Google foreslår smykker eller en enhed som en næste gen adgangskode

Google mener, at det måske har fundet svar på det bekymrende problem med glemte eller svage adgangskoder:" fysiske "adgangskoder, som kan komme i form af et stykke smykker som en ring. I et forskningspapir skriver to af sine ingeniører, at de nuværende strategier for at forhindre kapring af onlinekonti, herunder 2-trins identifikationsbekræftelsessystem, er utilstrækkelige, dels på grund af den konstante trussel om angreb der udnytter nye fejl.

Google fremhæver phishing, hvor hackere gør kontohavere opmærksomme på at afsløre følsomme oplysninger ved at lade dem logge ind på en fejlsøgningsloginside som en af ​​de største sikkerhedsrisici i dag.

[Yderligere læsning: Sådan re flyt malware fra din Windows-pc]

"Det er på tide at give op på udførlige kodeordregler og se efter noget bedre," siger forfatterne. Forskningspapiret, fra Googles Eric Grosse og Mayank Upadhyay, offentliggøres 28. januar i publikationen

IEEE Security & Privacy. Det blev først rapporteret af Wired på fredag. [[Se også " 'Password' er stadig den værste adgangskode, men pas på 'ninja' og 'Sådan finder du lykke i en verden af ​​password-galskab.']]

Google-tests USB-enhed

Kernen i Googles forslag er En ide, som det siger, har været brugt af virksomheder, men har fundet lidt succes blandt forbrugerne: En krypteret USB-lignende enhed, som folk ville bruge til at logge ind på adgangskodebeskyttede websteder og online-konti.

Google siger, at det arbejder på en intern pilot med en eksperimentel USB-enhed, som brugerne først registrerer med flere websteder, hvor de har konti. En kompatibel browser vil gøre to nye API'er (applikationsprogrammeringsgrænseflader) tilgængelige for hjemmesiden, der skal sendes ned til den vedhæftede enhed.

"Et af disse API'er kaldes under registreringsstrinnet, hvilket får hardwaren til at generere en ny offentlig- private nøglepar og send den offentlige nøgle tilbage til hjemmesiden, "forklarer papiret. "Websitet kalder den anden API under godkendelse for at levere en udfordring til hardwaren og returnere det underskrevne svar."

Metoden kræver ikke nogen software, der skal installeres, selvom brugerne skal bruge en webbrowser, der er kompatibel med indsatsen, sagde google. Registrerings- og godkendelsesprotokollerne ville være åbne og gratis, og enheden ville forbinde med en computers USB uden at behøve nogen specielle OS-enhedsdrivere.

Googlerne forestiller sig i princippet en enkelt enhed, som folk kan glide ind i en USB-slot og derefter bruge at logge ind på et vilkårligt antal online-konti med et enkelt klik med musen.

Fordi at transportere en anden enhed, kan det ikke vise sig populært blandt forbrugerne, foreslår Google, at godkendelsesenheden kan integreres i en smartphone eller endda et smykke. Enheden ville være i stand til at autorisere en ny computer til brug med et enkelt tryk, selv i situationer, hvor telefonen muligvis ikke er mobilforbindelse.

Balancering af besvær, sikkerhed

Teknologien sigter mod at forbedre virksomhedens nuværende, valgfrit to-trins verifikationssystem. Med det system, når brugere vil logge ind på en Google-tjeneste fra en ny computer, bliver de bedt om at indtaste en kode, der sendes til deres preregistered-mobiltelefon, og give dem adgang til webstedet.

Virksomheden siger sin erfaring med det systemet har været godt, selv om det også kan misbruges af konto hackere. Efter at de stjæler en adgangskode og bryder ind i en konto, opretter de undertiden en tofaktorautentificering ved hjælp af deres eget telefonnummer, "for at formindske kontogendannelse fra den sande ejer", skrev Google-ingeniører.

Google tillader det Den foreslåede USB-nøgle tilgang er "spekulativ", og at den skal accepteres i vid udstrækning. Men firmaet sagde, at det er ivrig efter at teste enheden med andre hjemmesider.

"Registrering af brugerenhed med målwebsteder skal være enkel og bør ikke kræve et forhold til Google eller nogen anden tredjepart," skriver ingeniørerne. "Registrerings- og godkendelsesprotokollerne skal være åbne og gratis for alle at implementere i en browser, enhed eller website."

Google sagde ikke, om eller hvornår eksperimentelt system muligvis gør det i brug. "Vi er fokuserede på at gøre autentificering mere sikker og endnu nemmere at håndtere. Vi mener, at eksperimenter som disse kan hjælpe med at gøre login-systemer bedre," sagde en talsmand via e-mail.