Google menyarankan perhiasan atau perangkat sebagai kata sandi next-gen

Google berpikir itu mungkin telah menemukan jawaban atas masalah menjengkelkan dari kata sandi yang terlupakan atau lemah: kata sandi" fisik ", yang mungkin datang dalam bentuk sepotong perhiasan seperti cincin.

Dalam sebuah makalah penelitian, dua insinyurnya menulis bahwa strategi saat ini untuk mencegah pembajakan akun daring, termasuk sistem verifikasi identitas dua langkah, tidak memadai, sebagian karena ancaman serangan terus-menerus.

Google menyoroti phishing, di mana peretas membohongi pemegang akun agar mengungkapkan informasi sensitif dengan membuat mereka masuk ke laman masuk akun palsu, sebagai salah satu ancaman keamanan terbesar saat ini.

[Lanjut membaca: Cara re memindahkan malware dari PC Windows Anda]

"Sudah waktunya untuk menyerah pada aturan kata sandi yang rumit dan mencari sesuatu yang lebih baik," kata para penulis. Makalah penelitian, oleh Google Eric Grosse dan Mayank Upadhyay, akan dipublikasikan 28 Januari di publikasi IEEE Security & Privacy. Ini pertama kali dilaporkan oleh Wired pada hari Jumat.

[[Lihat juga] 'Kata sandi' masih merupakan kata sandi terburuk, tapi hati-hati untuk 'ninja' "dan" Bagaimana menemukan kebahagiaan di dunia kegilaan kata sandi. "]]

Google menguji perangkat USB

Inti dari proposal Google adalah sebuah ide yang dikatakan telah digunakan oleh bisnis tetapi telah menemukan sedikit keberhasilan di antara konsumen: perangkat USB seperti yang dienkripsi yang akan digunakan orang untuk masuk ke situs web dan akun online yang dilindungi kata sandi.

Google mengatakan itu bekerja pada pilot internal dengan perangkat USB eksperimental yang pertama kali didaftarkan pengguna dengan beberapa situs web tempat mereka memiliki akun. Peramban yang sesuai akan membuat dua API baru (antarmuka pemrograman aplikasi) tersedia ke situs web untuk diteruskan ke perangkat yang dilampirkan.

"Salah satu API ini disebut selama langkah pendaftaran, yang menyebabkan perangkat keras untuk menghasilkan publik baru- pasangan kunci pribadi dan mengirim kunci publik kembali ke situs web, "kertas menjelaskan. "Situs web memanggil API kedua selama autentikasi untuk mengirimkan tantangan ke perangkat keras dan mengembalikan respons yang ditandatangani."

Metode ini tidak memerlukan perangkat lunak apa pun untuk dipasang, meskipun pengguna harus menggunakan browser Web yang sesuai dengan upaya itu, kata Google. Protokol registrasi dan otentikasi akan terbuka dan gratis, dan perangkat akan terhubung dengan USB komputer tanpa memerlukan driver perangkat OS khusus.

Pada dasarnya, para Googler membayangkan satu perangkat yang orang dapat geser ke slot USB dan kemudian menggunakan untuk masuk ke sejumlah akun daring dengan satu klik mouse.

Karena membawa sekitar perangkat lain mungkin tidak terbukti populer di kalangan konsumen, Google menyarankan perangkat otentikasi dapat diintegrasikan ke dalam smartphone atau bahkan perhiasan. Perangkat ini akan dapat mengotorisasi komputer baru untuk digunakan dengan sekali ketuk, bahkan dalam situasi di mana ponsel mungkin tanpa konektivitas seluler.

Menyeimbangkan kerumitan, keamanan

Teknologi ini bertujuan untuk memperbaiki arus perusahaan, sistem verifikasi dua langkah opsional. Dengan sistem itu, ketika pengguna ingin masuk ke layanan Google dari komputer baru, mereka diminta untuk memasukkan kode yang dikirim ke ponsel preregistered mereka, memberikan mereka akses ke situs.

Perusahaan mengatakan pengalamannya dengan itu sistem sudah bagus, meskipun itu juga dapat disalahgunakan oleh peretas akun. Setelah mereka mencuri kata sandi dan membobol akun, mereka terkadang menyiapkan otentikasi dua faktor menggunakan nomor telepon mereka sendiri, "hanya untuk memperlambat pemulihan akun oleh pemilik sebenarnya," tulis teknisi Google.

Google mengakui pendekatan kunci USB yang diusulkan adalah "spekulatif" dan bahwa itu harus diterima dalam skala luas. Namun perusahaan itu mengatakan ingin sekali menguji perangkat itu dengan situs-situs lain.

"Pendaftaran perangkat pengguna dengan situs web target harus sederhana dan tidak perlu hubungan dengan Google atau pihak ketiga lainnya," tulis insinyur. "Protokol pendaftaran dan otentikasi harus terbuka dan gratis bagi siapa saja untuk diimplementasikan dalam browser, perangkat, atau situs web."

Google tidak mengatakan jika atau kapan sistem eksperimental mungkin membuatnya digunakan. "Kami fokus untuk membuat otentikasi lebih aman, dan lebih mudah untuk dikelola. Kami percaya eksperimen seperti ini dapat membantu membuat sistem login lebih baik," kata juru bicara melalui email.