NRK Meny
Normal

Google vil ha slutt på passordinnlogging

Kanskje er en ring på fingeren løsningen på sikkerhetsutfordringene? Det tror i hvert fall Google, som nå presenterer flere nye forslag på veien mot en passordfri tilværelse.

Woman angry over computer

Synes du det er vanskelig å holde styr på alle dine passord på ulike nettsteder? Google ønsker nå å fjerne passord for godt.

Foto: Erwin Wodicka / Colourbox

Stadig flere omfattende angrep fra hackere har ført til at sikkerhet på internett har blitt et hett tema i det siste.

Passordets dager talte?

Sikkerhetskeksperter over hele verden har lurt på om passordets dager kan være talte, rett og slett fordi altfor mange klarer å hacke folk gjennom passordbaserte tjenester. Bill Gates mente allerede i 2004 at passord ikke er sikkert nok.

I en artikkel som publiseres i tidsskriftet IEEE Security & Privacy Magazine neste uke, presenterer Google det de tror kan være en potensiell løsning på sikkerhetsproblematikken.

Hva om du kunne brukt en ring på fingeren for å logge inn? Eller en USB-nøkkel som plugges inn i datamaskinen? Ifølge Wired er dette ulike løsninger Google nå ser på.

– Sammen med mange i bransjen føler vi at passord og cookies ikke lenger er tilstrekkelig for å holde brukerne trygge, skriver Googles Eric Grosse i forskningsartikkelen.

Eksperimenterer allerede med passordløs pålogging

Google ser for seg en fremtid hvor man for eksempel kan bruke mobiltelefonen eller en smartkorttilkoblet ring for å identifisere seg på nettet. Man kan sammenligne det med å starte opp en bil med en nøkkel - uten nøkkelen kommer man ikke inn.

Yubikey

Dersom Google får det som de vil, kan passordinnlogging være historie. De ønsker at man skal kunne logge inn med mobilen eller en ring på fingeren.

Foto: Yubico

Metodene som vurderes vil potensielt på sikt kunne erstatte lange og tunge passord.

Google eksperimenterer med passordløs pålogging allerede i dag, med Yubikey - et lite kort brukeren plugger inn i USB-porten på datamaskinen. Enheten lar brukerne logge på Googles tjenester ved få museklikk, uten å måtte skrive inn passord.

Selskapet ønsker nå å gjøre funksjonen tilgjengelig på smarttelefoner og smartkort, slik at det ikke blir nødvendig å koble noe fysisk til datamaskinen.

– Ingen ny idé

Kristian Gjøsteen, førsteamansuensis i IKT og sikkerhet ved NTNU, mener ideen om en passordløs tilværelse ikke er noe særlig revolusjonerende.

– En dings som ordner påloggingen i stedet for passord er for så vidt ingen ny idé. Innebygget i nettleseren finnes en teknologi som kalles klient-sertifikater som gjør nettopp dette. I prinsippet kan sertifikatene også lagres på smartkort eller tilsvarende fysiske ting.

Problemet er ifølge Gjøsteen at brukeropplevelsen ikke er god nok med dagens løsninger.

– Utfordringen man må løse når man skal erstatte passord er ikke å finne en sikker teknisk løsning, men det er å finne en sikker teknisk løsning som har en god brukeropplevelse. Det er vanskelig, konstaterer han.

Må ha vilje og evne

Eksperten på IT-sikkerhet tror ikke Googles forslag vil revolusjonere noe foreløpig.

– For at dette skal revolusjonere noe som helst må først nettleserne støtte det, så må nettsteder støtte det, og til slutt må brukerne bruke det, fortsetter Gjøsteen.

Han mener det ikke er noe teknisk i veien for å utvikle et passordløst påloggingssystem, men at evne og vilje må til for å realisere prosjektet.

Selv om Google har muligheter til å sparke i gang endringer ved at de kontrollerer både store nettsteder og en populær nettleser, er det uklart om de har evne og vilje til å få dette gjennom. Problemet er i hovedsak ikke teknisk, men politisk.

Med en passordfri tilværelse kan det dukke opp nye utfordringer. Hva om noen stjeler smarttlefonen eller ringen som brukes for innlogging? Er man ikke da like langt?

Løsningen kan bli å kombinere innloggingen med korte passord i tillegg til bruk av enheter.

– Når tror du denne innloggingsmetoden vil bli tilgjengelig for allmennheten?

– Den som lever får se. Google kan kanskje få til noe, men enn så lenge er jeg skeptisk, avslutter Kristian Gjøsteen.