Google schlägt Schmuck oder ein Gerät als Passwort der nächsten Generation vor

Google glaubt, dass es eine Antwort auf das ärgerliche Problem vergessener oder schwacher Passwörter gefunden hätte:" physische "Passwörter, die in Form eines Stücks von Schmucksachen wie ein Ring.

In einer Forschungsarbeit schreiben zwei ihrer Ingenieure, dass die derzeitigen Strategien zur Verhinderung der Entführung von Online-Konten, einschließlich des zweistufigen Identitätsnachweissystems, unzureichend sind, teilweise aufgrund der ständigen Bedrohung durch Angriffe die neuen Bugs ausnutzen.

Google hebt Phishing hervor, bei dem Hacker Kontoinhaber dazu bringen, sensible Informationen preiszugeben, indem sie sich auf einer falschen Account-Anmeldeseite anmelden. Dies ist eine der größten Sicherheitsbedrohungen von heute.

[Weiter Lesen: Wie man re Malware von Ihrem Windows-PC übertragen]

"Es ist Zeit, auf ausgeklügelte Kennwortregeln zu verzichten und nach etwas Besserem zu suchen", so die Autoren. Das Forschungspapier von Eric Grosse und Mayank Upadhyay von Google wird am 28. Januar in der Publikation IEEE Security & Privacy veröffentlicht. Es wurde erstmals am Freitag von Wired berichtet.

[[Siehe auch " "Passwort" ist immer noch das schlechteste Passwort, aber pass auf "Ninja" und "Wie finde ich Glück in einer Welt des Passwort-Wahnsinns."]

Google testet USB-Gerät

Im Mittelpunkt des Google-Vorschlags steht Eine Idee, die von Unternehmen genutzt wird, hat aber wenig Erfolg bei den Verbrauchern gefunden: ein verschlüsseltes USB-ähnliches Gerät, mit dem sich Benutzer in passwortgeschützte Websites und Online-Konten einloggen können.

Google sagt, es arbeite an einem internen Pilotprojekt Mit einem experimentellen USB-Gerät registrieren sich Benutzer zuerst bei mehreren Websites, auf denen sie Konten haben. Ein kompatibler Browser würde der Website zwei neue APIs (Anwendungsprogrammierschnittstellen) zur Verfügung stellen, die an das angeschlossene Gerät weitergegeben werden.

"Eines dieser APIs wird während des Registrierungsschritts aufgerufen, wodurch die Hardware ein neues öffentliches Gerät generiert." privaten Schlüsselpaar und senden Sie den öffentlichen Schlüssel zurück an die Website ", erklärt das Papier. "Die Website ruft die zweite API während der Authentifizierung auf, um eine Herausforderung für die Hardware zu liefern und die signierte Antwort zurückzugeben."

Die Methode erfordert keine Installation von Software, obwohl Benutzer einen Webbrowser verwenden müssen, der kompatibel ist Mit der Anstrengung, sagte Google. Die Registrierungs- und Authentifizierungsprotokolle wären offen und frei, und das Gerät würde sich mit dem USB eines Computers verbinden, ohne spezielle OS-Gerätetreiber zu benötigen.

Grundsätzlich sehen die Googler ein einzelnes Gerät vor, das Menschen in einen USB-Steckplatz schieben und dann verwenden können sich mit einem einzigen Mausklick in eine beliebige Anzahl von Online-Konten einzuloggen.

Da das Mitführen eines anderen Geräts unter den Verbrauchern nicht beliebt ist, schlägt Google vor, das Authentifizierungsgerät in ein Smartphone oder sogar ein Schmuckstück zu integrieren. Das Gerät könnte einen neuen Computer für die Verwendung mit einem einzigen Tipp autorisieren, selbst in Situationen, in denen das Telefon möglicherweise ohne Mobilfunkverbindung ist.

Balancing hasle, security

Die Technologie zielt darauf ab, die aktuelle Situation des Unternehmens zu verbessern. optionales zweistufiges Verifizierungssystem Wenn sich Benutzer bei diesem System von einem neuen Computer aus bei einem Google-Dienst anmelden möchten, werden sie aufgefordert, einen Code einzugeben, der an ihr vorregistriertes Mobiltelefon gesendet wird und ihnen Zugriff auf die Website gewährt.

Das Unternehmen sagt seine Erfahrung damit System war gut, obwohl es auch von Account-Hackern missbraucht werden kann. Nachdem sie ein Passwort gestohlen und in ein Konto eingedrungen sind, richten sie manchmal eine Zwei-Faktor-Authentifizierung mit ihrer eigenen Telefonnummer ein, "um die Kontowiederherstellung durch den wahren Besitzer zu verlangsamen", schrieben die Google-Ingenieure.

Google gibt es zu Der vorgeschlagene USB-Schlüsselansatz ist "spekulativ" und muss in großem Umfang akzeptiert werden. Aber die Firma sagte, es sei eifrig, das Gerät mit anderen Websites zu testen.

"Die Benutzerregistrierung bei Zielwebsites sollte einfach sein und keine Beziehung mit Google oder anderen Dritten erfordern", schreiben die Entwickler. "Die Registrierungs- und Authentifizierungsprotokolle müssen offen und für jeden Benutzer in einem Browser, Gerät oder auf einer Website frei sein."

Google hat nicht gesagt, ob oder wann das experimentelle System es verwenden könnte. "Wir konzentrieren uns darauf, die Authentifizierung sicherer und gleichzeitig einfacher zu verwalten. Wir glauben, dass solche Experimente dazu beitragen können, dass Anmeldesysteme besser werden", sagte ein Sprecher per E-Mail.