Google vrazil další hřebík do rakve heslům

Zpravodajství Web Google vrazil další hřebík do rakve heslům

Společnost Google minulý měsíc potvrdila, že plánuje rozšířit možnosti přihlašování a momentálně testuje s malou skupinou lidí nový způsob přihlašování se ke Google účtu. Tato skupina se jmenuje Sign-in Experiments at Google. Nový způsob má nahradit stále oblíbená hesla, která jsou snadno prolomitelná a u mnoha lidí nedostatečně komplexní. Google v současné době umožňuje dvoufázové ověření, avšak krok navíc je pro mnoho lidi příliš diskomfortní, a proto jej nevyužívá.

Přihlašování by mělo fungovat zhruba takto:

  1. Uživatel napíše emailovou adresu v přihlašovací obrazovce a klikne na "Další".
  2. V dalším kroku odešle na svoje zařízení výzvu k přihlášení.
  3. Na mobilní zařízení se objeví výzva k přihlášení.
  4. Uživatel výzvu potvrdí kladně.
  5. Poté je vyzván k potvrzení, což mohou být třeba dvě konkrétní čísla.
  6. A nakonec je uživatel přihlášen k účtu Googlu.

Pochopitelně je tu velké riziko, když se mobilní zařízení dostane do nesprávných rukou. Google však ponechá uživatelům možnost se přihlašovat klasicky heslem. Otázkou však zůstává, jestli novou možnost uvítají zejména ti lidé, jejichž heslo je "12345" a "heslo". Nová metoda je zatím testována na zařízeních s operačním systémem Android a iOS.

Zdroj: Naked Security


 

  Aktivity (1)

Zprávu pro vás napsal Filip Matthias Lukl 14. ledna 20:58
Avatar
Autor momentálně pracuje jako překladatel v jedné malé velké společnosti. A také rád píše...

Miniatura
Všechny články v sekci
Zprávy ze světa internetu

 

 

Komentáře
Zobrazit starší komentáře (9)

Avatar
Adam Ježek
Tým ITnetwork
Avatar
Adam Ježek:

Já tohle nesrovnávám s dvoufázovým ověřením. Tady se zadá mail (který zná skoro každý, používáš ho ke komunikaci s ostatními) a pak se přihlásíš přes mobil. A pokud ti ten mobil někdo ukradne, tak je úplně jedno, že si místo SMSky poslal okénko s tlačítky Ano/Ne.
Pokud už ti někdo do mobilu nastrčí SW, co mu přepošle SMSky, tak pro něj nebude problém, aby ti tam nastrčil i SW, který bude schopen potvrdit tu hlášku.

Odpovědět 15. ledna 14:44
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
coells
Redaktor
Avatar
Odpovídá na Adam Ježek
coells:

Pokud už ti někdo do mobilu nastrčí SW, co mu přepošle SMSky, tak pro něj nebude problém, aby ti tam nastrčil i SW, který bude schopen potvrdit tu hlášku.

Ty jsi naivní. Já přece nemluvím o tvém mobilu ale o operátorovi. Přibližně v době, kdy ses narodil, už operátoři se zákona archivovali SMS za poslední 2 roky, uměli vysledovat telefon za účelem policejního vyšetřování, ale striktně to popírali. A tvoji komunikaci včetně SMS viděl každý na infolince a dokonce s ní mohl manipulovat.

Zkuste se nejdřív zamyslet, než píšete tyhle výkřiky.

 
Odpovědět  +1 15. ledna 14:54
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na coells
Adam Ježek:

Operátoři sice můžou vidět tvoje SMSky, ale řekni mi, kolik se v reálu děje případů, že oběť má v mobilu SW, který přeposílá SMSky z banky útočníkovi, a kolikrát se stalo, že někdo pracující u operátora využil možnost sledovat tvoje SMSky aby se přihlásil k tvýmu bankovnictví nebo jinýmu účtu.

Zkus se nejdřív zamyslet, jestli je praxe stejná jako teorie, než řekneš že jenom vykřikuju nesmysly.

Editováno 15. ledna 15:44
Odpovědět 15. ledna 15:43
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
coells
Redaktor
Avatar
Odpovídá na Adam Ježek
coells:

Já u toho přemýšlím, ale napíšu ti to polopatě, aby sis to taky mohl vyzkoušet.

Základem je definice bezpečnosti a rozpoznání hrozby.

