Jak informuje serwis Wired, nad nowymi technologiami uwierzytelniania pracują specjaliści z działu bezpieczeństwa Google. Warto od razu zaznaczyć, że nie są to rozwiązania tworzone z myślą o rychłym wdrożeniu - to raczej prace koncepcyjne, mające przygotować grunt pod "uwierzytelnienie następnej generacji".

Wśród rozważanych przez Google koncepcji znalazło się m.in. zastosowanie karty kryptograficznej Yubico, którą w celu potwierdzenia swojej tożsamości użytkownik umieszczałby w porcie USB komputera. Alternatywą metodą byłoby np. uproszczone logowanie się do serwisu poprzez uruchomienie odpowiedniej opcji w smartfonie użytkownika lub dotknięcie odpowiedniego pola na obudowie komputera kartą smart wbudowaną np. do pierścionka. Oczywiście, w każdym z powyższych wariantów niezbędne będzie, by usługa do której chce się zalogować internauta - np. strona WWW - obsługiwała zaproponowaną przez Google metodę uwierzytelniania.

Zobacz również:

• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
• Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu
• Ta technika rozwiązuje problem ograniczonej wielkości okien kontekstowych obsługujących modele językowe LLM

Propozycje Google zostaną oficjalnie zaprezentowane jeszcze w tym miesiącu - w artykule opublikowanym w branżowym periodyku IEEE Security & Privacy Magazine (jego autorami będą Eric Grosse, wiceprezes koncernu ds. bezpieczeństwa, oraz Mayank Upadhyay, programista z Google). Koncern na razie nie komentuje tych doniesień - firma oświadczyła jedynie, że pracuje nad uczynieniem procesu logowania jeszcze bezpieczniejszym.

Co do tego, że hasła są rozwiązaniem dalekim od doskonałości, specjaliści ds. bezpieczeństwa nie mają wątpliwości - co dzień wszak słyszymy o przypadkach ich kradzieży i łamania. Co więcej, zdecydowana większość używanych dziś haseł jest zbyt słaba i ich złamanie zajmie odpowiednio wykwalifikowanemu hakerowi zaledwie kilka minut (wedle opublikowanego niedawno raportu firmy Splash Data, trzy najpopularniejsze obecnie hasła to "password", "123456" oraz "12345678").

"Same hasła z pewnością nie są wystarczającym rozwiązaniem - ale wydaje się, że są one nieodzownym elementem dwustopniowych systemów uwierzytelniania. Ważne jest, by nowe systemy logowania nie zastępowały haseł, lecz je rozszerzały i wzmacniały" - komentuje Chester Wisniewski, specjalista ds. bezpieczeństwa z firmy Sophos.

Dodajmy, że podręcznikowe zasady tworzenia bezpiecznej metody uwierzytelniania zakładają wykorzystania trzech komponentów: czegoś, co użytkownik ma (np. tokenu); czegoś co użytkownik wie (np. hasło) oraz czegoś, co jest dla niego unikalne (odcisk palca, układ naczyń krwionośnych). Specjaliści zgadzają się, że ścisłe stosowanie tych zasad w "realu" mogłoby być kłopotliwe, ale przyznają też, że zastosowanie dwóch z trzech metod także znacząco podnosi poziom bezpieczeństwa.