Google foreslår smykker eller en enhet som neste passord

Google mener det kan ha funnet svar på det bekymrende problemet med glemte eller svake passord:" fysiske "passord, som kan komme i form av et stykke smykker som en ring. I et forskningspapir skriver to av sine ingeniører at dagens strategier for å forhindre kapring av elektroniske kontoer, inkludert to-trinns identifikasjonsbekreftelsessystem, er utilstrekkelige, delvis på grunn av den konstante trusselen om angrep som utnytter nye bugs.

Google fremhever phishing, der hackere dirigerer kontoinnehavere til å avsløre sensitiv informasjon ved å få dem til å logge på en feilsøkingslogg-side som en av de største sikkerhetsrisikoen i dag.

[Videre lesing: Hvordan re flytt malware fra din Windows-PC]

"Det er på tide å gi opp på utførlige passordregler og se etter noe bedre," forfatterne sier. Forskningspapiret, fra Googles Eric Grosse og Mayank Upadhyay, skal publiseres 28. januar i publikasjonen

IEEE Security & Privacy. Det ble først rapportert av Wired på fredag. [[Se også " «Passord» er fortsatt det verste passordet, men pass opp for 'ninja' og 'Hvordan finne lykke i en verden med passordets vanvittighet.]]

Google-tester USB-enhet

Kjernen til Googles forslag er En ide som det sier, har blitt brukt av bedrifter, men har funnet liten suksess blant forbrukerne: En kryptert USB-lignende enhet som folk ville bruke til å logge inn på passordbeskyttede nettsteder og online-kontoer.

Google sier at den jobber med en intern pilot med en eksperimentell USB-enhet som brukerne først registrerer seg på flere nettsteder der de har kontoer. En kompatibel nettleser vil gjøre to nye APIer (programprogrammeringsgrensesnitt) tilgjengelig for nettstedet som skal sendes ned til den vedlagte enheten.

"En av disse APIene kalles under registreringsstrinnet, noe som fører til at maskinvaren genererer en ny offentlig- privat nøkkelpar og send offentlig nøkkel tilbake til nettsiden, "forklarer papiret. "Nettstedet kaller den andre API-en under autentisering for å levere en utfordring til maskinvaren og returnere den signerte responsen."

Metoden krever ikke at noen programvare skal installeres, men brukerne må bruke en nettleser som er kompatibel med innsatsen, sa Google. Registrerings- og autentiseringsprotokollene vil være åpne og gratis, og enheten vil koble til en datamaskinens USB uten at det trengs noen spesielle OS-enhetsdrivere.

Googlerne ser i utgangspunktet en enkelt enhet som folk kan glide inn i en USB-spor og deretter bruke for å logge på et hvilket som helst antall elektroniske kontoer med et enkelt museklikk. Fordi å bære rundt en annen enhet, kan det ikke vise seg å være populær blant forbrukerne, foreslår Google at autentiseringsenheten kan integreres i en smarttelefon eller til og med et smykke. Enheten vil være i stand til å autorisere en ny datamaskin til bruk med en enkelt trykk, selv i situasjoner der telefonen kan være uten mobiltilkobling.

Balanseringstrøm, sikkerhet

Teknologien tar sikte på å forbedre selskapets nåværende, valgfritt to-trinns verifikasjonssystem. Med det systemet, når brukere vil logge inn på en Google-tjeneste fra en ny datamaskin, blir de bedt om å legge inn en kode som sendes til sin forhåndsregistrerte mobiltelefon, og gi dem tilgang til nettstedet.

Selskapet sier sin erfaring med det systemet har vært bra, selv om det også kan bli misbrukt av konto hackere. Etter at de stjeler et passord og bryter inn i en konto, konfigurerer de noen ganger en tofaktorautentisering ved å bruke sitt eget telefonnummer, "bare for å redusere kontoopprettingen av den sanne eieren," skrev Google-ingeniører.

Google innrømmer sin Foreslått USB-nøkkel tilnærming er "spekulativ" og at den må aksepteres i stor skala. Men firmaet sa at det er ivrig etter å teste enheten med andre nettsteder.

"Registrering av brukerenhet med målrettede nettsteder bør være enkel og bør ikke kreve et forhold til Google eller noen annen tredjepart," skriver ingeniører. "Registrerings- og autentiseringsprotokollene må være åpne og gratis for alle å implementere i en nettleser, enhet eller nettside."

Google sa ikke om eller når eksperimentelt system kan gjøre det i bruk. "Vi er fokusert på å gjøre godkjenningen mer sikker og enda enklere å håndtere. Vi tror at eksperimenter som disse kan bidra til å gjøre innloggingssystemene bedre," sa en talsmann via e-post.