Искате ли по-лесен начин да влезете във вашия Gmail акаунт? Какво ще кажете, например, да чукнете върху компютъра с халката на пръста ви?
Това може да ви се случи даже още по-скоро, отколкото очаквате. Екипът за сигурност на Google описва този тип идентификация чрез пръстен в ново изследване, което ще бъде публикувано преди края на този месец в инженерното издание IEEE Security & Privacy Magazine.
В него вицепрезидентът на Google по сигурността Ерик Грос и инженерът Маянк Упадхуай описват всякакви начини, по които според тях хората биха могли да се идентифицират пред сайтовете в бъдещето.
Крайно време е паролите да останат в историята като отживелица
2012 г. вероятно ще се запомни като годината, в която "парола" се превърна в мръсна дума. Изглеждаше, че всеки в Интернет през нея получи минимум милион спам-писма или отчаяни молби за пари (любимите "ограбен съм в чужбина" измами) от хакнати имейл акаунти на познати и приятели.
Пак през тази година, журналист от Wired на име Мат Хонън демонстрира на всички колко болезнено и вредно за всеки може да бъде такова хакване. През август 2012 акаунтът му в Gmail бе хакнат и изтрит. Хакерите впоследствие превзеха Twitter акаунта му и публикуваха там расистки послания, дистанционно изтриха данните от неговите iPhone, iPad и лаптоп, унищожавайки поне едногодишни архиви на имейли и снимки.
Случилото се с Хонън бе живото доказателство, че
с един хакнат акаунт може да бъде заличен целият живот на човек онлайн
Паролите са евтин и лесен начин за идентифициране на браузващите в уеб, но те просто вече не са достатъчно надеждни за сегашния Интернет - и вероятно никога няма и да бъдат. Google също са съгласни с това твърдение. "Наравно с много представители на бранша смятаме, че паролите и простите идентификатори от рода на бисквитките на браузъра вече не са достатъчни, за да гарантират безопасността на потребителите," пишат Грос и Упадхуай.
Затова те експериментират с миниатюрна криптографска карта, която при поставяне в USB четец може автоматично да идентифицира сърфиращия пред Google. Принципът не е много по-различен от електронния подпис и електронните „ключове" на някои професионални програми.
Наложили са се модификации в браузъра на Google, за да работи с тези карти, но не се изисква изтегляне на допълнителен софтуер, а след като поддръжката от браузъри бъде налице, картите ще станат лесни за употреба.
Зареждате уеб сайта, поставяте USB стикчето и
влизате с единично кликване на мишката
Изследователите описват бъдеще, в което идентифицирате едно устройство (например вашия смартфон или нещо като описаната криптографска USB карта) и я използвате почти като ключ за кола, за да заредите онлайн акаунтите си и уеб пощата.
Според тях нещата ще стават дори още по-лесни, като вероятно свързването с компютъра ще става чрез безжична връзка. "Бихме предпочели смартфонът ви или поддържащият смарткарти пръстен да ви оторизира на нов компютър с докосване до компютъра, дори в ситуации, в които телефонът ви може да е без връзка с мобилните мрежи," пишат Грос и Упадхуай.
Бъдещето може и да не е напълно лишено от пароли, но поне ще ви отърве от тези сложни, трудни за запомняне комбинации от цифри и букви, заявява Грос. "Ще трябва да има някакъв начин за разблокиране при проблем: може това да бъдат пароли, може и да е нещо друго," пояснява той, "но първичната идентификация ще е с "ключ" от този род, или еквивалентен тип хардуер."
Това означава, че ако някой открадне картата ви или смарт-пръстена, ще трябва да ги обявите за откраднати максимално бързо
Грос и Упадхуай вярват, че след като достатъчно голям брой уеб сайтове поддържат тази концентрирана върху физически устройства техника за идентификация, хората като цяло няма да се нуждаят от дълги и сложни пароли, освен в редки случаи - примерно когато правят сериозни промени в акаунта си.
Но за да може планът на Google за отърваване от паролите да има успех, те имат нужда от други уеб сайтове, които да се включат. "И други компании са възприемали подобен подход, но не са постигали особен успех сред масовите потребители," пишат изследователите. "Въпреки че съзнаваме, че нашата инициатива вероятно ще остане също толкова хипотетична, докато не постигнем масово възприемане, имаме голямото желание да я тестваме в други уеб сайтове."
Поради това те са разработили (засега безименен) протокол за идентификация чрез устройства, който по техни твърдения не е обвързан с Google, не изисква специален софтуер, освен уеб браузър, който поддържа стандарта за идентификация. Освен това, протоколът възпрепятства уеб сайтовете да използват тази технология за проследяване на потребителите.
