Wat kun je met een slimme stekker? - Vraag het Google
Inhoudsopgave:
Google denkt dat het een antwoord heeft gevonden op het irritante probleem van vergeten of zwakke wachtwoorden:" fysieke "wachtwoorden, die in de vorm van een stuk sieraden zoals een ring.
In een onderzoekspaper schrijven twee van zijn ingenieurs dat de huidige strategieën om het kapen van online accounts te voorkomen, inclusief het tweestaps identiteitsverificatiesysteem, onvoldoende zijn, deels vanwege de constante dreiging van aanvallen. die nieuwe bugs uitbuiten.
Google wijst op phishing, waarin hackers hun rekeninghouders misleiden door gevoelige informatie te onthullen door ze in te loggen op een valse accountloginpagina, als een van de grootste beveiligingsbedreigingen van vandaag.
[Meer informatie] lezen: Hoe te re verplaats malware van uw Windows-pc]"Het is tijd om ingewikkelde wachtwoordregels op te geven en op zoek te gaan naar iets beters", zeggen de auteurs. Het onderzoekspaper van Google's Eric Grosse en Mayank Upadhyay wordt op 28 januari gepubliceerd in de publicatie IEEE Security & Privacy. Het werd voor het eerst gemeld door Wired op vrijdag.
[[Zie ook " 'Wachtwoord' is nog steeds het slechtste wachtwoord, maar kijk uit voor 'ninja' en 'Hoe geluk te vinden in een wereld van wachtwoordgekte'.]]
Google test USB-apparaat
De kern van het voorstel van Google is een idee dat het zegt is gebruikt door bedrijven maar heeft weinig succes gevonden bij consumenten: een gecodeerd USB-achtig apparaat dat mensen zouden gebruiken om in te loggen bij met een wachtwoord beveiligde websites en online accounts.
Google zegt dat het werkt aan een interne pilot met een experimenteel USB-apparaat dat gebruikers voor het eerst registreren bij meerdere websites waarop ze accounts hebben. Een compatibele browser zou twee nieuwe API's (application programming interfaces) beschikbaar maken voor de website die moeten worden doorgegeven aan het aangesloten apparaat.
"Een van deze API's wordt tijdens de registratiestap genoemd, waardoor de hardware een nieuwe publiciteit genereert privé-sleutelpaar en stuur de openbare sleutel terug naar de website ", legt het artikel uit. "De website roept de tweede API op tijdens authenticatie om een uitdaging voor de hardware te leveren en de ondertekende reactie terug te sturen."
Voor de methode hoeft geen software te worden geïnstalleerd, hoewel gebruikers een webbrowser moeten gebruiken die voldoet aan de vereisten met de moeite, zei Google. De registratie- en authenticatieprotocollen zouden open en gratis zijn en het apparaat zou verbinding maken met de USB van een computer zonder dat er speciale OS-apparaatstuurprogramma's nodig zouden zijn.
In principe denken de Googlers aan een enkel apparaat dat mensen in een USB-sleuf kunnen schuiven en vervolgens kunnen gebruiken om in te loggen in een onbeperkt aantal online accounts met een enkele muisklik.
Omdat het misschien niet populair is om bij een ander apparaat rond te lopen, suggereert Google dat het authenticatie-apparaat in een smartphone of zelfs een sieraad kan worden geïntegreerd. Het apparaat kan een nieuwe computer autoriseren voor gebruik met één tik, zelfs in situaties waarin de telefoon mogelijk geen mobiele verbinding heeft.
Afwegingsproblemen, beveiliging
De technologie is bedoeld om de huidige, optioneel tweestaps verificatiesysteem. Met dat systeem, wanneer gebruikers zich willen aanmelden bij een Google-service vanaf een nieuwe computer, wordt hen gevraagd een code in te voeren die naar hun vooraf geregistreerde mobiele telefoon wordt gestuurd, waardoor ze toegang tot de site krijgen.
Het bedrijf zegt daar zijn ervaring mee systeem goed was, hoewel het ook kan worden misbruikt door account hackers. Nadat ze een wachtwoord hebben gestolen en op een account hebben gestapt, kunnen ze soms een tweefactorauthenticatie instellen op basis van hun eigen telefoonnummer, 'alleen om het accountherstel door de echte eigenaar te vertragen', hebben de Google-technici gezegd.
Google geeft toe voorgestelde USB-sleutelbenadering is "speculatief" en dat deze op grote schaal moet worden geaccepteerd. Maar het bedrijf zei enthousiast te zijn om het apparaat met andere websites te testen.
"Gebruikersregistratie van apparaten met doelwebsites moet eenvoudig zijn en geen relatie met Google of een andere derde partij vereisen", schrijven de ingenieurs. "De registratie- en verificatieprotocollen moeten open en gratis zijn voor iedereen om te implementeren in een browser, apparaat of website."
Google heeft niet gezegd of en wanneer het experimentele systeem het in gebruik zou kunnen nemen. "We zijn erop gericht om authenticatie veiliger en toch eenvoudiger te beheren te maken. Wij denken dat dergelijke experimenten ons kunnen helpen aanmeldsystemen beter te maken", zei een woordvoerder via e-mail.
Af te halen Google kan op dezelfde dag de verzendservice moeilijk maken voor een zoekgigant Als Google echt van plan is om te gaan naar verzending op dezelfde dag, zal het een pad volgen dat andere grote e-tailers heeft gekaapt, maar de voordelen voor het ecosysteem van Google kunnen enorm zijn als het bedrijf het goed doet.
Wanneer geruchten over "Google Shopping Express, "een verzenddienst van dezelfde dag die naar verluidt al wordt getest door Google-medewerkers, kwam dinsdag eerder op het internet, de meeste mensen misten het meest in het oog springende element van het hele plan: dergelijke inspanningen zijn verraderlijk moeilijk te halen.
Gratis zelfstandige eScan Anti-Virus Toolkit MWAV voor Windows
EScan Anti-Virus Toolkit
Gebruik een USB-schijf als een login-apparaat of een sleutel tot Windows
Meer informatie over het gebruik van een USB-schijf als aanmeldingsapparaat of sleutel tot Windows. Ja, niet meer typen van wachtwoorden elke keer om in te loggen!