Zaloguj się za pomocą swojej obrączki: Google coraz bliższe porzucenia haseł

Login i hasło – do tego sposobu uwierzytelniania się wserwisach internetowych jesteśmy tak przyzwyczajeni, że trudnosobie wyobrazić coś innego. Nawet dodatkowe mechanizmyzabezpieczeń tego procesu, stosowane np. w bankowościelektronicznej, nie stanowią jakiegoś przełomu: dostajemy np.dodatkowe kody jednorazowe, wysyłane SMS-em, czy maskę nakładanąna hasło, w którą wpisujemy jedynie wskazane znaki. Sytuacjamoże się jednak znacząco zmienić dzięki badaniomprowadzonym przez Google'a, którego zdaniem hasła są tanim iszybkim sposobem uwierzytelniania, które nie chroni dziś jużwystarczająco użytkowników Sieci. Zaczęło się od opublikowanego w styczniu tego roku w branżowymperiodyku IEEE Security & Privacy Magazine artykułu pt.„Authenticationat Scale” Erica Grosse and Mayanka Upadhyaya – dwóchstarszych rangą pracowników Google'a. Pozornie nie piszą oni tam oniczym nowym – wykorzystanie hardware'owych komponentów w procesieuwierzytelniania to pomysł znany od dziesięcioleci (korzystamy zniego np. podczas wypłacania pieniędzy z bankomatu). Jednakwykorzystanie go w masowych, często darmowo udostępnianych usługachwebowych to zupełnie inna sprawa. Miesiąc później Upadhyay wystąpił na konferencji RSA w SanFrancisco, gdzie przedstawił stan prac Google'a nad bezhasłowymuwierzytelnianiem. Okazuje się, że Mountain View wykorzystuje jużniektórych swoich pracowników jako świnki morskie do testówrozmaitych rozwiązań, a sam pomysł zdobył uznanie – każdybowiem spotkał się w życiu z bankomatem, więc przeniesienie tegodoświadczenia na komputer nie budzi zdziwienia. W tym wypadkubankomatową kartę zastąpił niewielki klucz USB, przeprowadzającykryptograficzne transakcje z usługą online, do której użytkownikmiałby się zalogować. Urządzenie zawierało też czipradiowy, pozwalający na komunikację np. ze smartfonami.Oczywiście unikatowy klucz zawarty w takim urządzeniu nie jestnigdy udostępniany. Uwierzytelnienie polega na przedstawieniupoprawnego rozwiązania matematycznego problemu na bazie klucza, alew taki sposób, by nie wygenerować żadnych informacji, któremogłyby pozwolić na ponownie zalogowanie się. Sięgnięto pokryptosystem na bazie krzywych eliptycznych, a dane przekazywano dowitryny za pomocą ciasteczek sparowanych z danym klientem SSL (tak,że są one możliwe do wykorzystania tylko w połączeniachinicjowanych przez klienta – nawet jeśli komuś uda się takieciasteczko wykraść, nie będzie mógł się nim posłużyć. Takisystem logowania, nazwany roboczo ChannelID, działa na razie zprzeglądarką Chrome 24, w sposób niedostrzegalny dlaużytkownika, wykorzystując takie funkcje przeglądarki jakzarządzanie ciasteczkami (ich skasowanie automatycznie prowadzi doskasowania powiązanych kluczy) czy tryb incognito (gdzie używane sąoddzielne pary kluczy).[img=crypto_550px]Upadhyay nie poinformował, kto jest producentem użytego przezGoogle sprzętu, ale przedstawiona specyfikacja wskazywać może naurządzenie Yubikey firmy Yubico, sprzedawane dziś przede wszystkim firmom jakododatkowy sposób zabezpieczenia dostępu do usług IT w ichsieciach. Przyznał też, że forma klucza USB może nie byćodpowiednia dla każdego, więc Google pracuje nad innymi formamihardware'owych kluczy, w tym smartfonami i biżuterią. Docelowoposiadacz takiej kryptograficznej obrączki powinien mócdotknąć komputera, by się zalogować do systemu.Upowszechnienie się takich rozwiązań nie będzie jednakłatwe. Formy bezprzewodowej komunikacji na krótki dystans międzyurządzeniami nie są w żaden sposób zestandaryzowane. Wieluproducentów prowadzi prace nad technologią NFC (Near FieldCommunication), ale dopiero pojawia się ona w smartfonach, a najej szybki debiut na laptopach czy desktopach raczej się niezanosi. Dlatego jak na razie, zanim zaczniemy do Gmailadostawać obrączki, Google radzi byśmy korzystali z dwustopniowegouwierzytelnienia, które w tym wypadku sprowadza się dowykorzystania telefonu i systemu kodów jednorazowych przy logowaniu.Szczęśliwie rozwiązanie to nie wymusza korzystania z SMS-ów,można wykorzystać do generowania kodów aplikację GoogleAuthenticator. Pomysł nie jest zły – coraz więcej serwisów i aplikacjiwebowych wprowadza obsługę google'owego systemu uwierzytelniania,ostatnio wprowadzono ją do Drupala i Dropboksa, logować się możemyz Google Authenticatorem do WordPressa, Amazon Web Services iLastPass. Z czasem lista ta powinna się tylko powiększać,utrudniając życie tym, którzy zajmują się wykradaniemnaszych cyfrowych tożsamości.