Хубавото в подхода на Google е, че той
заобикаля често срещаната атака
която дори сегашната "двустъпкова" система за идентификация чрез мобилен телефон не може да предотврати.
Преди около 2 години Google въведоха опция за влизане чрез две стъпки, която затруднява проникването на хакери във вашия акаунт. Чрез тази опция Google обикновено изпращат таен код чрез SMS съобщение, когато се опитате да влезете в акаунта си от нов компютър.
Проблемът обаче е, че ако престъпници успеят да ви убедят, че посещавате Gmail, когато всъщност се намирате на друг сайт, не е невъзможно да бъдете подведени да въведете този таен код. Злонамерените хакери могат дори да обърнат двустъпковата идентификация срещу нормалните потребители. Понякога те добавят собствения си телефонен номер към акаунта, "просто за да забавят възстановяването му от реалния собственик," пояснява изследването.
И какво става ако ти откраднат смартфона или пръстена?
И какво става ако ти откраднат смартфона или пръстена? ___________________________________ Казано си е в статията - обявяваш ги за откраднати, за да ги блокират. Според мен тези ключове само улесняват хакването на акаунти - вече няма нужда да се мъчат да разберат паролата ти по един или друг начин - просто те преджобват. Паролите са много по сигурен идентификатор, защото не са предмети, не могат да бъдат откраднати в буквалния смисъл, те са само в ума на човека, направил акаунт, а това, че много хора са тъпи и измислят лесни пароли или пък ги мързи да помнят сложни, си е лично техен проблем!!!
проблемът винаги е бил какво да се прави с умните хора. затва се въвеждат тия простотии.
Въпросните устройства са много по-сигурен начин на защита от паролите. Единствения начин да се хакнат е да ви бъде откраднато съответното устройство, докато при паролите начините за хакване са безкрайно много. При тези устройства кодът се мени на всеки 60 сек. долу горе, което означава, че дори и да имате вирус на компютъра ви който записва всичко което въвеждате, пак няма да могат да ви хакнат.
Kalinka_Malinka Едва ли Мат Хонън е имал толкова лесна парола, освен тва трябва да ти кажа, че при тези устройства се изисква да въведеш собствената парола + генерирана такава от устройството, т.е. хем трябва да ти вземат паролата (да бъдеш хакнат), хем трябва да откраднат и устройството. Прави си сметка дали сегашният метод е по-сигурен.
Младежите в Гугъл са много надъхани да въвеждат нови стандарти. Т.нар. двуфакторна автентикация същестува доста отдавна, но е скъпа и изисква постоянно да носиш нещо с теб. Освен това далеч не е непробиваема, защото дебитните и кредитни карти (с чип) по същество представляват точно това, примери за злоупортеби с тях има предостатъчно. Най-простия пример е целенасочено отнемане и незабвен достъп до съответния ресурс. Така с обаждането за блокиране само установяваш, че вече е късно
Хаха, като ми хакнат акаунта, та голямата работа
Кредитните и дебитните карти с чип нямат нищо общо с това. Спокойно можеш да пазаруваш с кредитна карта в интернет и без да е в теб, а данните за нея мога да ти ги взема при плащане в някое ресторантче. Въпросното устройство не е задължително да го носиш ако имаш смартфон. Такава защита ползват Близард за техните потребители. Така например аз мога да ви дам паролата си за акаунта на Диабло 3 и въпреки това никой от вас няма да може да влезе в него, тъй като освен парола се изисква и кода от програмката която е на моя телефон.
Всичко измислено от човек, може да бъде разрушено/разбито/хакнато от друг човек...
леле мале абсолютно си прав, въпросът е колко е лесно да се направи това. Едно е да влезеш през тайния въпрос на пощата който е примерно "Как се казва баба ми?" съвсем друго е да трябва да крадеш флашки и телефони, като дори открадването им ще ти даде само няколко часа до блокирането на системите.
Ако устройството позволява въвеждане на парола и така генерира някакъв ключ тогава наистина е дорба защита. Е момента най-популярните устройста (токени) просто изписват един код, който въвеждаш. Ако ми го откраднат имат времето до моето обаждане до централата за да хакнат каквото си искат. Както някой спомена - при дебитните карти има подобен проблем - просто хората не следят постоянно вещите си (дори и с телефона е така).
Обзалагам се след време (ако вече няма) въпросните устройства ще изискват пръстов отпечатък преди да генерират код, което ще направи хакването още по-трудно.
@ 12 Conqurer, няма да изискват пръстов отпечатък... Вървят към отпечатък от коленете... Само си представям как се гъзурчиме всички пред компа, за да си турим отпечатъка от коляното http://www.trud.bg/Article.asp?ArticleId=1736597