Google предлагает украшения или устройство в качестве пароля следующего поколения

Google считает, что он мог найти ответ на неприятную проблему забытых или слабых паролей:« физические »пароли, которые могут быть представлены в виде части ювелирные изделия, такие как кольцо.

В исследовательском документе два из его инженеров пишут, что существующих стратегий по предотвращению захвата онлайн-счетов, в том числе двухступенчатой ​​системы проверки подлинности, недостаточно, отчасти из-за постоянной угрозы нападений которые используют новые ошибки.

Google выделяет фишинг, в котором хакеры обманывают владельцев учетных записей, раскрывая конфиденциальную информацию, заставляя их входить на страницу входа в фальшивую учетную запись, как одну из самых больших угроз безопасности сегодня.

[Далее Чтение: как повторно перемещать вредоносное ПО с вашего ПК с Windows »

« Пришло время отказаться от разработки правил паролей и поиска чего-то лучшего », - говорят авторы. Исследовательский документ от Google Eric Grosse и Mayank Upadhyay должен быть опубликован 28 января в публикации IEEE Security & Privacy. Об этом сначала сообщил Wired в пятницу.

[[См. Также " «Пароль» по-прежнему является наихудшим паролем, но следите за «ниндзя» и «Как найти счастье в мире безумного пароля».]]

Google тестирует USB-устройство

В основе предложения Google лежит идея, о которой он говорит, была использована компаниями, но не нашла большого успеха среди потребителей: шифрованное устройство, подобное USB-интерфейсу, которое люди будут использовать для входа на защищенные паролем веб-сайты и онлайн-аккаунты.

Google утверждает, что он работает над внутренним пилотом с экспериментальным USB-устройством, которое пользователи сначала регистрируют на нескольких сайтах, на которых у них есть учетные записи. Совместимый браузер заставит два новых интерфейса API (интерфейсы прикладного программирования) быть доступными для веб-сайта для передачи на подключенное устройство.

«Один из этих API вызывается во время этапа регистрации, в результате чего аппаратное обеспечение генерирует новое общедоступное устройство, пара частного ключа и отправить открытый ключ на веб-сайт », - поясняется в документе. «Веб-сайт вызывает второй API во время аутентификации, чтобы поставить вызов аппаратной части и вернуть подписанный ответ».

Для этого метода не требуется устанавливать какое-либо программное обеспечение, хотя пользователям необходимо будет использовать совместимый с ним веб-браузер с усилием, сказал Google. Протоколы регистрации и аутентификации будут открытыми и бесплатными, и устройство будет подключаться к USB-порту компьютера, не требуя каких-либо специальных драйверов устройств OS.

В принципе, Googlers представляют собой одно устройство, которое люди могут вставлять в слот USB, а затем использовать для входа в любое количество онлайн-аккаунтов одним щелчком мыши.

Поскольку перенос другого устройства может оказаться неприемлемым среди потребителей, Google предлагает, чтобы устройство аутентификации могло быть интегрировано в смартфон или даже украшение. Устройство сможет авторизовать новый компьютер для использования одним нажатием, даже в ситуациях, когда телефон может быть без сотовой связи.

Балансировка, безопасность

Технология направлена ​​на улучшение текущих, факультативный двухступенчатая система проверки. С этой системой, когда пользователи хотят войти в службу Google с нового компьютера, им будет предложено ввести код, отправленный на их предварительно зарегистрированный мобильный телефон, предоставив им доступ к сайту.

Компания говорит о своем опыте с этим система была хороша, хотя ее тоже можно злоупотреблять хакерами. После того, как они украли пароль и вошли в учетную запись, они иногда устанавливали двухфакторную аутентификацию, используя свой собственный номер телефона, «просто чтобы замедлить восстановление учетной записи истинным владельцем», - писали инженеры Google.

Google признает предлагаемый подход USB-ключа является «спекулятивным» и что его необходимо будет принять в широких масштабах. Но фирма заявила, что хочет протестировать устройство на других сайтах.

«Регистрация пользовательских устройств на целевых веб-сайтах должна быть простой и не должна требовать отношений с Google или любой другой третьей стороной», - пишут инженеры. «Протоколы регистрации и аутентификации должны быть открытыми и бесплатными для всех, кто может реализовать их в браузере, на устройстве или на веб-сайте».

Google не сказала, может ли экспериментальная система использовать ее. «Мы сосредоточены на том, чтобы сделать аутентификацию более безопасной и, тем не менее, проще в управлении. Мы считаем, что такие эксперименты могут помочь улучшить систему входа в систему», - сказал представитель по электронной почте.