Google: Jeden prsten vládne všem (heslům)

Dvojice výzkumníků Googlu ve své práci uvádí, že současné způsoby ochrany uživatelských účtů před jejich zneužitím, což zahrnuje také dvoustupňové ověřovací systémy, jsou neúspěšné, protože musí čelit neustálé hrozbě útoků, které je možné realizovat díky novým a novým zranitelnostem. Za největší hrozbu výzkumníci považují metodu zvanou phishing, při které útočníci získají přístupové informace tím, že své oběti nějakým způsobem přimějí k jejich zadání na falešné webové stránce.

„Je na čase přestat vymýšlet složitá pravidla pro přístupová hesla a podívat se po něčem lepším,“ píší autoři studie, kterými jsou Eric Grosse a Mayank Upadhyay. Své závěry chtějí oficiálně zveřejnit 28. ledna v časopisu IEEE Security & Privacy.

Hlavní podstatou návrhu je aplikovat způsob známý z firemního prostředí, který se ale příliš neujal u běžných spotřebitelů. Řeč je o zašifrovaných zařízeních typu USB, prostřednictvím kterých by se lidé mohli bezpečně přihlašovat k webovým stránkám a online účtům chráněným heslem.

Google podle jejich slov již pracuje na prototypu systému, který by takový způsob správy hesel umožnil. Vytvořil experimentální zařízení USB, kterým se uživatel přihlásí ke svým účtům. Kompatibilní internetový prohlížeč posléze vytvoří dvě nová rozhraní API, která webovým stránkám umožní zapamatovat si schválené zařízení.

„První z těchto API je používáno během procesu registrace. V tu chvíli dojde k vytvoření veřejného a privátního klíče a odeslání veřejného klíče zpátky na webovou stránku,“ píše se ve studii. Druhé API používá webová stránka pro ověření pozdějších požadavků na přístup do uživatelského účtu.

Metoda nevyžaduje instalaci žádného nového softwaru. Jediným požadavkem je již zmíněný internetový prohlížeč kompatibilní s novou technologií. Stejně tak nejsou potřeba žádné systémové ovladače. Jednoduše řečeno tak bude mít vše na starost jediné zařízení připojení do zdířky USB. Google si navíc uvědomuje, že spotřebitelé u sebe zřejmě nebudou chtít nosit další zařízení. Navrhuje proto, že by se technologie mohla stát součástí nových smartphonů nebo by mohla dokonce mít formu šperku, například prstenu.

Google nicméně uznává, že prosadit novou technologii nebude jednoduché. K jejímu nasazení ve větším měřítku asi jen tak nedojde, přesto chtějí výzkumníci pokračovat v jejím testování na dalších webových stránkách. I pokud by nový způsob nakonec neujal, Google věří, že tím alespoň přispěje ke zlepšení současných systémů.