Google chce zabić hasła i eksperymentuje z lekko szokującymi metodami logowania

Project Abacus został zaprezentowany po raz pierwszy przez Google na ubiegłorocznej konferencji Google I/O. W tym roku przemianowano go na Trust API i zaprezentowano w praktyce. Jest to rozwiązanie, które ma stanowić początek końca haseł w internecie. Specjalny algorytm oblicza współczynnik "Trust Score", na który składa się wiele czynników, jak: sposób wprowadzania przez użytkownika tekstu, głos, twarz, lokalizacja i wiele, wiele innych. W dużym skrócie chodzi po prostu o jak najskuteczniejsze zidentyfikowanie osoby, która próbuje się zalogować do danej aplikacji, konta czy strony www. W zależności od uzyskanego wyniku, mechanizm podejmuje decyzje, czy prosić użytkownika o hasło czy też nie.

Jak donosi TechCrunch mechanizm ten ma być wdrożony już tego lata. Obecnie testowany jest on już przez duże instytucje finansowe, a także amerykańskie uczelnie. Programiści i twórcy aplikacji otrzymają dostęp do specjalnego API, które będzie pozwalało im wykorzystać Trust Score do logowania w ich programach czy usługach. Co ciekawe, mechanizm ma się świetnie adaptować do sytuacji i np. w przypadku logowania do banku konieczne będzie uzyskanie wyższego współczynnika niż do Spotify czy Netfliksa. Brzmi to całkiem logicznie. W praktyce wygląda jednak przerażająco, o czym kilka dni temu informował Niebezpiecznik. Jeden z czytelników bloga najprawdopodobniej został właśnie w taki sposób zalogowany. Na nowym tablecie Google poprosił go jedynie o wskazanie miasta logowania, co wystarczyło do uzyskania dostępu. Jak sam pisze:

Po nieudanej próbie wpisania hasła google zaproponował mi alternatywną metodę logowania: zapytał o miasto z którego najczęściej się loguję. Podałem i o zgrozo zostałem zalogowany.
Wprawdzie nie mogę zmienić ustawień konta, ale mam dostęp do poczty = mogę zmienić dane do logowania zasadniczo dowolnego serwisu w jakim użyty był ten adres.

Nie są to pierwsze ruchy Google'a na tym gruncie. Firma już od jakiegoś czasu rozwija mechanizm SmartLock, który od niedawna działa również w aplikacjach. Jednorazowo logując się do wybranych programów, mamy gwarancję, że przy następnej okazji, na każdym urządzeniu z podpiętym naszym kontem Google zostaniemy zalogowani już automatycznie. Wszystkie hasła są przechowywane na serwerach firmy, więc nie musimy się przejmować ich zapamiętywaniem. A to nie wszystko, bo SmartLock to również zdolność do odblokowywania naszego urządzenia w momencie, gdy jesteśmy połączeni z określonym akcesorium (np. smartwatchem, opaską, słuchawkami) lub znajdujemy się we wskazanej lokalizacji (np. praca czy dom).

Czytaj dalej poniżej

Użytkownicy Androida, imponujące Instant Apps nadchodzą! Konrad Kozłowski

Google zbiera pierwsze owoce powstania Daydream. Unreal oraz Unity wchodzą do gry! Jakub Szczęsny

Wizja internetu bez haseł wydaje się niewątpliwie kusząca. Z drugiej jednak strony to również ogromne ryzyko. Centralny magazyn przechowujący wszystkie hasła użytkowników (nawet w postaci zaszyfrowanej) jest łakomym kąskiem dla cyberprzestępców, a praktyka pokazuje, że nawet najwięksi internetowi giganci nie są w stanie ustrzec się wycieków informacji.