43

Czy Google planuje zrezygnować z haseł na Gmailu?

Według doniesień Wired Google planuje wprowadzenie nowego systemu logowania do swoich usług. Firma rozpoczęła pilotażowe prace nad nowym projektem mającym przetestować nowy system rozpoznawania użytkownika oparty na logowaniu się za pomocą klucza USB YubiKey, ale może już niebawem będziemy logowali się do Gmaila za pomocą dotknięcia komputera “magicznym pierścieniem” znajdującym się na naszym palcu. Mam […]

Według doniesień Wired Google planuje wprowadzenie nowego systemu logowania do swoich usług. Firma rozpoczęła pilotażowe prace nad nowym projektem mającym przetestować nowy system rozpoznawania użytkownika oparty na logowaniu się za pomocą klucza USB YubiKey, ale może już niebawem będziemy logowali się do Gmaila za pomocą dotknięcia komputera “magicznym pierścieniem” znajdującym się na naszym palcu.

Mam tylko nadzieję, że Google nie “wykuje” mitycznego pierścienia rodem z Władcy Pierścieni J.R. Tolkiena i nie zapragnie wprowadzić w życie maksymy “One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the Darkness bind them” (“Jeden, by wszystkimi rządzić, jeden, by wszystkie odnaleźć,
Jeden, by wszystkie zgromadzić i w ciemności związać.
” tłumaczenie:M. Skibniewska)

Stopień zaawansowania prac nad “pierścieniem do logowania” ma zostać niebawem ogłoszony publicznie i będzie można się zapoznać ze szczegółami na łamach strony IEEE Security and Privacy Magazine. W artykule będzie można zapoznać się z wypowiedzią Vice Prezydenta Google do spraw bezpieczeństwa Erica Grosse oraz Mayanka Upadhyaya, inżyniera pracującego nad projektem, którzy to panowie przybliżą nam przyszłościowe i nowoczesne sposoby logowania się na strony wymagające obecnie wpisywania hasła.

gmailHAcked

Według Wire, rok 2012 to rok w którym “hasło zostało złamane”. Podają oni przykład jednego z autorów tekstów na tymże portalu Mata Honana, który na własnej skórze doświadczył, jak bardzo dotkliwe w skutkach może być uzyskanie dostępu do kona Gmail przez osoby do tego niepowołane. Konto Honana zostało skasowane, wraz z jego cała zawartością, która została utracona na zawsze, dodatkowo sprawcy wykasowali wszystkie dane z jego laptopa, iPada i iPhona – jego całe “cyfrowe życie” zostało skasowane. W bonusie sprawcy “tego psikusa”, także przejęte jego konto na Twitterze z którego powysyłali rasistowskie wiadomości. Nie chciałbym aby mi się coś podobnego przydarzyło…

Jak twierdzą przedstawiciele Google: hasła są najtańszą metodą autoryzacji użytkowników internetu ale nigdy nie były i nie będą najbezpieczniejszą metodą, nadszedł więc czas na zmianę standardów bezpieczeństwa.

Jak działa YubiKey?

YubicoHolidayPack

Google zmodyfikowała odpowiednio przeglądarkę Chrome, tak aby współpracowała ona z tym rodzajem zabezpieczenia. Kryptograficzny klucz USB wystarczy wsunąć do wolnego portu USB i automatycznie zaloguje on nas do konta Google – to wszystko co musi zrobić użytkownik;). Odsyłam do strony Yubico aby dowiedzieć się więcej na temat samego klucza, można tam też kupić ten rodzaj zabezpieczania  jest dostępnych kilka wersji – jeśli już ktoś go posiada, to czekam na komentarz z opinią na temat użytkowania takiego klucza;).

Firma Google przewiduje, że właśnie takie zabezpieczenia jak YubiKey są przyszłościowe i działają one na podobnej zasadzie, jak dzisiaj powszechnie używane przez nas wszystkich kluczyki do samochodu, z tym że zamiast auta odpalają one Twoją przeglądarkę i logują Cię automatycznie do konta Google czy innych kont, które wymagają obecnie wklepywania hasła.

