Google testuje přihlašování pomocí USB klíče

Společnost Google v současnosti vyvíjí a testuje přihlašování k webovým službám pomocí hardwarového USB klíče namísto hesel.

Společnost o tom informuje v článku, který bude později tento měsíc publikovaný v časopise IEEE Security & Privacy Magazine a ke kterému získal přístup Wired.

Přihlašování pouze heslem je stále hlavní a nejčastěji využívaný způsob přihlašování k webovým službám, ačkoli více webových služeb podporuje i dvoufaktorové přihlašování například s dodatečným kódem zaslaným na SMS nebo vygenerovaným aplikací na smartphone.

Použití pouze hesla pro přihlašování buď nemá v případě slabých hesel dostatečnou bezpečnost nebo je nepohodlné vzhledem k potřebě pamatovat si komplikované hesla pro různé služby. Navíc přihlašování jen heslem je překonatelné několika dalšími typy útoků kromě hádání hesla, které jsou účinné bez ohledu na komplikovanost hesla.

Situaci zlepšují například nástroje pro správu hesel, ty ale snižují použitelnost podporou jen vybraných platforem a přinášejí další bezpečnostní rizika.

V rámci vývoje a testování nového způsobu přihlašování Google podle dostupných informací do svého prohlížeče Chrome přidal podporu automatického přihlašování k účtu pomocí kryptografického USB klíče od společnosti Yubico. Podle informací Wired prohlížeč při vloženém klíči při návštěvě stránky webové služby majitele automaticky přihlásí, potřebné je předtím jen registrovat klíč k uživatelově účtu v dané službě.

Není jasné jaké přesně funkce poskytuje využívaný klíč. Standardní produkty Yubico dokáží generovat kryptograficky bezpečné jednorázové kódy. Tváří se jako USB klávesnice a po stisknutí tlačítka kód vloží.

Podle naznačených informací bude nový způsob přihlašování oproti standardnímu přihlašování heslem ale bezpečnější a zřejmě také pohodlnější.

Společnost neplánuje tento způsob přihlašování jen pro své služby, vyvinula protokol určený pro implemetaci prohlížeči, webovými stránkami a zařízeními umožňující využívat takové přihlašování. Použitým zařízením na autentizaci mohou být kromě kryptografického USB klíče například i smartphone nebo prsten s podporou NFC.

Technické detaily ani to kdy Google bude podporovat toto přihlašování u svých služeb zatím není známo

Přihlašování s vyšší bezpečností Google nabízí pro běžné uživatele už cca dva roky, když na začátku roku 2011 přidal podporu dvoufaktorové přihlašování s jednorázovými kódy dle standardu Oath. Takové přihlašování je ale poměrně nepohodlné, když vyžaduje spuštění aplikace na smartphone nebo přečtení SMS a přepsání šestimístných přirozených kódu do PC.

Na začátku loňského roku testoval Google i přihlašování v prohlížeči na PC bez zadávání hesla, pomocí skenování QR kódu smartphonem a potvrzení přihlášení na smartphoně. Test po širší medializaci ale zrušil a do budoucna avizoval uvedení „ještě lepšího způsobu“ přihlašování.

Zdroj: DSL.sk

 

Komentáře

Nahoru