Google-ring om mee in te loggen
Het beveiligingsteam van Google doet onderzoek naar nieuwe manieren om op websites in te loggen. Een van die manieren is een speciale ring waarmee je tegen het apparaat tikt om connectie te maken en op websites als Gmail in te loggen.
Een vervanger voor het wachtwoord is geen gek idee want het wachtwoord lijkt zijn laatste tijd te hebben gehad als primaire manier om ergens in te loggen. Laatst schreven we nog dat 9 op de 10 wachtwoorden eenvoudig te kraken zijn met de huidige stand van hardware en software. De gevolgen van een account-hack zagen we vorig jaar nog met Mat Honan.
Een wachtwoord zal nooit helemaal veilig zijn en al helemaal niet hoe de veel mensen daarmee omspringen. Google ziet dan ook iets in een 2-staps inlogmethode via een wachtwoord of ander soort van screen unlock-methode maar dat het wachtwoord niet meer leidend is om in te loggen. In die gevallen is een zwak wachtwoord ook een veel minder groot risico dan dat het nu is.
Inloggen via usb
De Google-onderzoekers kijken naar verschillende oplossingen waaronder de Yubico cryptographic kaart dat je in een usb-poort steekt om in te loggen op Google. Chrome moest er wel voor aangepast worden maar er is verder geen extra software nodig.
De Yubico usb-sleutel
One ring to log into them all
Nadeel van usb is dat niet elk apparaat over usb-poorten beschikt (tablets en smartphones) en je het makkelijker kwijtraakt wanneer je het meeneemt naar een andere computer. Google denkt dan ook aan draadloze oplossingen zoals je smartphone of een speciale ring met een smartcard waarmee je op de computer tikt om in te kunnen loggen. Ook als je telefoon geen bereik heeft moet het wel dienst kunnen doen als verificatie-apparaat. Deze apparaten heb je altijd bij je. Maar ben je de ring of smartphone kwijt dan heb je natuurlijk wel een groot probleem en moet je dat snel als gestolen kunnen opgeven (of er zelf naar op zoek gaan maar dat kan wel een trilogie lang duren).
Phising achter het net
Groot voordeel van een hardwarematige manier van inloggen is dat phising een veel minder grote dreiging vormt aangezien men aan je wachtwoord niet genoeg heeft. Momenteel is 2-staps verificatie ook al mogelijk bij google door een speciale code te ontvangen per sms op je smartphone wanneer je via een computer inlogt die niet jouw thuis-pc is. Niet helemaal perfect want je moet dan toch weer een code intikken via een webpagina die weer door phising-criminelen onderschept kan worden. Maar het is toch beter dan enkel een wachtwoord totdat de nieuwe inlogmethoden hun intrede doen. Google geeft aan protocol dat ze ontwikkelen voor het inloggen met een hardware-apparaat beschikbaar maken
[Via: Wired]