A w przyszłości będzie jeszcze prościej.

yubikey-computer

Google chce aby już niebawem do takiej autoryzacji nie był nam potrzebny specjalny klucz, ale cała robotę wykona za nas “pierścień autoryzacji” lub telefon komórkowy, niezależnie nawet czy będzie on w zasięgu sieci GSM – LTE czy z jakiej tam sieci będziemy korzystać w przyszłości. Procedura autoryzacji nowego komputera będzie polegała na dotknięciu go pierścieniem lub telefonem i własnie dzięki temu “magicznemu dotykowi” nie będziemy musieli pamiętać setki haseł i wpisywać ich za każdym razem gdy zmienimy system operacyjny lub zakupimy nowy komputer czy tablet. Tak właśnie wygląda przyszłość logowania, choć zapewne nie wszędzie takie rozwiązanie zastąpi stare poczciwe PINy i hasła, ale na pewno znacznie uprości cały proces. Według Google będziemy jednak nadal korzystali z “mocnych haseł” w miejscach w których podanie takiego hasła będzie konieczne aby dokonać jakiś znaczących zmian, jak na przykład skasowanie konta.

Widzę tu osobiście, jedno niedociągnięcie, a mianowicie korzystanie z fizycznego klucza przechowującego nasze dane do logowania się do wszystkich stron, może w razie utraty takiego klucza okazać się równie niebezpieczne, jak pozostawienie otwartej poczty w kafejce internetowej. Także w przypadku kradzieży lub zgubienia klucza, należałoby to zgłosić jak najszybciej, aby uniknąć nieprzyjemnych konsekwencji, podobnych do tych jakich doświadczył Mat Honan.

Aby plany Google stały się jednak rzeczywistością muszą dołączyć do nich właściciele innych stronę wymagających autoryzowanego dostępu. Google zapewnia jednak, że podejmie współpracę z każdą firmą, która zgłosi swoje zainteresowanie projektem. Przede wszystkim jednak to my użytkownicy tych stron musimy przekonać się do takiego rozwiązania aby stało się one standardem i zaczęło działać na masową skalę.

Google stworzyło już, przez niezależnego od nich developera (tak przynajmniej oficjalnie twierdzą), system oparty na technologii mobilnej służącej do logowania, bez konieczności instalowania dodatkowego softu, poza przeglądarką. System ten zabezpiecza również przed śledzeniem użytkownika przez strony internetowe na które się logował za jego pomocą.

Teraz jest już dwuetapowo…

gmail-ver

Jakiś czas temu Google wprowadziło specjalny dwuetapowy proces logowania się, mający weryfikować dostęp do konta z nieznanych urządzeń. Użytkownik w takiej sytuacji dostaje smsem kod weryfikacyjny i dopiero po jego wpisaniu jest w stanie otrzymać dostęp do swojego konta.
Problem w tym, że jeśli ktoś będzie naprawdę chciał, nic nie stoi na przeszkodzie aby stworzyć stronę podobną do Gmaila i wyciągnąć od Ciebie kod weryfikujący i tym samym dostać się do Twojego konta. Następnie wystarczy, że zmienią numer telefonu i inne dane weryfikacyjne i może być nieciekawie. W przypadku zajścia takiej sytuacji, może okazać się, że stracisz na zawsze dostęp do swojego konta lub w najlepszym przypadku proces odzyskiwania dostępu zajmie Ci dość sporo czasu.

W międzyczasie, czekając na wejście w życie nowych zabezpieczeń, pozostaje nam włączenie dwuetapowego zabezpieczenia naszego konta, które oferuje nam Google, na pewno lepsze to niż samo hasło:)
Mat Honan przyznaje w tekście, że gdyby miał włączoną dwuetapową weryfikację, to prawdopodobnie uniknąłby tego przykrego incydentu, który go spotkał. Zaraz po ukazaniu się jego artykułu na Wired, Google zanotowało znaczny wzrost użytkowników, którzy zdecydowali się włączyć taką weryfikację.
Osobiście, też nie korzystałem, aż do teraz, z tej opcji, ale po przeczytaniu tekstu Mata, kierowany zdrowym rozsądkiem i jego radą:) mam już dwuetapową weryfikację nowych urządzeń i mam także cichą nadzieję, że nigdy nie spotka mnie podobna sytuacja i uniknę “cyfrowej śmierci” przynajmniej do momentu kiedy sam o tym nie zdecyduję;).

Liczę na to, że tekst wpłynie także na polskich właścicieli Gmaila, którzy jeszcze nie zabezpieczyli się w ten sposób i zrobią to czym prędzej.

Czy macie może, jakieś sprawdzone systemy zabezpieczania się przed włamaniami na wasze konto email lub społecznościowe? Czy zdarzyło się wam włamanie? Jeśli tak, to jakie porady w związku z tym macie dla innych aby jak najskuteczniej unikać takiego niemiłego zdarzenia. Czekam na komentarze, jak zwykle tylko te konstruktywne i wypełnione przydatnymi informacjami;)

Źródło: Wired.com Foto: 1, 2, 3, 4, 5