Svenske Yubico tilbyr USB-baserte innloggingsbrikker som automatisk oppgir engangspassord til kompatibel programvare. Varianten på bildet kalles for YubiKey Nano. (Bilde: Yubico)

Google vurderer å droppe passord

Kan bli erstattet av lite USB-kort eller en spesiell ring.

Selv om bruk av brukernavn og passord er det som vanligvis kreves for å logge seg på de fleste tjenester, er det stadig flere tjenester som har kommet fram til at må kreves noe mer for å få tilgang. Tjenester som Altinn og nettbanker er blant disse.

Årsaken er at passord har det med å komme på avveie. Passordsikkerheten til mange nettsteder er dårlig, og det skjer stadig at passorddatabaser blir «stjålet» og offentliggjort på nett. Problemet med dette er først og fremst knyttet til at mange bruker det samme brukernavnet og passordet på tvers av flere ulike nettsteder.

På den annen side er det begrenset hvor mange ulike passord man kan greie å huske.

To-faktor autentisering er løsningen som i stor grad har blitt tatt i bruk. I tillegg til brukernavn og passord, må brukeren skrive inn en engangskode som brukeren får tilgang til via en separat enhet, for eksempel en kodegenerator, et kodekort eller via en SMS på mobilen.

Alternativer

Google er blant selskapene som tilbyr en slik to-faktor-løsning, men på frivillig basis. I praksis brukes metoden til å autorisere tilgangen til programvare. Man trenger bare å skrive inn koden den første gangen man logger på Google-kontoen med en gitt nettleser. Koden får man via mobilen, enten som SMS eller i en egen applikasjon. Men dersom man logger fra en annen nettleser eller annen maskin, vil man på nytt måtte skrive inn en engangskode.

I applikasjoner som ikke støtter to-faktor autentisering, for eksempel en tredjeparts e-postklient, vil man i stedet kunne få generert et applikasjonsspesifikt passord.

Innlogging med to-faktor autentisering er sikrere enn innlogging med bare brukernavn og passord. Men en slik løsning hindrer i liten grad phishing, hvor brukeren blir bedt om å oppgi innloggingsinformasjon på et falskt nettsted.

Dette er bakgrunnen for forskning Googles sikkerhetsavdeling har gjort for å gjøre innloggingen på nettsteder, ikke bare Googles egne, enda sikrere.

Wired skriver at Googles sjef for IT-sikkerhet, Eric Grosse, og ingeniøren Mayank Upadhyay har skrevet en forskningsrapport som skal publiseres i en kommende utgave av IEEE Security & Privacy Magazine. I rapporten omtales ulike autentiseringsmetoder, blant annet metoder som involverer maskinvarebasert autentisering.

Blant løsningene selskapet nå eksperimenterer med, er bruken av små USB-basert, kryptografikort fra selskapet Yubico. Dette er på ingen måte uprøvd teknologi. Allerede brukes slike kort i Sverige for å gi ansatte og elever ved blant annet Arlandagymnasiet tilgang til Google-tjenester. De støttes også av Microsofts nettskyplattform, Windows Azure.

Maskinvare

Men Google går et skritt videre. Ifølge Wired har selskapet bygget inn eksperimentell støtte for Yubicos kort i en versjon av Google Chrome, slik at brukerne automatisk vil logges inn på Google, uten å måtte installere annen programvare.

Men hensikten er tydeligvis ikke å låse brukerne til produkter fra én leverandør.

– Vi skulle likt å se at smartmobilen din, eller en fingerring med integrert smartkort, kan brukes til å autorisere en ny datamaskin via et klapp på datamaskinen, også i tilfeller hvor telefonen din ikke er forbundet med mobilnettet, heter det i forskningsrapporten.

Forfatterne har utviklet en ikke-navngitt protokoll for enhetsbasert autentisering. Den skal ikke kreve noe annen programvare enn en nettleser som støtter den. Protokollen skal også hindre at nettsteder bruker teknologien til å spore brukere. Ifølge Wired skal protokollen være uavhengig av Google.

For at en slik løsning skal kunne ta av, avhenger den av at også andre nettsteder enn Googles tar den i bruk.

– Andre har forsøkt lignende tilnærminger, men har oppnådd lite suksess i forbrukerverdenen. Selv om vi innser at vårt initiativ også vil forbli spekulativ inntil vi har demonstrert storskala aksept, er vi ivrige etter å teste den med andre nettsteder, skriver forfatterne.

    Les også:

Til toppen