Google: u nas uwierzytelnianie przez hasła to już przeszłość

O tym, że hasła nie są dobrą metodą na bezpieczne logowanie dousług internetowych, systemów czy urządzeń, mówi się już od wielu lat– a mimo to wciąż to właśnie kombinacja login-hasło jest dlazdecydowanej większości użytkowników podstawowym, jeśli nie jedynymsposobem uwierzytelniania. Ostatnio jednak Google nie ustaje wprzekonywaniu swoich użytkowników, że wszyscy oni powinni przejść nadwuetapowąweryfikację, w której oprócz hasła korzystamy jeszcze z telefonu,na który dostawca usługi przesyła unikatowy PIN, wykorzystywany przylogowaniu. To jednak dla giganta z Mountain View najwyraźniej tylkoetap przejściowy – przyszłość w Google ma być całkowiciebezhasłowa.Podczas panelu dyskusyjnego Spies like us,który miał miejsce na odbywającej się w tym tygodniu konferencjiTechCrunch Disrupt, wystąpiła Heather Adkins, należąca do gronazałożycieli Google Security Team i pracująca w Mountain View jakoManager of Information Security. Poinformowała, że z perspektywyGoogle'a wszystkie internetowe projekty, które polegają na hasłachjako metodzie zabezpieczenia swoich użytkowników, są na starcieprzegrane – i że w samym Google hasła są czymś, zczym już skończono.[img=tokenpass]Niewiele wiadomo, jak wyglądająte bezhasłowe systemy uwierzytelniania. Adkins wspomniała jednak osprzętowych generatorach tokenów, jak również stworzonym przez ludziz Motoroli systemie, w którym uwierzytelnianie użytkowników wiąże sięz dotknięciem skanera obiektem trzymanym w dłoni czy wszytym wubranie. Według specjalistki z Google, czegoś takiego hakernie może ci wykraść.Adkins ponownie też zachęciła dowłączenia dwuetapowej weryfikacji. Według niej ci użytkownicy usługGoogle'a, którzy wciąż trzymają się tradycyjnych haseł, nierzadkopadają ofiarami cyberprzestępców, przejmujących ich konta, by zarazpo tym samodzielnie włączyć dwuetapową weryfikację. Uniemożliwia toużytkownikom odzyskanie kont, wykorzystywanych następnie doprzestępczych celów – np. rozsyłania spamu. Google nie jest osamotnione w tymprzekonaniu o zmierzchu haseł. Coraz więcej startupów, które pracująnad mniej lub bardziej wyrafinowanymi systemami uwierzytelnianiabazującymi na biometrii lub sprzętowych czy programowych generatorachtokenów (np. uruchamianych na smartfonach). Apple w swoim najnowszymflagowym telefonie – iPhone 5S – umieściło czytnik liniipapilarnych, zaś producenci aut, zrzeszeni w organizacji o nazwieFido Alliance,kończą prace nad zestawem specyfikacji opisujących bezhasłowe metodyuwierzytelnienia, które mogłyby być wykorzystywane przez kierowców.Wszyscy powtarzają ten sam argument – przy obecnej mocyobliczeniowej komputerów, hasła stosowane przez użytkowników są zasłabe. Mało kto stosuje skomplikowane wielowyrazowe frazy, czy teżciągi cyfr, znaków alfanumerycznych i znaków specjalnych.Sami użytkownicy jednak do tegoantyhasłowego trendu wcale nie podchodzą tak entuzjastycznie.Informacje o wprowadzeniu czytnika linii papilarnych do iPhone'a 5S,ujawnione raptem kilka dni po tym, jak DerSpiegel pisał o upodobaniu NSA do telefonów Apple'a, z którychtak łatwo wydobyć wszystkie dane ich właścicieli, wywołały w Siecilawinę nerwowego śmiechu. Pojawiały się komentarze sugerujące, że NSApowinno teraz subsydiować sprzedaż nowych iPhone'ów, jako że w tensposób agencja ta będzie w stanie zbudować największą na świecie bazęodcisków palców. Również i do zapędów Google'a wielu odnosi siękrytycznie – ostatecznie dwuetapowa weryfikacja ułatwia Googleustalenie realnej tożsamości użytkownika i jego fizyczne namierzeniepoza Siecią. I nic dziwnego – w końcu wiedza o tym, gdzieznajdują się w danym czasie użytkownicy usług Google ma swojąwartość, tak dla biznesu jak i służb wywiadowczych.Pozostaje nam tylko czekać, ażGoogle zacznie promować wszczepianie dzieciom czipów RFID, zaraz poich narodzinach – to w końcu naturalny kolejny krok poczytnikach linii papilarnych.