Car-tech

Google建议使用珠宝或设备作为下一代密码

欣喜还是心碎?​从生活到就业,5G将影响我们的88个场景

欣喜还是心碎?​从生活到就业,5G将影响我们的88个场景

目录:

Anonim

Google强调了网络钓鱼,其中黑客通过将帐户持有人登录到虚假帐户登录页面来欺骗帐户持有人,以此泄露敏感信息,这是当今最大的安全威胁之一。阅读:如何重新这些作者说:“现在是时候放弃精心设计的密码规则,寻找更好的东西了。” Google的Eric Grosse和Mayank Upadhyay的研究论文将于1月28日发表在

IEEE安全与隐私

上,并于周五由Wired首次报道。

[[另请参见“ '密码'仍然是最糟糕的密码,但要留意'忍者''和'如何在密码疯狂的世界中找到快乐'。]]

谷歌测试USB设备 谷歌提议的核心是它的一个想法已被企业所使用,但在消费者中几乎没有取得成功:一种人们用来登录受密码保护的网站和在线账户的类似加密USB设备。谷歌表示正在开展一项内部试点工作用一个实验性的USB设备,用户首先在他们拥有账户的多个网站上注册。符合标准的浏览器将使网站可以使用两个新的API(应用程序编程接口)传递给连接的设备。 “在注册步骤中调用其中一个API,导致硬件生成新的公用 - 私钥对,并将公钥发回网站,“该文件解释说。 “网站在身份验证过程中调用第二个API,向硬件提供挑战并返回已签名的响应。”

该方法不需要安装任何软件,但用户需要使用兼容的Web浏览器谷歌表示,努力。注册和身份验证协议将是开放和免费的,该设备可以连接计算机的USB,而不需要任何特殊的操作系统设备驱动程序。

基本上,Google员工设想一个设备,人们可以滑入USB插槽,然后使用只需单击鼠标即可登录到任意数量的在线账户。

因为携带其他设备可能不会在消费者中流行,Google建议认证设备可以集成到智能手机或甚至是珠宝首饰中。即使在手机可能没有蜂窝连接的情况下,该设备也能够授权一台新的计算机用于单次点击。

平衡麻烦,安全

该技术旨在改善公司当前的,可选的两步验证系统。使用该系统时,当用户想要通过新计算机登录Google服务时,系统会提示他们输入发送到其预先注册的手机的代码,并允许他们访问该网站。

该公司表示,系统一直很好,但它也可以被黑客帐户滥用。谷歌工程师写道,在他们窃取密码并破解账户后,他们有时会使用自己的电话号码设置双因素身份验证,“只是为了减慢真正的拥有者恢复帐户的速度。”Google承认它的所提出的USB钥匙方法是“推测性”的,并且需要大范围的接受。但该公司表示,它急于与其他网站进行测试。

“用户设备注册目标网站应该很简单,不应该要求与谷歌或任何其他第三方的关系,”工程师写道。 “注册和身份验证协议必须公开,并且免费供任何人在浏览器,设备或网站上实施。”

Google没有说实验系统是否或何时可以投入使用。 “我们专注于使认证更加安全,而且更容易管理,我们相信这样的实验可以帮助改善登录系统,”发言人通过电子邮件表示,“