Google sugeruje biżuterię lub urządzenie jako hasło następnej generacji

Google myśli, że znalazł odpowiedź na dokuczliwy problem zapomnianych lub słabych haseł:" fizyczne "hasła, które mogą mieć postać fragmentu biżuteria, taka jak pierścionek.

W artykule naukowym dwóch inżynierów pisze, że obecne strategie zapobiegające przejęciu kont online, w tym dwustopniowy system weryfikacji tożsamości, są niewystarczające, częściowo ze względu na ciągłe zagrożenie atakami które wykorzystują nowe błędy.

Google zwraca uwagę na wyłudzanie informacji, w ramach którego hakerzy przekupiają posiadaczy kont w celu ujawnienia poufnych informacji, czyniąc ich zalogowanych na stronie logowania fałszywego konta, jako jednego z największych zagrożeń bezpieczeństwa w dzisiejszych czasach.

[Dalej czytanie: jak to zrobić przenosić szkodliwe oprogramowanie ze swojego komputera z Windows]

"Czas zrezygnować ze skomplikowanych reguł dotyczących haseł i szukać czegoś lepszego" - mówią autorzy. Dokument badawczy autorstwa Google'a Eric Grosse i Mayank Upadhyay zostanie opublikowany 28 stycznia w publikacji IEEE Security & Privacy. Po raz pierwszy pojawił się w Wired w piątek.

[[Zobacz także] "Hasło" nadal jest najgorszym hasłem, ale uważaj na "ninja" i "Jak znaleźć szczęście w świecie szaleńczego hasła".]]

Google testuje urządzenie USB

Podstawą propozycji Google'a jest pomysł, o którym mówi, był używany przez firmy, ale odniósł niewielki sukces wśród konsumentów: zaszyfrowane urządzenie USB podobne do ludzi, którzy logowali się w chronionych hasłem witrynach i kontach internetowych.

Google twierdzi, że pracuje nad wewnętrznym pilotem z eksperymentalnym urządzeniem USB, które użytkownicy najpierw rejestrują w wielu witrynach internetowych, w których mają konta. Zgodna przeglądarka udostępniłaby dwie nowe interfejsy API (interfejsy programowania aplikacji) do przesłania do podłączonego urządzenia.

"Jeden z tych interfejsów API jest wywoływany podczas etapu rejestracji, powodując, że sprzęt generuje nowe parę kluczy prywatnych i wyślij klucz publiczny z powrotem na stronę internetową ", wyjaśnia. "Strona internetowa wywołuje drugi interfejs API podczas uwierzytelniania, aby dostarczyć wyzwanie sprzętowi i zwrócić podpisaną odpowiedź."

Ta metoda nie wymagałaby instalowania jakiegokolwiek oprogramowania, chociaż użytkownicy musieliby używać przeglądarki internetowej, która jest zgodna z wysiłkiem, powiedział Google. Protokoły rejestracji i uwierzytelniania byłyby otwarte i bezpłatne, a urządzenie łączyłoby się z komputerem USB bez potrzeby stosowania specjalnych sterowników urządzeń OS

Zasadniczo Googlersi przewidują pojedyncze urządzenie, które można wsunąć do gniazda USB, a następnie użyć zalogować się do dowolnej liczby kont internetowych jednym kliknięciem myszy.

Ponieważ noszenie innego urządzenia może nie być popularne wśród konsumentów, Google sugeruje, że urządzenie uwierzytelniające może zostać zintegrowane ze smartfonem lub nawet z biżuterią. Urządzenie byłoby w stanie autoryzować nowy komputer do użytku za pomocą jednego dotknięcia, nawet w sytuacjach, gdy telefon nie byłby połączony z siecią komórkową.

Równoważenie, bezpieczeństwo

Technologia ma na celu ulepszenie obecnego prądu firmy, opcjonalny dwuetapowy system weryfikacji. Dzięki temu systemowi, gdy użytkownicy chcą zalogować się do usługi Google z nowego komputera, są proszeni o wpisanie kodu wysłanego na zarejestrowany telefon komórkowy, co daje im dostęp do strony.

Firma mówi o swoich doświadczeniach system był dobry, chociaż może być nadużywany przez hakerów kont. Po wykradzeniu hasła i włamaniu się na konto czasami ustanawiają uwierzytelnianie dwuskładnikowe za pomocą własnego numeru telefonu "tylko po to, aby spowolnić odzyskiwanie konta przez prawdziwego właściciela" - napisali inżynierowie Google.

Google przyznaje, że Proponowana metoda klucza USB jest "spekulatywna" i musi być akceptowana na szeroką skalę. Firma wyraziła jednak chęć przetestowania urządzenia na innych stronach.

"Rejestracja urządzenia użytkownika w docelowych witrynach powinna być prosta i nie powinna wymagać relacji z Google ani żadną inną stroną trzecią" - napisali inżynierowie. "Protokoły rejestracji i uwierzytelniania muszą być otwarte i bezpłatne, aby każdy mógł je zaimplementować w przeglądarce, urządzeniu lub witrynie."

Google nie powiedział, czy i kiedy system eksperymentalny może go użyć. "Chcemy, aby uwierzytelnianie było bezpieczniejsze, a jednocześnie łatwiejsze w zarządzaniu. Wierzymy, że takie eksperymenty mogą pomóc w ulepszeniu systemów logowania" - powiedział rzecznik za pośrednictwem poczty elektronicznej.