Googles alternativ till lösenordet

Google använder sina anställda som försökskaniner i ett försök att göra sig av med lösenordet som den sårbara nyckeln som säkrar allt från profiler på sociala medier till bankkonton.





En kompakt USB-nyckel som denna kan vara ett alternativ till att skriva lösenord

I en kommande tidning från två seniora Google-anställda som arbetar med säkerhet – först fram i ljuset av Wired – det avslöjas att företaget överväger hur man ska göra lösenordet till något som bara används sällan. Istället innebär tester att människor loggar in helt enkelt genom att koppla in en kompakt USB-nyckel som på bilden ovan.

Google-författarna, Eric Grosse, VP för säkerhetsteknik och Mayank Upadhyay, en huvudingenjör som specialiserar sig på säkerhet, listar många välbekanta anledningar till varför lösenord inte avbryter det. Bland dem, att folk väljer dem dåligt, tappar bort dem, skriver ner dem och återanvänder dem över tjänster; att lösenord kan fångas upp av skadlig programvara; och att lösenordsservrar kan äventyras över Internet.



Det bästa svaret på de problem som Google för närvarande erbjuder, känd som tvåfaktorsautentisering , är ingen långsiktig lösning, skriver Grosse och Upadhyay. Systemet har blivit alltmer marknadsfört av Google, och antagits av miljontals människor, och kräver att efter att ha angett sitt lösenord måste en person ange en tillfällig kod från ett sms eller smartphone-app för att logga in. Men koderna som visas av textmeddelanden och appar kan fångas upp, och den centrala databasen som spårar auktoriserade datorer undantagna från tvåfaktorsautentisering kan äventyras.

Tidningen säger att Google internt testar ett säkrare alternativ med hjälp av enheter som låter identiskt med USB-nyckeln på bilden, gjord av Yubikey (Jag träffade nyligen Yubikeys VD som sa att de arbetade med ett stort molnföretag på ett stort projekt). Efter att någon har kopplat sin unika nyckel till sitt konto kopplar de bara in den till en dator när de behöver logga in. Google har skapat ny programvara som gör att en webbplats kan använda webbläsaren Chrome för att utföra ett kort kryptografiskt utbyte med en nyckel, vilket bevisar att det är den som är kopplad till en persons konto. Ingen data genereras under det utbytet som kan användas för att imitera nyckeln, så utan en nyckel kan ingen logga in på ett konto.

Att anta det tillvägagångssättet, säger tidningen, kan innebära att människor sällan använder lösenord alls och bara behöver ett starkt lösenord för djup säkerhetskopiering. Företagets avsikt är att släppa detaljerna i det tillvägagångssättet som en öppen standard som ska antas av andra företag.



Googlers förslag blir något mindre troligt när de föreslår en lösning på problemet att inte alla kommer att hitta en USB-nyckel som är bekväm:

Vissa mer tilltalande formfaktorer kan involvera integration med smartphones eller smycken som användaren sannolikt kommer att bära ändå. Vi skulle vilja att din smartphone eller din smartkortinbäddade fingerring auktoriserar en ny dator genom att trycka på datorn, även i situationer där din telefon kanske saknar mobilanslutning.

Ett av de största tekniska problemen med den idén är att det inte finns någon allmänt använd metod för enheter att prata direkt med varandra när de är på samma plats. Google experimenterar med Near Field Communication-chips som gör att enheter kan kopplas ihop för att ansluta som en lösning, säger artikeln, men de dyker bara upp i smartphones och är nästan obefintliga på datorer.



Dölj