211service.com
Google's alternatief voor het wachtwoord
Google gebruikt zijn werknemers als proefkonijnen in een poging om het wachtwoord af te schaffen als de kwetsbare spil die alles beveiligt, van sociale-mediaprofielen tot bankrekeningen.

Zo'n compacte USB-sleutel kan een alternatief zijn voor het typen van wachtwoorden
in een aankomende krant van twee senior Google-medewerkers die werken aan beveiliging – voor het eerst aan het licht door bedraad – het is gebleken dat het bedrijf overweegt om het wachtwoord te maken dat slechts zelden wordt gebruikt. In plaats daarvan houden proeven mensen in die zich eenvoudigweg aanmelden door een compacte USB-sleutel aan te sluiten, zoals op de afbeelding hierboven.
De Google-auteurs, Eric Grosse, VP van beveiligingstechniek en Mayank Upadhyay, een hoofdingenieur die gespecialiseerd is in beveiliging, noemen veel bekende redenen waarom wachtwoorden niet werken. Onder andere dat mensen ze slecht kiezen, ze kwijtraken, ze opschrijven en opnieuw gebruiken voor verschillende services; dat wachtwoorden kunnen worden onderschept door malware; en dat wachtwoordservers via internet kunnen worden gehackt.
Het beste antwoord op de problemen die Google momenteel biedt, bekend als tweefactorauthenticatie , is geen langetermijnoplossing, schrijven Grosse en Upadhyay. Het systeem wordt in toenemende mate gepromoot door Google en door miljoenen mensen overgenomen en vereist dat een persoon na het invoeren van zijn wachtwoord een tijdelijke code van een sms-bericht of smartphone-app moet opgeven om in te loggen. Maar de codes die worden weergegeven door sms-berichten en apps kunnen worden onderschept, en de centrale database die geautoriseerde computers volgt die zijn vrijgesteld van tweefactorauthenticatie, kan worden aangetast.
De krant zegt dat Google intern een veiliger alternatief test met apparaten die identiek klinken als de afgebeelde USB-sleutelhanger, gemaakt door Yubikey (Ik ontmoette onlangs de CEO van Yubikey die zei dat ze met een groot cloudbedrijf aan een groot project werkten). Nadat iemand zijn unieke sleutel aan zijn account heeft gekoppeld, sluit hij deze gewoon aan op een computer wanneer hij of zij moet inloggen. Google heeft nieuwe software gemaakt waarmee een website de Chrome-browser kan gebruiken om een korte cryptografische uitwisseling met een sleutel uit te voeren, wat bewijst dat dat het degene is die is gekoppeld aan het account van een persoon. Tijdens die uitwisseling worden geen gegevens gegenereerd die kunnen worden gebruikt om de sleutel na te bootsen, dus zonder sleutel kan niemand inloggen op een account.
Volgens de krant zou die benadering kunnen betekenen dat mensen zelden wachtwoorden gebruiken en alleen een sterk wachtwoord nodig hebben voor diepe back-ups. Het is de bedoeling van het bedrijf om de details van die aanpak vrij te geven als een open standaard die door andere bedrijven kan worden overgenomen.
Het voorstel van de Googlers wordt wat minder aannemelijk als ze een oplossing aandragen voor het probleem dat niet iedereen een USB-stick handig zal vinden:
Sommige aantrekkelijkere vormfactoren kunnen integratie met smartphones of sieraden zijn die de gebruiker waarschijnlijk toch bij zich draagt. We willen graag dat uw smartphone of uw in een smartcard ingebouwde vingerring een nieuwe computer autoriseert via een tik op de computer, zelfs in situaties waarin uw telefoon mogelijk geen mobiele verbinding heeft.
Een van de grootste technische problemen van dat idee is dat er geen algemeen aanvaarde methode is voor apparaten om rechtstreeks met elkaar te praten wanneer ze zich op dezelfde plaats bevinden. Google experimenteert met Near Field Communication-chips waarmee apparaten aan elkaar kunnen worden gekoppeld om verbinding te maken als één oplossing, zegt het artikel, maar ze verschijnen nog maar net op smartphones en zijn bijna niet aanwezig op pc's.