Google szuka alternatywy dla haseł
- Antoni Steliński,
- 21.01.2013, godz. 11:50
Koncern Google pracuje nad kilkoma rozwiązaniami, które mogłyby zastąpić tradycyjne wpisywanie haseł podczas logowania się do serwisów i usług. Wygląda jednak na to, że jest jeszcze zbyt wcześnie, by wieszczyć "koniec ery haseł" - bo choć specjaliści zgadzają się co do tego, że tej metodzie logowania się daleko do doskonałości, to na razie trudno sobie wyobrazić całkowite jej wyeliminowanie.
- RSA i Citrix opracowały wspólny system bezpieczeństwa
- Szyfrowanie PPTP i WPA2-Enterprise można złamać w niecały dzień
Polecamy:
Wśród rozważanych przez Google koncepcji znalazło się m.in. zastosowanie karty kryptograficznej Yubico, którą w celu potwierdzenia swojej tożsamości użytkownik umieszczałby w porcie USB komputera. Alternatywą metodą byłoby np. uproszczone logowanie się do serwisu poprzez uruchomienie odpowiedniej opcji w smartfonie użytkownika lub dotknięcie odpowiedniego pola na obudowie komputera kartą smart wbudowaną np. do pierścionka. Oczywiście, w każdym z powyższych wariantów niezbędne będzie, by usługa do której chce się zalogować internauta - np. strona WWW - obsługiwała zaproponowaną przez Google metodę uwierzytelniania.
Zobacz również:
- Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
- Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu
- Ta technika rozwiązuje problem ograniczonej wielkości okien kontekstowych obsługujących modele językowe LLM
Propozycje Google zostaną oficjalnie zaprezentowane jeszcze w tym miesiącu - w artykule opublikowanym w branżowym periodyku IEEE Security & Privacy Magazine (jego autorami będą Eric Grosse, wiceprezes koncernu ds. bezpieczeństwa, oraz Mayank Upadhyay, programista z Google). Koncern na razie nie komentuje tych doniesień - firma oświadczyła jedynie, że pracuje nad uczynieniem procesu logowania jeszcze bezpieczniejszym.
Co do tego, że hasła są rozwiązaniem dalekim od doskonałości, specjaliści ds. bezpieczeństwa nie mają wątpliwości - co dzień wszak słyszymy o przypadkach ich kradzieży i łamania. Co więcej, zdecydowana większość używanych dziś haseł jest zbyt słaba i ich złamanie zajmie odpowiednio wykwalifikowanemu hakerowi zaledwie kilka minut (wedle opublikowanego niedawno raportu firmy Splash Data, trzy najpopularniejsze obecnie hasła to "password", "123456" oraz "12345678").
"Same hasła z pewnością nie są wystarczającym rozwiązaniem - ale wydaje się, że są one nieodzownym elementem dwustopniowych systemów uwierzytelniania. Ważne jest, by nowe systemy logowania nie zastępowały haseł, lecz je rozszerzały i wzmacniały" - komentuje Chester Wisniewski, specjalista ds. bezpieczeństwa z firmy Sophos.
Dodajmy, że podręcznikowe zasady tworzenia bezpiecznej metody uwierzytelniania zakładają wykorzystania trzech komponentów: czegoś, co użytkownik ma (np. tokenu); czegoś co użytkownik wie (np. hasło) oraz czegoś, co jest dla niego unikalne (odcisk palca, układ naczyń krwionośnych). Specjaliści zgadzają się, że ścisłe stosowanie tych zasad w "realu" mogłoby być kłopotliwe, ale przyznają też, że zastosowanie dwóch z trzech metod także znacząco podnosi poziom bezpieczeństwa.