Google แนะนำให้เครื่องประดับหรืออุปกรณ์เป็นรหัสผ่านถัดไปของ gen

Google คิดว่าอาจพบคำตอบสำหรับปัญหาที่ลืมรหัสผ่านที่ไม่ดีหรืออ่อนแอ: รหัสผ่าน" ทางกายภาพ "ซึ่งอาจมาในรูปแบบของชิ้นส่วน เครื่องประดับเช่นแหวน

ในงานวิจัยวิศวกรของสองคนเขียนว่ากลยุทธ์ปัจจุบันเพื่อป้องกันการลักลอบใช้บัญชีออนไลน์ซึ่งรวมถึงระบบการยืนยันตัวตนแบบสองขั้นตอนไม่เพียงพอส่วนหนึ่งเนื่องจากมีการโจมตีอย่างต่อเนื่อง ที่ใช้แฮกเกอร์หลอกลวงผู้ถือบัญชีในการเปิดเผยข้อมูลที่สำคัญโดยทำให้พวกเขาลงชื่อเข้าใช้หน้าลงชื่อเข้าใช้บัญชีปลอมเป็นภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดแห่งหนึ่งในปัจจุบัน

[เพิ่มเติม การอ่าน: วิธีการใหม่ ย้ายมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

"ถึงเวลาแล้วที่จะละทิ้งกฎรหัสผ่านที่ซับซ้อนและมองหาสิ่งที่ดีกว่า" ผู้เขียนกล่าว รายงานการวิจัยของ Eric Grosse และ Mayank Upadhyay ของ Google จะตีพิมพ์ในวันที่ 28 มกราคมใน IEEE Security & Privacy

รายงานครั้งแรกโดยทาง Wired เมื่อวันศุกร์ที่ผ่านมา [ดูเพิ่มเติม " 'รหัสผ่าน' ยังคงเป็นรหัสผ่านที่เลวร้ายที่สุด แต่ระวัง "ninja" และ "วิธีค้นหาความสุขในโลกแห่งความโกรธด้วยรหัสผ่าน"]]

Google ทดสอบอุปกรณ์ USB

ที่หลักข้อเสนอของ Google คือ ความคิดที่ได้รับการกล่าวถึงว่าใช้โดยธุรกิจ แต่ไม่ค่อยประสบความสำเร็จในหมู่ผู้บริโภคอุปกรณ์ USB แบบเข้ารหัสที่ผู้คนใช้ในการเข้าสู่เว็บไซต์และบัญชีออนไลน์ที่มีการป้องกันด้วยรหัสผ่าน

Google กล่าวว่ากำลังทำงานกับนักบินภายใน ด้วยอุปกรณ์ USB แบบทดลองที่ผู้ใช้ลงทะเบียนครั้งแรกกับเว็บไซต์หลายแห่งที่มีบัญชี เบราว์เซอร์ที่สอดคล้องกันจะทำให้ APIs (อินเทอร์เฟซการเขียนโปรแกรมแอ็พพลิเคชัน) 2 ชุดใหม่ที่มีอยู่ในเว็บไซต์จะถูกส่งต่อไปยังอุปกรณ์ที่ต่อพ่วง

"หนึ่งใน APIs เหล่านี้เรียกว่าในขั้นตอนการลงทะเบียนทำให้ฮาร์ดแวร์สร้างใหม่ - คีย์ส่วนตัวและส่งคีย์สาธารณะกลับไปที่เว็บไซต์ "กระดาษอธิบาย "เว็บไซต์เรียก API ตัวที่สองระหว่างการตรวจสอบความถูกต้องเพื่อส่งมอบความท้าทายให้กับฮาร์ดแวร์และส่งคืนการตอบกลับที่ลงนาม"

