MOUNTAIN VIEW, California â Want an easier way to log into your Gmail account? How about a quick tap on your computer with the ring on your finger?
This may be closer than you think. Googleâs security team outlines this sort of ring-finger authentication in a new research paper, set to be published late this month in the engineering journal IEEE Security & Privacy Magazine. In it, Google Vice President of Security Eric Grosse and Engineer Mayank Upadhyay outline all sorts ways they think people could wind up logging into websites in the future â and itâs about time.
2012 may have been the year that the password broke. It seemed like everyone on the internet received spam e-mail or desperate pleas for cash â the so-called âMugged in Londonâ scam â from the e-mail accounts of people who had been hacked. And Wiredâs own Mat Honan showed everyone just how damaging a hack can be.
The guys who hacked Honan last August deleted his Gmail account. They took over his Twitter handle and posted racist messages. And they remote-wiped his iPhone, iPad, and laptop computer, deleting a yearâs worth of e-mails and photographs. In short, they erased his digital life.
Passwords are a cheap and easy way to authenticate web surfers, but theyâre not secure enough for todayâs internet, and they never will be.
Google agrees. âAlong with many in the industry, we feel passwords and simple bearer tokens such as cookies are no longer sufficient to keep users safe,â Grosse and Upadhyay write in their paper.
Thus, theyâre experimenting with new ways to replace the password, including a tiny YubiKey cryptographic card that â when slid into a USB (Universal Serial Bus) reader â can automatically log a web surfer into Google. Theyâve had to modify Googleâs web browser to work with these cards, but thereâs no software download and once the browser support is there, theyâre easy to use. You log into the website, plug in the USB stick and then register it with a single mouse click.
They see a future where you authenticate one device â your smartphone or something like a YubiKey â and then use that almost like a car key, to fire up your web mail and online accounts.
In the future, theyâd like things to get even easier, perhaps connecting to the computer via wireless technology.
âWeâd like your smartphone or smartcard-embedded finger ring to authorize a new computer via a tap on the computer, even in situations in which your phone might be without cellular connectivity,â the Googlers write.
The future may not exactly be password-free, but it will at be least free of those complex, hard-to-remember passwords, says Grosse. âWeâll have to have some form of screen unlock, maybe passwords but maybe something else,â he says, âbut the primary authenticator will be a token like this or some equivalent piece of hardware.â
That means that if someone steals your card or your smart-ring, youâd better report it stolen pretty quickly.
Grosse and Upadhyay believe that once enough websites support this device-centric login technique, people mostly wonât need strong passwords, except in rare occasions â when theyâre making significant changes to their account, for example.
But for Googleâs password-liberation plan to really take off, theyâre going to need other websites to play ball. âOthers have tried similar approaches but achieved little success in the consumer world,â they write. âAlthough we recognize that our initiative will likewise remain speculative until weâve proven large scale acceptance, weâre eager to test it with other websites.â
So theyâve developed a (as yet unnamed) protocol for device-based authentication that they say is independent of Google, requires no special software to work â aside from a web browser that supports the login standard â and which prevents web sites from using this technology to track users.
Spoiler for terjemahan bebas om google:
Ingin cara yang lebih mudah untuk login ke akun Gmail Anda? Bagaimana ketukan cepat di komputer Anda dengan cincin di jari Anda?
Hal ini mungkin lebih dekat daripada yang Anda pikirkan. Tim keamanan Google menguraikan semacam ini cincin-jari otentikasi dalam sebuah makalah penelitian baru, direncanakan akan diterbitkan akhir bulan ini dalam jurnal rekayasa IEEE Keamanan & Majalah Privasi. Di dalamnya, Google Wakil Presiden Keamanan Eric Grosse dan Engineer Mayank Upadhyay menjelaskan semua cara macam yang mereka pikir orang bisa berakhir masuk ke website di masa depan - dan sudah waktunya.
