Google: Passwords alene er ikke længere sikkert nok

21. januar 2013 kl. 09:2712
Google: Passwords alene er ikke længere sikkert nok
Illustration: iStock.
I fremtiden skal brugerne logge på med et smartcard, mener Google, som nu vurderer, at tiden er løbet fra passwords som eneste beskyttelse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det skal være slut med at huske et langt og indviklet password, for konceptet med at beskytte dine data alene med et kodeord er ved at være slut.

Sådan lyder det i en videnskabelig artikel, som Googles sikkerhedsdirektør, Eric Grosse, har skrevet sammen med en af sine ansatte, rapporterer Wired.

Artiklen, som er offentliggjort i IEEE Security & Privacy Magazine, argumenterer for, at det ikke længere er sikkert nok at sætte sin lid til passwordet. Hackere kan efterhånden komme igennem den barriere - og gør det i stor stil - så der skal nye løsninger på banen.

De to Google-folk mener, at en hardware-nøgle vil være den bedste løsning, for eksempel en lille USB-token, som brugeren så tilslutter computeren for at logge på Googles tjenester. Det kræver, at browseren understøtter hardwaren, men når først det er på plads, skal der ikke installeres yderligere software for at bruge token-løsningen.

Artiklen fortsætter efter annoncen

En mere brugervenlig teknologi vil være at bruge trådløs kommunikation, så for eksempel en chip bygget ind i en fingerring kan være hovednøglen. Når brugeren har fingrene på tasterne, bliver chippen automatisk registreret af computeren.

Denne løsning vil også harmonere bedre med mobile enheder, der ikke har USB-port.

Ved at skifte til hardware-baserede nøgler vil passwordet ændre betydning. Det kan være, at man har et simpelt password til at låse sin skærm op, eller at man har et langt og sikkert password, som så skal gemmes godt og kun bruges, hvis kontoen skal ændres.

Google er klar over, at det ikke hjælper meget, hvis de nye løsninger kun vil fungere med Googles egne tjenester, så firmaet arbejder på en ny protokol, som alle kan bruge, fremgår det af artiklen.

I forvejen tilbyder Google to-faktor-autentificering, så man skal bruge en ekstra engangskode, hvis man logger ind fra enheder, der ikke i forvejen er godkendt. Koden bliver sendt pr. sms eller genereret på en smartphone. Men selvom denne løsning giver væsentlig højere sikkerhed end password alene, er det stadig muligt for hackere at snyde brugeren med et man-in-the-middle-angreb. Her lokker hackeren folk til en falsk log-in-side og bruger så samtidig de koder, brugeren taster ind, til at hacke en konto.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
22. januar 2013 kl. 14:14

@Jørgen Ramskov

Det jeg mener er at selvom f.eks. Yubikey kan være en rigtig god ting sålænge man selv har kontrol over den (f.eks. vil jeg da gerne have Yubikey til at logge ind på de servere som jeg administrerer). Så kommer problemet hvis systemet ender med at blive direkte linket til ens identitet, således at ens login til Gmail kan sættes næsten 100% sammen men ens identitet, da alle jo idag bruger de andre Google services som søgemaskine og Youtube nærmest konstant. Problemet er hvis Personlig ID = Gmail = Google søgemaskine = Youtube osv. og ikke som nu hvor ? = Gmail = Google søgemaskine = Youtube osv. !

Det er måske ikke så stort et problem for IT folk der kan forstå at adskille deres ID fra søgninger mv. som de mener er private, men mere hvis almindelige mennesker nu skal have deres ID 'hardwiret' til f.eks. Google.

10
21. januar 2013 kl. 23:39

@Jørgen Ramskov

Selv om man muligvis vil kunne udvikle et system, hvor man med asymetrisk kryptering selv kan genere sine nøgler på en privat PC, og så overføre disse til en hardware dims, og så også overfører en anden nøgle til en server uden at serveren ved præcist hvem man er, så tvivler jeg stærkt på at der er det Google har gang i.

Ikke fordi at jeg har noget specielt imod Google, da der helt sikkert er mange gode ting med Google, men ligefrem at blive hardwiret med dem, så 'forelsket' er jeg altså ikke !

7
21. januar 2013 kl. 15:47

@Jørgen Ramskov

Det har da temmelig meget med Big Brother teknologi at gøre eftersom firmaet Google bla. er Gmail, Google søgemaskine, og verdens største musik og video streamings tjeneste (Youtube). Google sammenkører allerede bla. vha. af cookies Gmail, Google søgemaskine, og Youtube (hvorvidt de reelt set sammenkører f.eks. historik back-end til f.eks. database ved jeg ikke, men de har da muligheden for det). Og hvis man nu også skal 'hardwires' til Google med hardware identifikations systemer, så er vi da på vej til at Google ved alt !

Og at systemet så skal virke med meget andet and Google, gør det da langfra bedre !

9
21. januar 2013 kl. 22:02

Og at systemet så skal virke med meget andet and Google, gør det da langfra bedre !

Som det allerede er blevet skrevet - prøv at læse original artiklen i Wired, der står bla. følgende:

"So they’ve developed a (as yet unnamed) protocol for device-based authentication that they say is independent of Google, requires no special software to work — aside from a web browser that supports the login standard — and which prevents web sites from using this technology to track users."

Protokollen vil med andre ord ikke give Google mere info om din færden på internettet end de allerede får.

Jeg vil godt give dig ret i at Google ved alt for meget om alt for mange af os, men det er ikke formålet med denne teknologi.

3
21. januar 2013 kl. 14:22

Jamen, hvorfor så ikke gå hele vejen og få en chip implanteret ved fødslen, så ved Google altid hvad vi laver, samt hvor og hvem vi er, hele tiden !

5
21. januar 2013 kl. 15:17

Kim, jeg foreslår du læser artiklen på Wired:

'So they’ve developed a (as yet unnamed) protocol for device-based authentication that they say is independent of Google'

4
21. januar 2013 kl. 15:06

Hvad har det lige at gøre med Big Brother?

2
21. januar 2013 kl. 13:46

Tofaktor-sikkerhed er en god idé, og jeg har det slået til hvor jeg kan.

Men der er rigtig mange steder der halter, især i den myriade af tjenester etc man er oprettet på og som hver kræver en adgangskode (flere og flere har heldigvis fået øjnene op for OAuth så de ikke behøver kende en kode men man kan logge ind med f.eks. en Google-konto).

For ikke at tale om de servere man styrer. Jeg har måske i alt 10 (Linux)maskiner hist og her jeg administrerer, og de hænger alle sammen på SSH, men hvis nogen en dag skulle bryder ind i min PC (der selvfølgelig kører Linux for en sikkerheds skyld), så hænger jeg på den.

Jeg håber derfor personligt på at den slags også kommer til SSH og Unix-systemer, jo hurtigere jo bedre.

1
21. januar 2013 kl. 11:28

Hvad gør brugeren så hvis USB-nøglen bliver væk?