Tomasz Popielarczyk
Google już od dawna eksperymentuje z rozwiązaniami alternatywnymi dla haseł. Teraz jednak firma chce iść o krok dalej - nowe metody lekko szokują.
Project Abacus został zaprezentowany po raz pierwszy przez Google na ubiegłorocznej konferencji Google I/O. W tym roku przemianowano go na Trust API i zaprezentowano w praktyce. Jest to rozwiązanie, które ma stanowić początek końca haseł w internecie. Specjalny algorytm oblicza współczynnik „Trust Score”, na który składa się wiele czynników, jak: sposób wprowadzania przez użytkownika tekstu, głos, twarz, lokalizacja i wiele, wiele innych. W dużym skrócie chodzi po prostu o jak najskuteczniejsze zidentyfikowanie osoby, która próbuje się zalogować do danej aplikacji, konta czy strony www. W zależności od uzyskanego wyniku, mechanizm podejmuje decyzje, czy prosić użytkownika o hasło czy też nie.
Jak donosi TechCrunch mechanizm ten ma być wdrożony już tego lata. Obecnie testowany jest on już przez duże instytucje finansowe, a także amerykańskie uczelnie. Programiści i twórcy aplikacji otrzymają dostęp do specjalnego API, które będzie pozwalało im wykorzystać Trust Score do logowania w ich programach czy usługach. Co ciekawe, mechanizm ma się świetnie adaptować do sytuacji i np. w przypadku logowania do banku konieczne będzie uzyskanie wyższego współczynnika niż do Spotify czy Netfliksa. Brzmi to całkiem logicznie. W praktyce wygląda jednak przerażająco, o czym kilka dni temu informował Niebezpiecznik. Jeden z czytelników bloga najprawdopodobniej został właśnie w taki sposób zalogowany. Na nowym tablecie Google poprosił go jedynie o wskazanie miasta logowania, co wystarczyło do uzyskania dostępu. Jak sam pisze:
Po nieudanej próbie wpisania hasła google zaproponował mi alternatywną metodę logowania: zapytał o miasto z którego najczęściej się loguję. Podałem i o zgrozo zostałem zalogowany.
Wprawdzie nie mogę zmienić ustawień konta, ale mam dostęp do poczty = mogę zmienić dane do logowania zasadniczo dowolnego serwisu w jakim użyty był ten adres.
Nie są to pierwsze ruchy Google’a na tym gruncie. Firma już od jakiegoś czasu rozwija mechanizm SmartLock, który od niedawna działa również w aplikacjach. Jednorazowo logując się do wybranych programów, mamy gwarancję, że przy następnej okazji, na każdym urządzeniu z podpiętym naszym kontem Google zostaniemy zalogowani już automatycznie. Wszystkie hasła są przechowywane na serwerach firmy, więc nie musimy się przejmować ich zapamiętywaniem. A to nie wszystko, bo SmartLock to również zdolność do odblokowywania naszego urządzenia w momencie, gdy jesteśmy połączeni z określonym akcesorium (np. smartwatchem, opaską, słuchawkami) lub znajdujemy się we wskazanej lokalizacji (np. praca czy dom).
Wizja internetu bez haseł wydaje się niewątpliwie kusząca. Z drugiej jednak strony to również ogromne ryzyko. Centralny magazyn przechowujący wszystkie hasła użytkowników (nawet w postaci zaszyfrowanej) jest łakomym kąskiem dla cyberprzestępców, a praktyka pokazuje, że nawet najwięksi internetowi giganci nie są w stanie ustrzec się wycieków informacji.