2012 mungkin menjadi tahun bahwa password pecah. Sepertinya setiap orang di internet menerima permohonan e-mail atau putus asa spam untuk uang tunai - yang disebut "Dirampok di London" scam - dari e-mail account dari orang-orang yang telah hacked. Sendiri dan Wired Mat Honan menunjukkan semua orang betapa merusak hack bisa.
Orang-orang yang hack Honan Agustus lalu menghapus account Gmail-nya. Mereka mengambil alih gagang Twitter-nya dan diposting pesan rasis. Dan mereka jauh-mengusap iPhone-nya, iPad, dan komputer laptop, menghapus satu tahun e-mail dan foto. Singkatnya, mereka terhapus kehidupan digitalnya.
Password adalah cara murah dan mudah untuk mengotentikasi peselancar web, tapi mereka tidak cukup aman untuk internet saat ini, dan mereka tidak akan pernah.
Google setuju. "Seiring dengan banyak di industri, kita merasa password dan token pembawa sederhana seperti cookies tidak lagi cukup untuk menjaga pengguna aman," tulis Grosse dan Upadhyay dalam makalah mereka.
Dengan demikian, mereka bereksperimen dengan cara-cara baru untuk menggantikan password, termasuk kartu kriptografi Yubikey kecil itu - ketika meluncur ke USB (Universal Serial Bus) pembaca - dapat secara otomatis log surfer web ke Google. Mereka sudah harus memodifikasi browser web Google untuk bekerja dengan kartu ini, tapi tidak ada download software dan sekali dukungan browser yang ada, mereka mudah digunakan. Anda login ke steker, situs di USB stick dan kemudian mendaftar dengan satu klik mouse.
Mereka melihat masa depan di mana Anda mengotentikasi satu perangkat - smartphone Anda atau sesuatu seperti Yubikey - dan kemudian menggunakannya hampir seperti kunci mobil, untuk menjalankan web mail Anda dan rekening online.
Di masa depan, mereka ingin sesuatu untuk mendapatkan lebih mudah, mungkin menghubungkan ke komputer melalui teknologi nirkabel.
"Kami ingin smartphone atau smartcard-tertanam cincin jari untuk mengotorisasi komputer baru melalui keran pada komputer, bahkan dalam situasi di mana telepon Anda mungkin tanpa konektivitas seluler," tulis para Googler.
Masa depan tidak mungkin benar-benar menjadi sandi-bebas, tetapi akan menjadi di setidaknya bebas dari mereka, kompleks sulit mengingat password, kata Grosse. "Kita harus memiliki beberapa bentuk membuka layar, mungkin password tapi mungkin sesuatu yang lain," katanya, "tetapi authenticator utama akan menjadi tanda seperti ini atau beberapa bagian setara hardware."
Itu berarti bahwa jika seseorang mencuri kartu Anda atau pintar-cincin Anda, Anda sebaiknya melaporkannya dicuri cukup cepat.
Grosse dan Upadhyay percaya bahwa website cukup sekali mendukung teknik masuk perangkat-sentris, sebagian besar orang tidak akan membutuhkan password yang kuat, kecuali dalam kesempatan langka - ketika mereka membuat perubahan yang signifikan ke rekening mereka, misalnya.
Tapi untuk sandi-pembebasan rencana Google untuk benar-benar lepas landas, mereka akan membutuhkan situs-situs lain untuk bermain bola. "Orang lain telah mencoba pendekatan serupa tetapi mencapai sedikit keberhasilan di dunia konsumen," tulis mereka. "Meskipun kami menyadari bahwa inisiatif kami juga akan tetap spekulatif sampai kami telah membuktikan penerimaan skala besar, kami ingin mengujinya dengan situs-situs lain."
Jadi mereka telah mengembangkan sebuah protokol (yang belum disebutkan namanya) untuk perangkat berbasis otentikasi yang mereka katakan adalah independen dari Google, tidak memerlukan software khusus untuk bekerja - selain dari web browser yang mendukung standar login - dan yang mencegah situs web dari menggunakan teknologi ini untuk melacak pengguna.
0 comments:
Post a Comment
Note: Only a member of this blog may post a comment.