 10 доверенных контактов на один аккаунт и сам выступать доверенным лицом для до 25 других учетных записей. При запуске восстановления «доверенный» получает уведомление с просьбой помочь и видит три цифровых кода. Его задача — выбрать код, который заранее сообщил инициатор восстановления.
Контроль рисков и дополнительные проверки
Чтобы снизить вероятность злоупотреблений, Google заявляет о многоуровневой верификации: анализируется история устройства, IP-адрес и геолокация, при необходимости запрашиваются дополнительные подтверждения. Даже после одобрения доверенным лицом система может временно заблокировать учетную запись для проверки безопасности, давая владельцу время подтвердить легитимность запроса.
Ограничения и условия использования
Запрос доверенного контакта действителен 15 минут. Если контакт не успевает отреагировать, запрос необходимо переотправить или выбрать другого человека. Функция недоступна для корпоративных аккаунтов Google Workspace, а также для участников Advanced Protection Program и детских учетных записей — они не могут назначать доверенных, но могут быть задействованы как помощники для восстановления чужих аккаунтов.
Риски социальной инженерии: как злоумышленники могут пытаться обойти защиту
Любая модель, в которой участвуют люди, уязвима для социальной инженерии. Потенциальный сценарий: атакующий инициирует восстановление и связывается с вашим доверенным лицом с подмененного email или номера, убеждая «подтвердить код» от вашего имени. По данным отчета Verizon DBIR 2024, человеческий фактор остается ключевым в инцидентах кибербезопасности, что делает обучение и четкие процедуры критически важными.
Практические рекомендации по безопасной настройке
— Выбирайте контакты, способные быстро подтвердить запрос и понимающие базовые принципы кибергигиены.
— Договоритесь о канале проверки: при получении запроса контакт должен связаться с владельцем по заранее согласованному способу (например, голосовой звонок на основной номер).
— Никогда не подтверждайте код, если инициатор не прошел проверку личности по вашему внутреннему «протоколу».
— Регулярно проверяйте список доверенных контактов и актуальность их каналов связи.
Где место passkeys и чем полезен новый механизм
Passkeys снижают риск фишинга и кражи паролей, поскольку работают на основе криптографии «публичный/частный ключ» и ограничены конкретным доменом. Рекомендации NIST (SP 800‑63) и индустриальные практики относят такие решения к фишинг-устойчивой аутентификации. «Доверенные контакты» не заменяют passkeys или аппаратные ключи, но повышают устойчивость восстановления при утрате устройства — одного из наиболее частых инцидентов, приводящих к блокировке доступа.
Новый механизм в Gmail усиливает баланс между удобством и безопасностью восстановления аккаунта. Он расширяет возможности для законных владельцев, одновременно вводя многофакторную проверку и временные ограничения, чтобы осложнить жизнь злоумышленникам. Пользователям стоит комбинировать passkeys, резервные факторы и грамотно настроенные «доверенные контакты», а также обучить выбранных помощников базовым правилам противодействия социальной инженерии. Это минимизирует риски и обеспечит быстрое, легитимное восстановление доступа, когда традиционные методы подводят.
