Google vurderer om Chrome skal foreslå vilkårlige passord når brukeren registrerer seg hos nye tjenester. (Bilde: Google)

– La Chrome ordne passordene for deg

Det er vanligvis bra at brukerne ikke kan passordene sine, mener Google.

IT-brukere har slitt med å huske passord siden den gangen man kanskje bare hadde ett system som man måtte logge seg inn på. Når stadig mer av dagliglivets oppgaver kan gjøres via Internett, kan det fort bli langt flere passord å holde styr på. Det fleste løser trolig dette ved å bruke det samme passordet overalt.

Problemet med et felles passord for alle tjenester oppstår når det har vært datainnbrudd hos en tjeneste som brukeren benytter, og det viser seg at inntrengerne har fått med seg en passorddatabase hvor brukernes passord er for dårlig beskyttet. Da vil inntrengerne kunne se om den samme kombinasjonen av brukernavn og passord også fungerer hos andre tjenester, for eksempel Facebook, store nettbutikker eller i verste fall nettbanken til brukeren.

Slike innbrudd skjer til stadighet, og det viser seg i blant at også store aktører svikter på dette området.

Passord kan også komme på ville veier gjennom phishingforsøk og skadevare som registrerer hva brukeren skriver i nettleseren.

Det viser seg nå at Google forsøker å lage en løsning i Chrome som kan redusere problemet med gjentatt bruk av de samme passordene.

– Chromes langsiktige løsning på dette problemet er nettleserinnlogging pluss OpenID. Mens det å implementere nettleserinnlogging er noe vi kan kontrollere, vil det ta en stund før de fleste nettsteder på internett tar i bruk OpenID, skriver Chromium-teamet i et dokument.

– I mellomtiden ville det være fint å ha en måte å oppnå den samme effekten som å ha nettleserkontrollert autentisering. I dag kan du stort sett oppnå dette målet gjennom passordbehandler og nettlesersynkronisering, men brukerne kan fortsatt passordene sine, noe som gjør dem følsomme for phishing. Ved å få Chrome til å generere passordene for brukerne, kan vi fjerne dette problemet, skriver Chromium-teamet.

Løsningen som foreslås, er at Chrome skal oppdage når brukeren har kommet til et webbasert skjema hvor det er meningen at brukeren skal velge passord for å ta i bruk en ny tjeneste. Som oftest inneholder slike sider to passordfelt, for å sikre at passordet ikke inneholder skrivefeil som kan gjøre det umulig for brukeren å logge seg inn ved en senere anledning.

I disse tilfellene vil Chrome automatisk kunne generere et vilkårlig passord med anbefalt lengde og bruk av bokstaver, siffer og spesialtegn. Brukeren kan velge å benytte dette eller å skrive inn noe selv. Passordet lagres deretter i nettleseren og i kryptert nettskyen hos Google. Det siste er spesielt aktuelt dersom brukeren benytter Chrome på flere enheter – Chrome finnes nå også til Android 4-baserte nettbrett og smartmobiler. Men Chromium-prosjektet mener at brukerne også vil kunne komme opp i situasjoner hvor de har behov for å se hva passordet egentlig er.

– Mens det generelt er bra at brukerne ikke kan passordene sine, kan det hende at de har behov for dem, slik som når de ikke kan bruke Chrome. For slike tilfeller, vil vi måtte ha et sikkert, nettstedbasert passordlager hvor brukerne kan logge seg inn og se (og muligens eksportere?) sine passord. Siden det vil være relativt sjelden at brukerne trenger dette, og siden denne informasjonen har stor verdi, virker det fornuftig om brukerne må løse en captcha før de får tilgang til denne informasjonen.

Teamet mener at selskapets tjenester allerede er et ettertraktet mål for kaprere, slik at det å legge flere egg i denne kurven ikke vil endre situasjonen så mye.

– Videre er det enklere for oss å gjøre innlogging i Google sikrere via StrongAUTH enn å få alle nettsteder på internett til å sikre seg selv. På et tidspunkt i framtiden vil det kanskje også være mulig for oss å endre automatisk alle passordene til en bruker, dersom vi innser at kontoen har blitt kapret.

Det er fortsatt en del utfordringer som Google må finne løsninger på for at et slikt system skal fungere. Hva gjør man for eksempel med nettsteder som har spesielle krav til passordet, for eksempel at de bare kan inneholde bokstaver og sifre?

Det er ikke oppgitt noen tidsplan i dokumentet, og det er heller ikke noe som tyder på at dette er noe som garantert kommer i en framtid utgave av Chrome.

    Les også:

Til toppen