Vil kvitte seg med passord

Vil kvitte seg med passord

Google jobber med maskinvare for å bli kvitt alle passordene på nett. - Topp, sier sikkerhetsekspert.

Ifølge Computerworlds nyhetstjeneste jobber Google med løsninger som skal gjøre en slutt på behovet for brukernavn og passord for nettjenester, og tror fremtiden ligger i maskinvare.

Selskapet forsker på maskinvare som skal fungere som en universalnøkkel for nettjenester, og ser på flere muligheter som en smartring du har på fingeren, en kryptografisk minnepinne eller en egen chip i smartmobilen.

Tanken bak det hele er å stikke kjepper i hjulene for e-skurker som bruker stjålet informasjon for å få tilgang til kontoer og tjenester på nett. Med en fysisk sikkerhetsenhet vil det bli mye vanskeligere, mener selskapet.

Tungvint med to-steg

Mange nettjenester bruker allerede en sammenlignbar metode med to-stegs autentisering. I slike tilfeller er bruker nødt til å benytte et ekstra steg i prosessen for å bekrefte sin identitet.

Vanlige to-stegs mekanismer inkluderer bruk av engangskode fra fysisk kodekort eller kodegenerator og engangskode som sendes ut via epost eller SMS.

Problemet med to-stegs autentisering er åpenbart, da det kan være irriterende tungvint å gå igjennom en slik prosess hver gang man skal sjekke epost fra en ny pc eller logge seg på nettjenester. Samtidig er man nødt til å ha to-stegs validatoren med seg hele tiden, om det så er snakk om en kodebrikkke eller på mobilen.

Og ettersom forskjellige tjenester gjerne benytter sin egen to-stegs validator, kan det for bli mye å holde styr på.

Da mener Google løsningen ligger i èn fysisk dings som kan kommunisere trådløst med datamaskinen.

- Vi vil gjerne se at smartmobilen eller et smartkort på ringfingeren kan autentisere deg på en ny maskin via en enkel berøring, også i tilfeller hvor mobilen ikke har dekning, sier Google-ingeniørene til Computerworld.

Ikke perfekt

En løsning som Google foreslår leveres selvsagt med sine egne og nye utfordringer.

Eksempelvis vil det være behov for en reserveløsning som er sikrere enn bare brukernavn og passord, i tilfelle autentiseringsenheten blir tapt eller stjålet. Samtidig er det opplagt mye enklere å stjele en liten smartring.

Forskjellen er i slike tilfeller at det blir vanskeligere for skurker på nettet å få fatt i informasjonen din, mens det blir lettere for kolleger, ektefeller, barn og andre som står deg nær.

Google innrømmer også at det fortsatt ville være behov for å bruke passord. Blant annet fordi ikke alle har lyst til å gå rundt med en smart-ring eller mobilen bare fordi de trenger å bruke pc-en.

Det vil også være nødvendig å få nettutviklere med på laget, eller i det minste ta i bruk tjenester som Account Chooser, som benytter store tjenester som Google eller Facebook som autentiseringsmotor for andre nettsteder- og tjenester.

Å kvitte seg med passord

Google er ikke de eneste som ser på andre muligheter for autentisering. Apple kjøpte for eksempel biometri-selskapet Authentec i fjor, noe som førte til rykter om at Iphonen vil få innebygget biometrisk skanner for autentisering.

Tanken om å kvitte seg med brukernavn og passord-kombinasjonen for autentisering på nett er ikke ny, og mange eksperter mener det er på tide å finne en bedre og sikrere løsning. Autentisering i egen maskinvare er kanskje veien å gå.

Sikkerhetsekspert Per Thorsheim synes det er veldig bra at Google ser på muligheten for å støtte flere autentiseringsmuligheter.

- Det at Google ser på hardwareløsninger synes jeg er topp, sier Thorsheim.

Han ser store fordeler med autentisering i maskinvare, og viser til eksempelet Yubikey fra det svenske selskapet Yubico.

- For mange brukere er slike løsninger veldig enkle, spesielt når det er satt opp fra leverandør. For å logge inn, er det bare å besøke nettstedet, klikke en gang på nøkkelen, og så logges du inn, sier Thorsheim.

Samtidig sier han at det er store sikkerhetsfordeler med enkel maskinvareautentisering, fordi man vil være nødt til å ha tilgang til den fysiske komponenten for å kunne foreta et angrep. Er det faktisk noen som virkelig er ute etter informasjonen din, så vil de klare det uansett sikkerhet og autentiseringsløsninger.

- Jeg tror fullt ut av løsninger som Yubikey er en enklere og billigere måte å autentisere på enn for eksempel Securid, sier Thorsheim, og legger til at det blir spennende å se hvilke alternativer for maskinvarebasert autentisering Google finner på.

Les om:

Sikkerhet