Google suggerisce gioielli o dispositivi come password di nuova generazione

Google pensa che potrebbe aver trovato una risposta al fastidioso problema delle password dimenticate o deboli: password" fisiche ", che potrebbero presentarsi sotto forma di un pezzo di gioielli come un anello.

In un documento di ricerca, due dei suoi ingegneri scrivono che le attuali strategie per prevenire il dirottamento di account online, incluso il sistema di verifica dell'identità in due fasi, sono insufficienti, in parte a causa della costante minaccia di attacchi che sfruttano nuovi bug.

Google mette in evidenza il phishing, in cui gli hacker ingannano i titolari degli account per rivelare informazioni sensibili facendoli accedere a una pagina di accesso degli account falsi, come una delle più grandi minacce alla sicurezza di oggi.

[Ulteriori informazioni lettura: come ri sposta malware dal tuo PC Windows]

"È tempo di rinunciare a regole complicate per la password e cercare qualcosa di meglio", affermano gli autori. Il documento di ricerca, di Google Eric Grosse e Mayank Upadhyay, sarà pubblicato il 28 gennaio nella pubblicazione Sicurezza e privacy IEEE. È stato segnalato per la prima volta da Wired il venerdì.

[[Vedi anche " 'Password' è ancora la peggiore password, ma fai attenzione a 'ninja' "e" Come trovare la felicità in un mondo di follia della password. "]]

Google verifica il dispositivo USB

Al centro della proposta di Google è un'idea che dice che è stata utilizzata dalle aziende ma che ha riscontrato scarso successo tra i consumatori: un dispositivo simile a USB crittografato che le persone utilizzerebbero per accedere a siti Web protetti da password e account online.

Google afferma che sta lavorando a un progetto pilota interno con un dispositivo USB sperimentale che gli utenti registrano per la prima volta su più siti Web in cui dispongono di account. Un browser conforme renderebbe disponibili al sito Web due nuove API (interfacce di programmazione delle applicazioni) da passare al dispositivo collegato.

"Una di queste API viene chiamata durante la fase di registrazione, causando la generazione di un nuovo pubblico da parte dell'hardware coppia di chiavi private e inviare la chiave pubblica al sito web ", spiega il documento. "Il sito Web chiama la seconda API durante l'autenticazione per fornire una sfida all'hardware e restituire la risposta firmata."

Il metodo non richiede l'installazione di alcun software, sebbene gli utenti debbano utilizzare un browser Web conforme con lo sforzo, Google ha detto. I protocolli di registrazione e autenticazione sarebbero aperti e gratuiti e il dispositivo si collegherebbe all'USB di un computer senza bisogno di driver speciali per i sistemi operativi.

Fondamentalmente, i googler immaginano un singolo dispositivo che le persone possano inserire in uno slot USB e quindi utilizzare per accedere a qualsiasi numero di account online con un solo clic del mouse.

Poiché il trasporto di un altro dispositivo potrebbe non essere popolare tra i consumatori, Google suggerisce che il dispositivo di autenticazione potrebbe essere integrato in uno smartphone o persino in un gioiello. Il dispositivo sarebbe in grado di autorizzare un nuovo computer da utilizzare con un solo tocco, anche in situazioni in cui il telefono potrebbe essere privo di connettività cellulare.

Balancing hassle, security

La tecnologia mira a migliorare l'attuale dell'azienda, sistema di verifica in due passaggi opzionale. Con questo sistema, quando gli utenti vogliono accedere a un servizio di Google da un nuovo computer, gli viene richiesto di inserire un codice inviato al loro cellulare preregistrato, garantendo loro l'accesso al sito.

La società dice che la sua esperienza con questo il sistema è stato buono, anche se può essere abusato dagli hacker di account. Dopo aver rubato una password e fatto irruzione in un account, a volte impostano un'autenticazione a due fattori utilizzando il proprio numero di telefono, "solo per rallentare il recupero dell'account da parte del vero proprietario", hanno scritto gli ingegneri di Google.

Google ammette l'approccio proposto per le chiavi USB è "speculativo" e dovrà essere accettato su vasta scala. Ma l'azienda ha detto che è desideroso testare il dispositivo con altri siti Web.

"La registrazione del dispositivo dell'utente con i siti web di destinazione dovrebbe essere semplice e non dovrebbe richiedere una relazione con Google o qualsiasi altra terza parte", scrivono gli ingegneri. "I protocolli di registrazione e autenticazione devono essere aperti e gratuiti affinché chiunque possa implementarli in un browser, dispositivo o sito Web."

Google non ha specificato se o quando il sistema sperimentale potrebbe renderlo operativo. "Il nostro obiettivo è rendere l'autenticazione più sicura e ancora più semplice da gestire: riteniamo che esperimenti come questi possano contribuire a migliorare i sistemi di accesso", ha dichiarato un portavoce via email.