Hardverske lozinke iz Googlea
Google predlaže nove načine prijave korisnika na različite usluge, koji bi trebali smanjiti potrebu za pamćenjem različitih lozinki. Riječ je o različitim fizičkim tokenima, koji mogu biti u obliku USB memorije ili NFC čipa implementiranog u mobitel, prsten ili sličan objekt.
Premda ova ideja nije nikako nova, kompanija poput Googlea bi mogla uspjeti u njenoj široj implementaciji i tako korisnike u bližoj budućnosti osloboditi potrebe za pamćenjem velikog broja lozinki i vođenja brige o istima. Problem i do sada najčešće ne leži u samo pristupu verifikacije korisnika na određenu uslugu (najčešće korisničko ime i lozinka), već u “preslabim” lozinkama koje je vrlo lako probiti, što se često i događa nakon hakerskih napada na servere i krađe podataka o korisničkim računima.
Verifikacija bi u Googleovom prijedlogu uključivala dva koraka, slično kao i današnja prijava na neke bankarske usluge. Sustav bi USB token ili neki drugi način pohrane korisničkih podataka automatski koristio za verifikaciju u dva koraka, tako da korisnik ne bi morao sam slati jednokratni token i ostale podatke (poput korisničkog imena) serveru na provjeru. Googleov potpredsjednik odjela sigurnosti Eric Grosse i inženjer Mayank Upadhyay navedeni prijedlog su objavili u članku za časopis IEEE Security & Privacy Magazine, a već su razvijeni i prototipovi uređaja zasnovanih na Yubico kriptografskoj kartici za USB sučelje.
Automatska autentifikacija podrazumijeva i manje izmjene u samim preglednicima Interneta, kako bi oni znali raditi s USB tokenima ili onima implementiranim u smartfone. Google mora još poraditi na podršci za ovu tehnologiju, kao i rješavanju određenih problema, poput slučaja gubitka ili krađe USB tokena, nedostupnosti pristupa Internetu na smartfonu (koji tada ne može poslužiti za prijavu na uslugu) te uvjeravanju korisnika na kupovinu takvih zasebnih sustava i isticanju njihovih prednosti u odnosu na dosadašnji način prijave. Google će morati surađivati i s ostalim web stranicama na implementaciji podrške za tehnologiju i još neimenovani protokol, koji će služiti za ostvarivanje sigurne prijave na usluge.