Kan hardware het wachtwoord helpen doden? Google denkt dat

Om het internet te helpen verder te gaan met gebruikersnamen en wachtwoorden, wil Google er een belletje op zetten.

De technici van Google hebben geëxperimenteerd met hardware die zou fungeren als een masterkey voor online services. Voorbeelden hiervan zijn een slimme ring voor uw vinger, een cryptografische USB-stick of een token ingebed in smartphones. Google-vice-president van beveiliging Eric Grosse en ingenieur Mayank Upadhyay schetsen hun voorstel in een onderzoekspaper voor het IEEE Security & Privacy Magazine van deze maand, volgens een rapport in Wired.

Het idee is om externe hackers te voorkomen van toegang tot online accounts via gestolen gebruikersnamen en wachtwoorden. Zonder fysiek het inlogapparaat te stelen, zouden ze geen andere manier hebben om toegang te krijgen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Sommige webservices bieden dit type beveiliging al in twee stappen authenticatie. Wanneer u zich bijvoorbeeld aanmeldt bij Gmail op een niet-herkende pc, kunt u Google een sms-bericht met een bevestigingscode naar uw telefoon sturen. Nadat je de code hebt ingevoerd, kan Gmail die pc voor altijd onthouden.

Het probleem met authenticatie in twee stappen is dat het lastig is om al je computers te valideren en het proces te doorlopen om e-mail op de computer van een vriend te controleren. Aanmelden wanneer uw telefoon buiten dienst is, kan ook een probleem zijn, hoewel Google wel 10 back-upcodes voor die situatie levert.

Een fysiek apparaat - in het ideale geval een apparaat dat draadloos met computers kan communiceren - zou het proces eenvoudiger maken. "We willen dat uw smartphone of smartcard-ingesloten vingerring een nieuwe computer autoriseert via een tik op de computer, zelfs in situaties waarin uw telefoon mogelijk geen mobiele verbinding heeft", schrijven de technici van Google.

Natuurlijk vertrouwt een ring of ander apparaat om in te loggen verhoogt zijn eigen uitdagingen. Er moet een aanmeldingsmethode voor back-ups zijn - een methode die veiliger is dan alleen een wachtwoord - voor het geval het apparaat zoekraakt of beschadigd raakt. En hoewel een ring of ander op contact gebaseerd apparaat zou helpen gebruikers te beschermen tegen verre hackers, zou het gemakkelijker zijn om te stelen door echtgenoten, collega's of kinderen. De technici van Google geven toe dat ze mogelijk nog steeds wachtwoorden nodig hebben, maar die wachtwoorden hoeven niet zo complex te zijn als de huidige hackerbestendige formules. Ook zal niet iedereen een ring willen dragen of zijn telefoon de hele tijd willen dragen alleen maar om zijn of haar computer te gebruiken.

Webontwikkelaars moeten ook aan boord gaan, of op zijn minst services zoals Account Chooser omarmen, die grotere diensten zoals Facebook of Google fungeren als hoofdinlog voor kleinere sites. Anders moeten we nog steeds een heleboel wachtwoorden onthouden voor sites die niet zijn gebaseerd op op hardware gebaseerde verificatie.

Google is niet de enige technologie-reus die geïnteresseerd is in het vervangen van het wachtwoord. Vorig jaar kocht Apple AuthenTec, een bedrijf voor vingerafdrukscanners, wat leidde tot geruchten dat toekomstige iPhones vingerafdruksensoren konden hebben ingebouwd in hun eigen knoppen. Het idee om het wachtwoord te doden werd vorig jaar een populair begrip, nadat een slimme hacker erin slaagde om het digitale leven van Wired-verslaggever Mat Honan uitwissen. In zekere zin was het een wake-up call, maar gezien hoe vaak grote websites gehackt worden, lijkt een betere oplossing nu al lang op zich te laten wachten. Hardware-oplossingen van de grootste technische spelers ter wereld kunnen precies zijn wat we nodig hebben.