A Google még idén kukázná a jelszavakat
Jelszavak és PIN kódok helyett viselkedésminták alapján azonosítaná a felhasználókat a Google. A vállalat tavaly indított Project Abacus kezdeményezéséből már API is született, több bank még idén megkezdi a tesztüzemét.
Elbúcsúzna a jelszavaktól a Google: a vállalat fejlesztői konferenciáján beszélt új, gépi tanulásra építő bejelentkeztetési megoldásáról, amely az Android rendszeren megszokott felhasználónév-jelszó párosokat, sőt a kétfaktoros beléptetést is leváltaná, helyettük pedig az adott készülék szenzoros adatai, illetve viselkedésminták alapján azonosítaná a felhasználót.
A keresőóriás nem most mutatta be először az elképzelést, azt már a tavalyi Google I/O-n felvázolta, Project Abacus kódnév alatt. Az Abacus a vállalat kifejezetten nagyra törő, "moonshot" projektekkel foglalkozó ATAP részlegének keze alól került ki, akárcsak a Levi's-szel közösen készített okosdzseki, vagy a moduláris Project Ara telefon. A rendszer a jelszavak és PIN-ek helyett más tényezők alapján azonosítja a felhasználót, figyelembe veszi többek között annak gépelésmintáját, földrajzi helyét, hangmintáit, sőt, még gyaloglási mintázatát is, illetve az előlapi kamerával a használó arcát is követi.
A minél pontosabb, megbízhatóbb viselkedésminta felvételéhez az Abacus folyamatosan aktív, a háttérben gyűjti az adatokat a készülék tulajdonosáról, majd a begyűjtött információkból egy összesített "bizalmi" pontszámot hoz létre. Ez a "Trust Score" mely alapján aztán elbírálja a felhasználó beléptetését. Ha egy-egy app elindításakor a begyűjtött biomterikus és egyéb adatok eléggé megközelítik a kívánt Trust Score értéket, a rendszer továbbengedi a felhasználót, ha viszont nem, visszaválthat a korábbi jelszavas, akár kétfaktoros beléptetésre.
Többféle biztonsági szint
A Google szerint különböző alkalmazásoknál eltérő minimális pontszám állítható be a felhasználó hitelesítéséhez, egy banki app például magasabb Trust Score-t kérhet, mint mondjuk egy játék - előbbiekkel egyébként a vállalat ATAP csoportja már júniusban megkezdi az első teszteket, a divízió vezetője Daniel Kaufman szerint a következő hónapban számos "nagyon nagy" pénzintézettel kezdik meg a közös munkát. A keresőóriás a jelszómentes beléptetés implementálását a frissen bejelentett Trust API-val teszi lehetővé a fejlesztők számára, az első, a funkciót használó szoftverek pedig még az idei év vége előtt megérkezhetnek.
Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.
A vállalat már korábban is több kísérletet tett a jelszó nélküli beléptetésre, Androidban például a rendszer 5.0-s verziója óta elérhető Smart Lock opcióval. Utóbbi alatt többféle biztonsági beállítás is megadható, a telefon feloldómintája vagy kódja kikapcsolható bizonyos földrajzi helyeken, egyes, megbízhatónak ítélt Bluetooth eszközökhöz csatlakozva, de akár arcfelismeréssel is. Bő egy évvel ezelőtt a listát a Google tovább bővítette, így már akkor sem kér jelszót vagy mintát a telefon, ha tulajdonosa mozgásban van - noha utóbbi biztonságosságáról megoszlanak a vélemények. Végül de nem utolsó sorban tavaly a rendszer hangfelismerésre építő feloldással is kiegészült.
A fentiek bár jelentősen kényelmesebbek lehetnek, mint a PIN vagy feloldóminta, azoknál jóval kevésbé biztonságosak - ugyanakkor a kevés védelem még mindig több a zéró védelemnél, és sokan épp azért kapcsolják ki a hagyományos telefonzárakat vagy kódokat, mert körülményesnek tartják használatukat. A Trust API-val ezek a felhasználók is jelentősen nagyobb biztonságban használhatják eszközeiket.
Mi lesz a begyűjtött adatokkal?
Sajnos a felhasználók védelme sok nagy szolgáltatás esetében még mindig a kelleténél jóval hátrébb helyezkedik el a prioritási listán, elég az Instagramra gondolni, amelyen a Facebook nemrég foltozott be több, súlyos sebezhetősége. A képmegosztón a biztonsági réseket kihasználva támadók milliószámra lophatták a felhasználók jelszavait - akiknek ráadásul sok esetben esélyük sem volt biztonságosabbá tenni fiókjukat, miután az Instagramon számos régióban máig nem elérhető a kétfaktoros bejelentkeztetés.
Az Abacust egyébként a keresőóriás az elmúlt évben az Egyesült Államokban 33 egyetemen tesztelte - ha a Google egy biztonságos, kész megoldást kínál a fejlesztők számára, az segíthet a hasonló, igen veszélyes hanyagságok elkerülésében. Persze a folyamatosan figyelő beléptetőrendszer sokakban nemtetszést is kiválthat, fontos kérdés, hogy miként kezeli a vállalat a felhasználókról begyűjtött viselkedésmintákat - erről vélhetően majd az éles rajthoz közeledve tudhatunk meg új részleteket.