วิธีการนี้ไม่จำเป็นต้องมีการติดตั้งซอฟต์แวร์ แต่ผู้ใช้จะต้องใช้เว็บเบราเซอร์ที่สามารถใช้งานได้ ด้วยความพยายาม Google กล่าวว่า โปรโตคอลการลงทะเบียนและการตรวจสอบสิทธิ์จะเปิดขึ้นและฟรีและอุปกรณ์จะเชื่อมต่อกับ USB ของคอมพิวเตอร์โดยไม่ต้องใช้ไดรเวอร์อุปกรณ์ OS พิเศษ

โดยทั่วไปชาว Google มองเห็นอุปกรณ์ตัวเดียวที่ผู้ใช้สามารถเลื่อนลงในช่อง USB และใช้งานได้ เพื่อเข้าสู่บัญชีออนไลน์จำนวนหนึ่ง ๆ ด้วยการคลิกเมาส์เพียงครั้งเดียว

เนื่องจากการถือครองอุปกรณ์อื่นอาจไม่เป็นที่นิยมในหมู่ผู้บริโภค Google จึงขอแนะนำว่าอุปกรณ์ตรวจสอบความถูกต้องสามารถรวมเข้ากับสมาร์ทโฟนหรือเครื่องประดับได้ อุปกรณ์นี้สามารถอนุญาตคอมพิวเตอร์เครื่องใหม่ให้สามารถใช้งานได้ด้วยการแตะเพียงครั้งเดียวแม้ในสถานการณ์ที่โทรศัพท์อาจไม่มีการเชื่อมต่อเซลลูลาร์

ความสมดุลของความยุ่งยากความปลอดภัย

เทคโนโลยีนี้มีเป้าหมายเพื่อปรับปรุงประสิทธิภาพของ บริษัท, ระบบการยืนยันแบบสองขั้นตอน ด้วยระบบดังกล่าวเมื่อผู้ใช้ต้องการเข้าสู่บริการของ Google จากคอมพิวเตอร์เครื่องใหม่ระบบจะแจ้งให้ป้อนรหัสที่ส่งไปยังโทรศัพท์มือถือที่ลงทะเบียนแล้วและอนุญาตให้พวกเขาเข้าถึงไซต์

บริษัท กล่าวถึงประสบการณ์ในเรื่องนี้ ระบบได้ดีแม้ว่ามันจะสามารถทำร้ายโดยแฮคเกอร์บัญชี หลังจากที่ขโมยรหัสผ่านและบุกรุกเข้าบัญชีแล้วบางครั้งพวกเขาก็ตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้หมายเลขโทรศัพท์ของตนเอง "เพื่อลดการกู้คืนบัญชีโดยเจ้าของที่แท้จริง" วิศวกรของ Google เขียนว่า

Google ยอมรับไซต์ของตน แนวทางที่แนะนำ USB Key คือ "เก็งกำไร" และจะต้องได้รับการยอมรับในระดับกว้าง แต่ บริษัท บอกว่าอยากทดสอบอุปกรณ์กับเว็บไซต์อื่น ๆ

"การลงทะเบียนอุปกรณ์ของผู้ใช้กับเว็บไซต์เป้าหมายควรทำได้ง่ายและไม่ควรมีความสัมพันธ์กับ Google หรือบุคคลที่สามอื่น ๆ " วิศวกรเขียน "โปรโตคอลการลงทะเบียนและการรับรองความถูกต้องต้องเปิดให้บริการฟรีสำหรับทุกคนในเบราว์เซอร์อุปกรณ์หรือเว็บไซต์"

Google ไม่ได้กล่าวว่าถ้าระบบทดสอบทดลองใช้งานได้หรือเมื่อใด "เรามุ่งเน้นที่การทำให้การตรวจสอบมีความปลอดภัยมากขึ้นและยังง่ายในการจัดการเราเชื่อว่าการทดลองเช่นนี้สามารถช่วยให้ระบบเข้าสู่ระบบดีขึ้น" โฆษกกล่าวผ่านทางอีเมล์