Искате ли по-лесен начин да влезете във вашия Gmail акаунт? Какво ще кажете, например, да чукнете върху компютъра с халката на пръста ви?
Това може да ви се случи даже още по-скоро, отколкото очаквате. Екипът за сигурност на Google описва този тип идентификация чрез пръстен в ново изследване, което ще бъде публикувано преди края на този месец в инженерното издание IEEE Security & Privacy Magazine.
В него вицепрезидентът на Google по сигурността Ерик Грос и инженерът Маянк Упадхуай описват всякакви начини, по които според тях хората биха могли да се идентифицират пред сайтовете в бъдещето.
Крайно време е паролите да останат в историята като отживелица
2012 г. вероятно ще се запомни като годината, в която "парола" се превърна в мръсна дума. Изглеждаше, че всеки в Интернет през нея получи минимум милион спам-писма или отчаяни молби за пари (любимите "ограбен съм в чужбина" измами) от хакнати имейл акаунти на познати и приятели.
Пак през тази година, журналист от Wired на име Мат Хонън демонстрира на всички колко болезнено и вредно за всеки може да бъде такова хакване. През август 2012 акаунтът му в Gmail бе хакнат и изтрит. Хакерите впоследствие превзеха Twitter акаунта му и публикуваха там расистки послания, дистанционно изтриха данните от неговите iPhone, iPad и лаптоп, унищожавайки поне едногодишни архиви на имейли и снимки.
Случилото се с Хонън бе живото доказателство, че
с един хакнат акаунт може да бъде заличен целият живот на човек онлайн
Паролите са евтин и лесен начин за идентифициране на браузващите в уеб, но те просто вече не са достатъчно надеждни за сегашния Интернет - и вероятно никога няма и да бъдат. Google също са съгласни с това твърдение. "Наравно с много представители на бранша смятаме, че паролите и простите идентификатори от рода на бисквитките на браузъра вече не са достатъчни, за да гарантират безопасността на потребителите," пишат Грос и Упадхуай.
Затова те експериментират с миниатюрна криптографска карта, която при поставяне в USB четец може автоматично да идентифицира сърфиращия пред Google. Принципът не е много по-различен от електронния подпис и електронните „ключове" на някои професионални програми.
Наложили са се модификации в браузъра на Google, за да работи с тези карти, но не се изисква изтегляне на допълнителен софтуер, а след като поддръжката от браузъри бъде налице, картите ще станат лесни за употреба.
Зареждате уеб сайта, поставяте USB стикчето и
влизате с единично кликване на мишката
Изследователите описват бъдеще, в което идентифицирате едно устройство (например вашия смартфон или нещо като описаната криптографска USB карта) и я използвате почти като ключ за кола, за да заредите онлайн акаунтите си и уеб пощата.
Според тях нещата ще стават дори още по-лесни, като вероятно свързването с компютъра ще става чрез безжична връзка. "Бихме предпочели смартфонът ви или поддържащият смарткарти пръстен да ви оторизира на нов компютър с докосване до компютъра, дори в ситуации, в които телефонът ви може да е без връзка с мобилните мрежи," пишат Грос и Упадхуай.
Бъдещето може и да не е напълно лишено от пароли, но поне ще ви отърве от тези сложни, трудни за запомняне комбинации от цифри и букви, заявява Грос. "Ще трябва да има някакъв начин за разблокиране при проблем: може това да бъдат пароли, може и да е нещо друго," пояснява той, "но първичната идентификация ще е с "ключ" от този род, или еквивалентен тип хардуер."
Това означава, че ако някой открадне картата ви или смарт-пръстена, ще трябва да ги обявите за откраднати максимално бързо
Грос и Упадхуай вярват, че след като достатъчно голям брой уеб сайтове поддържат тази концентрирана върху физически устройства техника за идентификация, хората като цяло няма да се нуждаят от дълги и сложни пароли, освен в редки случаи - примерно когато правят сериозни промени в акаунта си.
Но за да може планът на Google за отърваване от паролите да има успех, те имат нужда от други уеб сайтове, които да се включат. "И други компании са възприемали подобен подход, но не са постигали особен успех сред масовите потребители," пишат изследователите. "Въпреки че съзнаваме, че нашата инициатива вероятно ще остане също толкова хипотетична, докато не постигнем масово възприемане, имаме голямото желание да я тестваме в други уеб сайтове."
Поради това те са разработили (засега безименен) протокол за идентификация чрез устройства, който по техни твърдения не е обвързан с Google, не изисква специален софтуер, освен уеб браузър, който поддържа стандарта за идентификация. Освен това, протоколът възпрепятства уеб сайтовете да използват тази технология за проследяване на потребителите.
Хубавото в подхода на Google е, че той
заобикаля често срещаната атака
която дори сегашната "двустъпкова" система за идентификация чрез мобилен телефон не може да предотврати.
Преди около 2 години Google въведоха опция за влизане чрез две стъпки, която затруднява проникването на хакери във вашия акаунт. Чрез тази опция Google обикновено изпращат таен код чрез SMS съобщение, когато се опитате да влезете в акаунта си от нов компютър.
Проблемът обаче е, че ако престъпници успеят да ви убедят, че посещавате Gmail, когато всъщност се намирате на друг сайт, не е невъзможно да бъдете подведени да въведете този таен код. Злонамерените хакери могат дори да обърнат двустъпковата идентификация срещу нормалните потребители. Понякога те добавят собствения си телефонен номер към акаунта, "просто за да забавят възстановяването му от реалния собственик," пояснява изследването.
