O Google sugere jóias ou um dispositivo como uma nova senha

O Google acha que pode ter encontrado uma resposta para o problema complicado de senhas esquecidas ou fracas: senhas" físicas ", que podem vir na forma de um pedaço de

Em um trabalho de pesquisa, dois de seus engenheiros escrevem que as estratégias atuais para evitar o seqüestro de contas online, incluindo o sistema de verificação de identidade em duas etapas, são insuficientes, em parte devido à constante ameaça de ataques. que exploram novos bugs.

O Google destaca o phishing, no qual hackers enganam os titulares de contas para revelar informações confidenciais, fazendo com que eles façam login em uma página de login falsa, como uma das maiores ameaças de segurança de hoje. lendo: como voltar Mova o malware do seu PC Windows]

"É hora de desistir de regras elaboradas de senha e procurar algo melhor", dizem os autores. O artigo de pesquisa, de Eric Grosse e Mayank Upadhyay, do Google, será publicado em 28 de janeiro na publicação

IEEE Security & Privacy. Foi relatado pela primeira vez pela Wired na sexta-feira. [[Veja também " 'Senha' ainda é a pior senha, mas atente para 'ninja' "e" Como encontrar a felicidade em um mundo de loucura de senha. "]]

Google testa dispositivo USB

No centro da proposta do Google está uma idéia que diz ter sido usada por empresas, mas encontrou pouco sucesso entre os consumidores: um dispositivo USB criptografado que as pessoas usariam para se conectar a sites protegidos por senha e contas online. O Google diz que está trabalhando em um piloto interno. com um dispositivo USB experimental que os usuários registram primeiro em vários sites onde têm contas. Um navegador compatível disponibilizaria duas novas APIs (interfaces de programação de aplicativos) para o site a ser transmitido para o dispositivo conectado.

"Uma dessas APIs é chamada durante a etapa de registro, fazendo com que o hardware gere um novo par de chaves privadas e enviar a chave pública de volta para o site ", explica o documento. "O site chama a segunda API durante a autenticação para entregar um desafio ao hardware e retornar a resposta assinada."

O método não exigiria a instalação de nenhum software, embora os usuários precisem estar usando um navegador da Web compatível com o esforço, disse o Google. Os protocolos de registro e autenticação seriam abertos e gratuitos, e o dispositivo se conectaria com o USB de um computador sem precisar de nenhum driver de dispositivo especial.

Basicamente, os Googlers imaginam um único dispositivo que as pessoas podem deslizar para um slot USB e usar para entrar em qualquer número de contas online com um único clique do mouse

Como transportar em torno de outro dispositivo pode não ser popular entre os consumidores, o Google sugere que o dispositivo de autenticação pode ser integrado a um smartphone ou até mesmo uma peça de joalheria. O dispositivo seria capaz de autorizar um novo computador para uso com um único toque, mesmo em situações em que o telefone pode estar sem conectividade celular.

Problemas de balanceamento, segurança

A tecnologia visa melhorar a corrente da empresa, sistema opcional de verificação em duas etapas. Com esse sistema, quando os usuários desejam fazer login em um serviço do Google a partir de um novo computador, eles são solicitados a inserir um código no celular pré-registrado, concedendo acesso ao site.

A empresa conta sua experiência com esse site. O sistema tem sido bom, embora também possa ser abusado por hackers de contas. Depois que eles roubam uma senha e invadem uma conta, eles às vezes configuram uma autenticação de dois fatores usando seu próprio número de telefone "apenas para retardar a recuperação da conta pelo verdadeiro proprietário", escreveram os engenheiros do Google. A abordagem proposta pela chave USB é "especulativa" e precisa ser aceita em larga escala. Mas a empresa disse que está ansiosa para testar o dispositivo com outros sites.

"O registro do dispositivo do usuário nos sites de destino deve ser simples e não deve exigir um relacionamento com o Google ou qualquer outro terceiro", escrevem os engenheiros. "Os protocolos de registro e autenticação devem ser abertos e gratuitos para qualquer um implementar em um navegador, dispositivo ou site."

O Google não informou se ou quando o sistema experimental pode ser usado. "Estamos focados em tornar a autenticação mais segura e mais fácil de gerenciar. Acreditamos que experimentos como esses podem ajudar a tornar os sistemas de login melhores", disse um porta-voz por e-mail.