  1. Dostat na mobil nežádoucí software vyžaduje porušení bezpečnosti ze strany uživatele - krádež, neopatrnost, ignorování bezpečnostních pravidel.
  2. Komunikace po nedůvěryhodné lince je kompromitována bez ohledu na chování uživatele a je to nezjistitelná hrozba pro oba aktéry.

Z hlediska definice bezpečnosti je (b) daleko větší hrozba a nelze se jí bránit.
V bezpečnosti mají všechny třetí strany status nedůvěryhodná, pokud nejsou explicitně označené jinak.
Operátor je tudíž implicitně nepřátelský subjekt.
Pokud se má google spolehnout na jedinou linku, musí zajistit její bezpečnost, což u SMS nejde.

Dále se zamyslíme, jak praxe souvisí s teorií.
Bezpečnostní modely mají vždy pevný teoretický základ se snahou minimalizovat hrozby.
V praxi dochází k narušení bezpečnosti, když se v teoretickém modelu objeví trhlina.
Šance na objevení je tím vyšší, čím vyšší je za ní odměna.
To je v kolizi s tvrzením, že můžeme začít hromadně používat něco nespolehlivého jenom proto, že v současné době není dostatek důkazů pro její zneužívání.
Praxe jasně ukazuje, že aktuální hrozby se mění a dochází k překvapivě rychlé adaptaci ze strany útočníků.

Jestliže google na něčem takovém pracuje, jsem si naprosto jistý, že za teoretickým modelem stojí tým profesionálů.
Jejich úkolem je vyhodnotit hrozby a postavit bezpečný model.
Pokud udělali nějaké rozhodnutí, pak to má svůj důvod a opodstatnění postavené nejen na teoretickém modelu, ale také praktických zkušenostech.
Výkřiky typu "Nechápu, proč neposílat kód SMSkou, jako při doufázovém ověření", jsou o ničem, když u toho nepřemýšlíš.

 
Odpovědět  +2 15. ledna 16:25
Avatar
David Novák
Tým ITnetwork
Avatar
David Novák:

Jen bych podotknul, že operátor do obsahu komunikace nahlížet nesmí. Musí ji ale uchovávat, aby do ní mohla nahlédnout policie se soudním příkazem - jinak je to porušení listovního tajemství a jsou za to tvrdé tresty..

Samozřejmě otázka je, jaká je praxe. Osobně bych se ale na operátorovu diskrétnost (a spolehlivost jeho zaměstnanců) nespoléhal...

Odpovědět 15. ledna 17:10
Chyba je mezi klávesnicí a židlí.
Avatar
Michal Žůrek (misaz):

Největší radost z této změny mají jistojistě hackeři.

Odpovědět 15. ledna 17:36
Nesnáším {}, proto se jim vyhýbám.
Avatar
Peco
Člen
Avatar
Peco:

Cize ked nebudem mat pri sebe telefon a / alebo nechcem dat google svoje telefonne cislo tak som vlastne s vyuzivanim google sluzieb skoncil.

Odpovědět 17. ledna 23:47
Každý deň vstávam, aby som sa niečo nové naučil.
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Peco
Adam Ježek:

Precti si clanek poradne

Na mobilním zařízení se objeví výzva k přihlášení.

Toto nema nic s tel. cislem spolecneho

Google však ponechá uživatelům možnost se přihlašovat klasicky heslem.

Odpovědět 18. ledna 0:06
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Peco
Člen
Avatar
Odpovídá na Adam Ježek
Peco:

V prvej casti stale plati ze nenosim mobil u seba. A na pc sa chcem prihlasit.

Otazka je dokedy nechaju tuto moznost. Pevne verim ze do chvile kym uz budem Stary a senilny a bude mi to jedno. :)

Odpovědět 18. ledna 0:19
Každý deň vstávam, aby som sa niečo nové naučil.
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Peco
Adam Ježek:

Už jenom z principu nemůže zrušit hesla. Alespoň ne v dohledné době.
Vem si následující příklad: máš mobil a tablet. Odhlásíš se z tabletu, neni problém, potvrdíš to na mobilu. Odhlásíš se i z mobilu, je mi líto, právě si přišel o svůj účet.
Dokud 100% populace nebude mít možnost se vždy a všude přihlásit bez hesla, tak tu hesla budou. Zatím ale musíme čekat na vynález něčeho superskvělého.

Odpovědět  +1 18. ledna 8:05
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 19. Zobrazit vše