Google מציעה תכשיטים או מכשיר כסיסמה הבאה

גוגל חושבת שאולי היא מצאה תשובה לבעיה המבעיתה של סיסמאות שנשכחו או חלשות: סיסמאות" פיזיות ", שעשויות לבוא בצורה של כגון טבעת.

במאמר מחקר, שניים מהמהנדסים שלו כותבים כי האסטרטגיות הנוכחיות למניעת חטיפת חשבונות מקוונים, כולל מערכת אימות הזהויות הדו-שלבית, אינם מספיקים, בין השאר בשל האיום המתמיד של ההתקפות אשר מנצלים באגים חדשים.

Google מדגישה דיוג, שבו האקרים מעלים את בעלי החשבון לחשיפת מידע רגיש על ידי הפיכתם לחתום על דף יומן מזויף החשבון, כאחד האיומים הבטחוניים הגדולים ביותר של היום. קריאה: כיצד מחדש להעביר תוכנות זדוניות מהמחשב Windows שלך]

"הגיע הזמן לוותר על הכללים הסיסמה משוכלל ולחפש משהו טוב יותר", אומרים המחברים. מאמר המחקר, על ידי אריק גרוס של גוגל ו Mayank Upadhyay, יפורסמו ב -28 בינואר בפרסום

IEEE Security & Privacy. זה פורסם לראשונה על ידי Wired ביום שישי. [[[ראה גם " 'סיסמה' היא עדיין הסיסמה הגרועה ביותר, אך היזהר ל'נינג'ה 'ו'איך למצוא אושר בעולם של טירוף סיסמה']]

Google בודק את התקן ה- USB

בבסיס ההצעה של Google רעיון זה אומר כבר בשימוש על ידי עסקים, אך הצליחה מעט בקרב הצרכנים: התקן מוצפן דמוי USB שאנשים ישתמשו בו כדי להיכנס לאתרים מוגנים בסיסמה וחשבונות מקוונים.

Google אומרת שהיא עובדת על טייס פנימי עם התקן USB ניסיוני שמשתמשים הראשונים להירשם עם מספר אתרי אינטרנט שבהם יש להם חשבונות. דפדפן תואם יעשה שני ממשקי API חדשים (ממשקי תיכנות יישומים) הזמינים לאתר כדי לעבור למכשיר המצורף. "

" אחד ממשתמשי API אלה נקרא בשלב ההרשמה, מה שגורם לחומרה ליצור קובץ חדש, זוג מפתח פרטי ולשלוח את המפתח הציבורי בחזרה לאתר ", מסביר העיתון. "האתר קורא לממשק ה- API השני במהלך האימות כדי לספק אתגר לחומרה ולהחזיר את התגובה החתומה".

השיטה לא תחייב התקנה של תוכנה כלשהי, אם כי המשתמשים יצטרכו להשתמש בדפדפן אינטרנט התואם עם המאמץ, אמרה גוגל. פרוטוקולי הרישום והאימות יהיו פתוחים וחופשיים, והמכשיר יתחבר עם USB של מחשב ללא צורך במנהלי התקנים מיוחדים של מערכת ההפעלה.

בעיקרון, אנשי צוות Google מעריכים מכשיר יחיד שאדם יכול להחליק לתוך חריץ USB ולאחר מכן להשתמש בו כדי להיכנס לכל מספר של חשבונות מקוונים עם קליק אחד על העכבר.

כי נשיאת מכשיר אחר עשוי שלא להיות פופולרי בקרב הצרכנים, גוגל מציעה את מכשיר האימות יכול להשתלב הטלפון החכם או אפילו תכשיט. המכשיר יוכל לאשר מחשב חדש לשימוש בלחיצה אחת, גם במצבים שבהם הטלפון עשוי להיות ללא קישוריות סלולרית.

איזון טרחה, אבטחה

הטכנולוגיה שואפת לשפר את הנוכחי של החברה, מערכת אימות דו-שלבית אופציונלית. עם מערכת זו, כאשר משתמשים רוצים להיכנס לשירות של Google ממחשב חדש, הם מתבקשים להזין קוד שנשלח לטלפון הנייד הקודם שלהם, המעניק להם גישה לאתר.

החברה אומרת את הניסיון שלה עם זה המערכת הייתה טובה, למרות שזה גם יכול להיות התעללו על ידי האקרים חשבון. לאחר שגנבו סיסמה ופרצו לחשבון, הם לפעמים הגדירו אימות של שני גורמים באמצעות מספר הטלפון שלהם, "רק כדי להאט את שחזור החשבון על ידי הבעלים האמיתי", כתבו מהנדסי גוגל.

Google מודה הגישה המוצעת מפתח USB היא "ספקולטיבית" וכי היא צריכה להתקבל בקנה מידה רחב. אבל המשרד אמר שהוא להוט לבדוק את המכשיר עם אתרים אחרים"רישום משתמש במכשיר עם אתרי יעד צריך להיות פשוט ואינו דורש קשר עם Google או עם צד שלישי אחר", כותבים המהנדסים. "פרוטוקולי ההרשמה והאימות חייבים להיות פתוחים וחופשיים לכל אחד ליישם בדפדפן, במכשיר או באתר."

Google לא אמרה אם מערכת הניסוי עשויה להשתמש בו. "אנו מתמקדים בהפיכת האימות לבטוח יותר, ועם זאת קל יותר לנהל אותו, ואנו מאמינים כי ניסויים כאלו יכולים לעזור לשפר את מערכות הכניסה", אמר הדובר בדואר אלקטרוני.