Google alternatīva parolei

Google izmanto savus darbiniekus kā izmēģinājuma cūciņas, cenšoties atbrīvoties no paroles kā neaizsargātas atslēgas, kas nodrošina visu, sākot no sociālo mediju profiliem un beidzot ar bankas kontiem.





Šāda kompakta USB atslēga varētu būt alternatīva paroļu ievadīšanai

In an topošais papīrs no diviem Google vadošajiem darbiniekiem, kas strādā drošības jomā – vispirms tika atklāts ar Wired – atklājas, ka uzņēmums apsver, kā padarīt paroli kaut ko lietotu tikai reti. Tā vietā izmēģinājumos ir iesaistīti cilvēki, kas piesakās, vienkārši pievienojot kompaktu USB atslēgu, piemēram, attēlā iepriekš.

Google autori Ēriks Gross (Eric Grosse), drošības inženierijas viceprezidents un Mayank Upadhyay, galvenais inženieris, kas specializējas drošībā, uzskaita daudzus pazīstamus iemeslus, kāpēc paroles to neizslēdz. Starp tiem ir tas, ka cilvēki tos izvēlas slikti, pazaudē, pieraksta un atkārtoti izmanto pakalpojumos; ka paroles var pārtvert ļaunprātīga programmatūra; un ka paroļu serveri var tikt apdraudēti, izmantojot internetu.



Labākā atbilde uz šīm problēmām, ko Google pašlaik piedāvā, zināma kā divu faktoru autentifikācija , nav ilgtermiņa risinājums, raksta Grosse un Upadhyay. Sistēmu arvien vairāk reklamē Google, un to izmanto miljoniem cilvēku, un tā pieprasa, lai pēc paroles ievadīšanas personai ir jāiesniedz pagaidu kods no īsziņas vai viedtālruņa lietotnes, lai pieteiktos. Taču īsziņās un lietotnēs parādītos kodus var pārtvert, un var tikt apdraudēta centrālā datubāze, kas izseko autorizētus datorus, kas atbrīvoti no divu faktoru autentifikācijas.

Rakstā teikts, ka Google iekšēji testē drošāku alternatīvu, izmantojot ierīces, kas izklausās identiskas attēlā redzamajai USB tālvadības pultij. Yubikey (Es nesen satiku Yubikey izpilddirektoru, kurš teica, ka viņi sadarbojas ar lielu mākoņdatošanas uzņēmumu pie liela projekta). Kad kāds ir savienojis savu unikālo atslēgu ar savu kontu, viņš to vienkārši pievieno datoram, kad vien nepieciešams pieteikties. Google ir izveidojis jaunu programmatūru, kas ļauj vietnei izmantot pārlūkprogrammu Chrome, lai veiktu īsu kriptogrāfisku apmaiņu ar atslēgu, kas apliecina ka tas ir saistīts ar personas kontu. Šīs apmaiņas laikā netiek ģenerēti dati, ko varētu izmantot, lai uzdotos par atslēgu , tāpēc bez atslēgas neviens nevar pieteikties kontā.

Šīs pieejas pieņemšana, teikts rakstā, varētu nozīmēt, ka cilvēki reti izmanto paroles un nepieciešama tikai spēcīga parole dziļai dublēšanai. Uzņēmuma nolūks ir publiskot šīs pieejas detaļas kā atvērtu standartu, kas jāpieņem citiem uzņēmumiem.



Google darbinieku priekšlikums kļūst nedaudz mazāk ticams, kad viņi piedāvā risinājumu problēmai, ka ne visiem šķitīs ērta USB atslēga:

Daži pievilcīgāki formas faktori var ietvert integrāciju ar viedtālruņiem vai rotaslietām, kuras lietotājs, visticamāk, nēsās līdzi. Mēs vēlamies, lai jūsu viedtālrunis vai viedkartē iegultais pirksta gredzens autorizētu jaunu datoru, pieskaroties datoram, pat situācijās, kad jūsu tālrunis var būt bez mobilā savienojuma.

Viena no lielākajām šīs idejas tehniskajām problēmām ir tā, ka nav plaši pieņemtas metodes, lai ierīces varētu runāt tieši viena ar otru, atrodoties tajā pašā vietā. Google eksperimentē ar tuva darbības lauka sakaru mikroshēmām, kas ļauj savienot ierīces, lai izveidotu savienojumu kā vienu risinājumu, teikts rakstā, taču tie tikai tagad parādās viedtālruņos un gandrīz nepastāv personālajos datoros.



paslēpties