Technologia ultradźwiękowego logowania została przejęta przez Google
Pomysłów na ulepszenie mechanizmów uwierzytelniania w usługachinternetowych, zarówno pod względem bezpieczeństwa jak i wygodnyjest coraz więcej – ale jakoś nie udaje się im wyprzećstandardowej metody login-hasło. W zasadzie jedynym ulepszonymsposobem, który zdobył większą popularność, jest dwuetapowysystem weryfikacji wykorzystywany do uwierzytelnianiaużytkowników usług Google, który łączy stałe hasło z hasłemjednorazowym, przesyłanym użytkownikowi SMS-em, przez połączeniegłosowe lub aplikację w telefonie. Choć jednak rozwiązanie tojest bezpieczniejsze (napastnik musi fizycznie przejąć telefonofiary, by dostać się do jej konta), to jednak jest niezbytwygodne, wymaga mozolnego przepisywania ciągów cyfr z telefonu nakomputer.
Google znalazło jednak bardzo ciekawy sposób na usunięcie tejniedogodności, korzystający z głośnej ostatnio w kręgachhakerskich techniki akustycznejkomunikacji bezprzewodowej. Nie zrobiło tego własnymi siłami.Rozwiązanie takie opracował w zeszłym roku izraelski startupSlickLogin, kupiony właśnie przez wyszukiwarkowego giganta zanieujawnioną kwotę.
Metoda jest całkiem pomysłowa, a co więcej, działa nie tylkona laptopach, ale też na komputerach desktopowych, częstopozbawionych własnego mikrofonu. Użytkownik odwiedzając witrynękorzystającą z dwuetapowej weryfikacji SlickLogin, kładzie obokkomputera swój smartfon z zainstalowaną aplikacją dostępową.Strona internetowa odtwarza niesłyszalne dla ludzi ultradźwięki, wktórych zakodowany zostaje jednorazowy kod uwierzytelniający.
Wykorzystywane we współczesnych smartfonach mikrofony bezwiększego problemu są w stanie odbierać dźwięki w pasmachpowyżej 22 kHz, więc zakodowany w ten sposób sygnał trafia doaplikacji, która przesyła potwierdzenie poprawnościuwierzytelnienia na serwery SlickLogin. Chcący się zalogowaćużytkownik nie musi więc niczego z telefonu przepisywać – a mate same korzyści w zakresie bezpieczeństwa, co z wykorzystaniemstandardowego mechanizmu dwuetapowego uwierzytelniania.
Na razie nie wiadomo, kiedy SlickLogin zostanie zintegrowany zmechanizmami uwierzytelniania Google. Na razie możecie więczobaczyć jedynie prezentację na poniższym nagraniu z konferencjiDisrupt 2013.
