patrick mylund nielsen bloghoved

Passwordet skal dø

Google har erklæret krig mod passwordet. Vi skal i stedet bruge hardware tokens (baseret på YubiKey), og altså få browsere og andet software til at understøtte denne nye login-metode.

Er Google store nok til at kunne få det udbredt, hvor andre har fejlet? De har trods alt haft relativt stor succes med to-faktor-autentificering via mobilen, og OpenID.

Hvis ikke, hvad er alternativet? Skal browserne blive bedre til at være password managers--automatisk generere og gemme tilfældige passwords, samt gemme dem i en central konto (som måske er beskyttet af en token eller passphrase)? At lægge sikkerhedsbyrden (med passwords der bliver brugt flere steder) på tjenesteleverandørernes side—f.eks. Yahoo, LinkedIn og eHarmony, men også selveste IEEE og IACR—har ikke virket særlig godt indtil videre. Og hvad med software, der ikke kører i browseren?

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Sørensen

Det kunne muligvis være en god ide, jeg kan specielt godt lide udgangspunktet; "Any computer which can use a USB keyboard can also use the YubiKey". Det er en rar tanke, at der ikke skal (portes og) installeres en masse software, før det virker. Spørgsmålet er så bare, om sikkerheden faktisk er i orden.

  • 0
  • 0
#2 Anders Poulsen

En loginmetode, der ikke virker på smartphones, iPads og de øvrige tablets, der ikke tilfældigvis har indbygget USB-port samt nok ikke vil være tilladt at anvende i mange enterprise mljøer, hvor man ikke må anvende egen hard/software lyder ikke specielt universel i mine ører.

  • 3
  • 0
#3 Baldur Norddahl

En loginmetode, der ikke virker på smartphones, iPads og de øvrige tablets

Der står at det virker på iPad - hvordan ved jeg ikke.

Alle Android telefoner og tablets har mikrousb-stik som de oplades igennem. Mange af dem kan håndtere at skifte til host-mode USB via en dongle og Android forstår USB-keyboards tilsluttet på denne måde. Så teknisk set kan du sætte Yubi til mikrousb-stikket. Men smukt er det ikke.

Men Yubi fås også med NFC. Nyere telefoner og tablets, som for eksempel Samsung S3, Google Nexus 4/7/10 etc har alle NFC. Og det er jo en ganske smuk løsning: Du fører bare telefon/tablet sammen med din Yubi, telefon/tablet siger pling og du er logget ind.

  • 0
  • 0
#5 Jan Gundtofte-Bruun

Alle Android telefoner og tablets har mikrousb-stik

Om en Android telefon har USB er vel moot -- hele telefonen er jo hægtet op på en Google konto, og de forestiller sig vel næppe at man skal have dimmeren siddende i hele tiden. Så hellere logge ind med et langt password plus OTP eller SMS, som hidtil.

They’ve had to modify Google’s web browser to work with these cards, but there’s no software download

Eh? Som jeg læser det, betyder det at kun Chrome er understøttet. Det er da "påkrævet software" medmindre man har det i forvejen (og personligt foretrækker jeg en anden browser).

  • 0
  • 0
#6 Jens Krabbe

Kan login baseret på fingeraftryk, irisscanning og/eller stemmegenkendelse kompromitteres? Hvis ikke, så kan jeg ikke se hvad vi skal bruge passwords til i fremtiden. Eller så må I meget gerne påpege hvad der er, jeg har misforstået.

  • 0
  • 0
#8 Patrick Mylund Nielsen

Ja, desværre. De fleste budgetscannere kan let snydes af et stykke plastic på fingeraftryksscanneren (aftrykket er der stadig fra sidste gang, eller er mange andre steder på f.eks. bærbaren), et billede af et ansigt/øje eller en optagelse af ejerens stemme.

Det er ikke alle, der har en fingeraftryks- eller iris-scanner, og de virker allesammen lidt forskelligt. Det er et mareridt at gøre det kompatibelt med f.eks. websites. Det vil det nok også være for Google med Yubikeyen, men de har tidligere haft succes med lignende ændringer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere