A Google még idén kukázná a jelszavakat
Jelszavak és PIN kódok helyett viselkedésminták alapján azonosítaná a felhasználókat a Google. A vállalat tavaly indított Project Abacus kezdeményezéséből már API is született, több bank még idén megkezdi a tesztüzemét.
Elbúcsúzna a jelszavaktól a Google: a vállalat fejlesztői konferenciáján beszélt új, gépi tanulásra építő bejelentkeztetési megoldásáról, amely az Android rendszeren megszokott felhasználónév-jelszó párosokat, sőt a kétfaktoros beléptetést is leváltaná, helyettük pedig az adott készülék szenzoros adatai, illetve viselkedésminták alapján azonosítaná a felhasználót.
A keresőóriás nem most mutatta be először az elképzelést, azt már a tavalyi Google I/O-n felvázolta, Project Abacus kódnév alatt. Az Abacus a vállalat kifejezetten nagyra törő, "moonshot" projektekkel foglalkozó ATAP részlegének keze alól került ki, akárcsak a Levi's-szel közösen készített okosdzseki, vagy a moduláris Project Ara telefon. A rendszer a jelszavak és PIN-ek helyett más tényezők alapján azonosítja a felhasználót, figyelembe veszi többek között annak gépelésmintáját, földrajzi helyét, hangmintáit, sőt, még gyaloglási mintázatát is, illetve az előlapi kamerával a használó arcát is követi.
A minél pontosabb, megbízhatóbb viselkedésminta felvételéhez az Abacus folyamatosan aktív, a háttérben gyűjti az adatokat a készülék tulajdonosáról, majd a begyűjtött információkból egy összesített "bizalmi" pontszámot hoz létre. Ez a "Trust Score" mely alapján aztán elbírálja a felhasználó beléptetését. Ha egy-egy app elindításakor a begyűjtött biomterikus és egyéb adatok eléggé megközelítik a kívánt Trust Score értéket, a rendszer továbbengedi a felhasználót, ha viszont nem, visszaválthat a korábbi jelszavas, akár kétfaktoros beléptetésre.
Többféle biztonsági szint
A Google szerint különböző alkalmazásoknál eltérő minimális pontszám állítható be a felhasználó hitelesítéséhez, egy banki app például magasabb Trust Score-t kérhet, mint mondjuk egy játék - előbbiekkel egyébként a vállalat ATAP csoportja már júniusban megkezdi az első teszteket, a divízió vezetője Daniel Kaufman szerint a következő hónapban számos "nagyon nagy" pénzintézettel kezdik meg a közös munkát. A keresőóriás a jelszómentes beléptetés implementálását a frissen bejelentett Trust API-val teszi lehetővé a fejlesztők számára, az első, a funkciót használó szoftverek pedig még az idei év vége előtt megérkezhetnek.
USA Tech Hub: ahonnan a passzátszél fúj Minden, ami a technológiai szektorban történik, jellemzően az USA-ból indul.
A vállalat már korábban is több kísérletet tett a jelszó nélküli beléptetésre, Androidban például a rendszer 5.0-s verziója óta elérhető Smart Lock opcióval. Utóbbi alatt többféle biztonsági beállítás is megadható, a telefon feloldómintája vagy kódja kikapcsolható bizonyos földrajzi helyeken, egyes, megbízhatónak ítélt Bluetooth eszközökhöz csatlakozva, de akár arcfelismeréssel is. Bő egy évvel ezelőtt a listát a Google tovább bővítette, így már akkor sem kér jelszót vagy mintát a telefon, ha tulajdonosa mozgásban van - noha utóbbi biztonságosságáról megoszlanak a vélemények. Végül de nem utolsó sorban tavaly a rendszer hangfelismerésre építő feloldással is kiegészült.
A fentiek bár jelentősen kényelmesebbek lehetnek, mint a PIN vagy feloldóminta, azoknál jóval kevésbé biztonságosak - ugyanakkor a kevés védelem még mindig több a zéró védelemnél, és sokan épp azért kapcsolják ki a hagyományos telefonzárakat vagy kódokat, mert körülményesnek tartják használatukat. A Trust API-val ezek a felhasználók is jelentősen nagyobb biztonságban használhatják eszközeiket.
Mi lesz a begyűjtött adatokkal?
Sajnos a felhasználók védelme sok nagy szolgáltatás esetében még mindig a kelleténél jóval hátrébb helyezkedik el a prioritási listán, elég az Instagramra gondolni, amelyen a Facebook nemrég foltozott be több, súlyos sebezhetősége. A képmegosztón a biztonsági réseket kihasználva támadók milliószámra lophatták a felhasználók jelszavait - akiknek ráadásul sok esetben esélyük sem volt biztonságosabbá tenni fiókjukat, miután az Instagramon számos régióban máig nem elérhető a kétfaktoros bejelentkeztetés.
Az Abacust egyébként a keresőóriás az elmúlt évben az Egyesült Államokban 33 egyetemen tesztelte - ha a Google egy biztonságos, kész megoldást kínál a fejlesztők számára, az segíthet a hasonló, igen veszélyes hanyagságok elkerülésében. Persze a folyamatosan figyelő beléptetőrendszer sokakban nemtetszést is kiválthat, fontos kérdés, hogy miként kezeli a vállalat a felhasználókról begyűjtött viselkedésmintákat - erről vélhetően majd az éles rajthoz közeledve tudhatunk meg új részleteket.