Google: Passwords alene er ikke længere sikkert nok

Illustration: leowolfert/Bigstock
I fremtiden skal brugerne logge på med et smartcard, mener Google, som nu vurderer, at tiden er løbet fra passwords som eneste beskyttelse.

Det skal være slut med at huske et langt og indviklet password, for konceptet med at beskytte dine data alene med et kodeord er ved at være slut.

Sådan lyder det i en videnskabelig artikel, som Googles sikkerhedsdirektør, Eric Grosse, har skrevet sammen med en af sine ansatte, rapporterer Wired.

Artiklen, som er offentliggjort i IEEE Security & Privacy Magazine, argumenterer for, at det ikke længere er sikkert nok at sætte sin lid til passwordet. Hackere kan efterhånden komme igennem den barriere - og gør det i stor stil - så der skal nye løsninger på banen.

Læs også: Passwordet skal dø

De to Google-folk mener, at en hardware-nøgle vil være den bedste løsning, for eksempel en lille USB-token, som brugeren så tilslutter computeren for at logge på Googles tjenester. Det kræver, at browseren understøtter hardwaren, men når først det er på plads, skal der ikke installeres yderligere software for at bruge token-løsningen.

En mere brugervenlig teknologi vil være at bruge trådløs kommunikation, så for eksempel en chip bygget ind i en fingerring kan være hovednøglen. Når brugeren har fingrene på tasterne, bliver chippen automatisk registreret af computeren.

Denne løsning vil også harmonere bedre med mobile enheder, der ikke har USB-port.

Ved at skifte til hardware-baserede nøgler vil passwordet ændre betydning. Det kan være, at man har et simpelt password til at låse sin skærm op, eller at man har et langt og sikkert password, som så skal gemmes godt og kun bruges, hvis kontoen skal ændres.

Google er klar over, at det ikke hjælper meget, hvis de nye løsninger kun vil fungere med Googles egne tjenester, så firmaet arbejder på en ny protokol, som alle kan bruge, fremgår det af artiklen.

I forvejen tilbyder Google to-faktor-autentificering, så man skal bruge en ekstra engangskode, hvis man logger ind fra enheder, der ikke i forvejen er godkendt. Koden bliver sendt pr. sms eller genereret på en smartphone. Men selvom denne løsning giver væsentlig højere sikkerhed end password alene, er det stadig muligt for hackere at snyde brugeren med et man-in-the-middle-angreb. Her lokker hackeren folk til en falsk log-in-side og bruger så samtidig de koder, brugeren taster ind, til at hacke en konto.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jacob Nordfalk

Tofaktor-sikkerhed er en god idé, og jeg har det slået til hvor jeg kan.

Men der er rigtig mange steder der halter, især i den myriade af tjenester etc man er oprettet på og som hver kræver en adgangskode (flere og flere har heldigvis fået øjnene op for OAuth så de ikke behøver kende en kode men man kan logge ind med f.eks. en Google-konto).

For ikke at tale om de servere man styrer. Jeg har måske i alt 10 (Linux)maskiner hist og her jeg administrerer, og de hænger alle sammen på SSH, men hvis nogen en dag skulle bryder ind i min PC (der selvfølgelig kører Linux for en sikkerheds skyld), så hænger jeg på den.

Jeg håber derfor personligt på at den slags også kommer til SSH og Unix-systemer, jo hurtigere jo bedre.

  • 3
  • 0
#7 Deleted User

@Jørgen Ramskov

Det har da temmelig meget med Big Brother teknologi at gøre eftersom firmaet Google bla. er Gmail, Google søgemaskine, og verdens største musik og video streamings tjeneste (Youtube). Google sammenkører allerede bla. vha. af cookies Gmail, Google søgemaskine, og Youtube (hvorvidt de reelt set sammenkører f.eks. historik back-end til f.eks. database ved jeg ikke, men de har da muligheden for det). Og hvis man nu også skal 'hardwires' til Google med hardware identifikations systemer, så er vi da på vej til at Google ved alt !

Og at systemet så skal virke med meget andet and Google, gør det da langfra bedre !

  • 2
  • 3
#9 Jørgen Ramskov

Og at systemet så skal virke med meget andet and Google, gør det da langfra bedre !

Som det allerede er blevet skrevet - prøv at læse original artiklen i Wired, der står bla. følgende:

"So they’ve developed a (as yet unnamed) protocol for device-based authentication that they say is independent of Google, requires no special software to work — aside from a web browser that supports the login standard — and which prevents web sites from using this technology to track users."

Protokollen vil med andre ord ikke give Google mere info om din færden på internettet end de allerede får.

Jeg vil godt give dig ret i at Google ved alt for meget om alt for mange af os, men det er ikke formålet med denne teknologi.

  • 3
  • 0
#10 Deleted User

@Jørgen Ramskov

Selv om man muligvis vil kunne udvikle et system, hvor man med asymetrisk kryptering selv kan genere sine nøgler på en privat PC, og så overføre disse til en hardware dims, og så også overfører en anden nøgle til en server uden at serveren ved præcist hvem man er, så tvivler jeg stærkt på at der er det Google har gang i.

Ikke fordi at jeg har noget specielt imod Google, da der helt sikkert er mange gode ting med Google, men ligefrem at blive hardwiret med dem, så 'forelsket' er jeg altså ikke !

  • 0
  • 2
#12 Deleted User

@Jørgen Ramskov

Det jeg mener er at selvom f.eks. Yubikey kan være en rigtig god ting sålænge man selv har kontrol over den (f.eks. vil jeg da gerne have Yubikey til at logge ind på de servere som jeg administrerer). Så kommer problemet hvis systemet ender med at blive direkte linket til ens identitet, således at ens login til Gmail kan sættes næsten 100% sammen men ens identitet, da alle jo idag bruger de andre Google services som søgemaskine og Youtube nærmest konstant. Problemet er hvis Personlig ID = Gmail = Google søgemaskine = Youtube osv. og ikke som nu hvor ? = Gmail = Google søgemaskine = Youtube osv. !

Det er måske ikke så stort et problem for IT folk der kan forstå at adskille deres ID fra søgninger mv. som de mener er private, men mere hvis almindelige mennesker nu skal have deres ID 'hardwiret' til f.eks. Google.

  • 0
  • 0
Log ind eller Opret konto for at kommentere