Google pour faire la vérification 2-étape obligatoire, pour remplacer les mots de passe téléphones

(Crédit image: Biometrics / Shutterstock)

La hausse des appareils mobiles et d'une connectivité permanente, ainsi que des applications et des services de cloud computing, nous a tous mis à risque potentiel en matière de sécurité en ligne. Autrement dit, ce ne sont plus aussi fondamental que l'aide de mots de passe forts et un cryptage fort sur les sites Web et services. Selon un récent effort par Google en faire de ses systèmes plus sûr, la société est à la recherche dans la mise en œuvre Smartphone marquage, jetons long de la vie, et nécessitant une vérification en deux étapes sur ses services.

Cela fait partie de la feuille de route renouvelable de cinq ans de Google pour la sécurité. La dernière fois que Google a fait un effort pour tracer son plan de sécurité grand-image était en 2008, et il est maintenant grand temps de faire une refonte. Pendant ce temps, Google prévoit une vérification en deux étapes mis en œuvre, ce qui exigeait à la fois un mot de passe et une clé avant d'accorder l'accès au compte d'un utilisateur - l'origine envoyé comme un code à six chiffres par SMS.

Cette option n'a été, cependant, et Google veut «déployer un changement à notre système de connexion dans lequel nous allons être beaucoup plus agressif." Qu'est-il arrivé depuis 2008? Un grand nombre, apparemment.

Google cite un certain nombre de choses qui ont poussé l'entreprise à devenir plus agressif dans sa position de sécurité. Tout d'abord, en 2008, les smartphones ne sont pas encore aussi populaire que ce qu'ils sont aujourd'hui. Eric Sachs, chef de produit du groupe de l'identité chez Google, dit qu'ils ne voient pas venir. "Il ya cinq ans, ce niveau d'adoption des smartphones n'a pas été prévu." Et avec la popularité des smartphones d'aujourd'hui, Google va tisser dans la sécurité et l'authentification des appareils mobiles, ainsi que des améliorations de back-end.

Frottement élevé, mais seulement au début

Selon Sachs, Google n'a pas de scrupules avec l'augmentation de la friction que l'on appelle dans la connexion, si seulement pour améliorer la sécurité. "Nous ne nous dérange pas ce qui rend pénible pour les utilisateurs de signer dans leur appareil si ils ont seulement le faire une fois." La clé ici est que vous avez seulement à être incommodés fois - comme en saisissant la fois votre mot de passe et une clé, comme celui qui est envoyé à votre téléphone mobile via SMS ou généré par une application d'authentification. Les prochains points d'accès ou de connexion devrait être basée sur les jetons. Autres applications et services ne devraient jamais avoir à demander vos informations d'identification à nouveau, aussi longtemps que vous avez accès à votre appareil mobile.

Au lieu de cela, les méthodes de connexion proposés par Google seraient impliquer votre appareil mobile de choix - votre smartphone Android par exemple. Au lieu de la saisie votre mot de passe pour accéder à un service tiers, par exemple, vous pouvez tout simplement approuver votre connexion Internet en l'approuvant partir d'une alerte sur votre smartphone.

Comme alternatives, Google propose d'utiliser des technologies comme NFC pour "amorcer" logins. Par exemple, vous pouvez vous connecter à un service en tapant votre smartphone sur une borne NFC sur votre ordinateur portable ou un autre périphérique. Bien sûr, cela suppose que les deux appareils supportent la technologie, et Google envisage effectivement une telle méthode de connexion pour Chromebooks. Mais parce que la société n'a pas de contrôle sur le matériel d'autres fabricants, Google est toujours en cours pour trouver des normes acceptables qui peuvent travailler à travers différents appareils et plateformes. La même chose vaut pour les applications tierces, comme tous les développeurs et les services utilisent OpenID et OAuth.

Google vous connaît

Au-delà de déverrouillage et d'authentification, cependant, le plan de Google pour la sécurité est beaucoup plus sophistiqué. Un facteur supplémentaire serait de déterminer des modèles de comportement et d'élever des drapeaux lorsque l'utilisation écarte de ces modèles. "Nous commençons à expérimenter avec des applications sur le téléphone à afficher des notifications sur le comportement à risque sur un compte." Par exemple, vous pourriez accéder habituellement applications et services Web à partir d'un certain endroit ou pendant un certain moment de la journée. Si vous accédez à coup il d'un autre endroit (dans un autre pays?) Et à un moment étrange, Google peut vous demander d'approuver l'action sur votre appareil mobile avant de poursuivre.

Les schémas d'authentification prévues de Google vous permettra d'approuver ou de rejeter signe-ins à partir de votre appareil mobile, sans avoir besoin de saisir manuellement les mots de passe.

En dehors de ces systèmes, Google épouse aussi le matériel intelligent qui permettra d'améliorer la sécurité et la plate-forme pour accéder aux applications et services. La société note que des systèmes comme la biométrie seront un bon complément, mais il ya encore des problèmes avec les empreintes digitales ou la reconnaissance du visage, entre autres.

Qu'est-ce que Google dit est difficile à ce stade est la récupération de compte. "Compte Recovery est notre talon d'Achille», dit le livre blanc. Google affirme qu'il devrait être assez facile pour l'utilisateur réel d'accès, mais toujours difficile pour les pirates à se fissurer. "Les méchants vont essayer de détourner les comptes grâce à des systèmes de récupération compte, mais cela pose des défis difficiles depuis les systèmes de récupération doivent aider le véritable propriétaire qui a vraiment perdu l'accès à ces autres facteurs", écrit Sachs.

Une autre grande préoccupation est que les risques de sécurité ont augmenté car les pirates malveillants ont trouvé de meilleures façons de monétiser les comptes détournés. Comme tels, ils sont prêts à passer par des longueurs d'entrer dans ces comptes.

Google est confiant sur les résultats de son plan de sécurité plus tôt 2008, cinq ans, et a bon espoir que son plan 2013 sera également conduire à une meilleure sécurité pour les utilisateurs finaux et les développeurs. Vous pouvez consulter le projet de rapport, PROJET PUBLIC: authentification des consommateurs Stronger - 5 rapport de l'année, à partir des liens ci-dessous source. Google a également préparé une série de diapositives pour une présentation plus simple.