17.02.2014, 14:39
Pomysłów na ulepszenie mechanizmów uwierzytelniania w usługach internetowych, zarówno pod względem bezpieczeństwa jak i wygodny jest coraz więcej – ale jakoś nie udaje się im wyprzeć standardowej metody login-hasło. W zasadzie jedynym ulepszonym sposobem, który zdobył większą popularność, jest dwuetapowy system weryfikacji wykorzystywany do uwierzytelniania użytkowników usług Google, który łączy stałe hasło z hasłem jednorazowym, przesyłanym użytkownikowi SMS-em, przez połączenie głosowe lub aplikację w telefonie. Choć jednak rozwiązanie to jest bezpieczniejsze (napastnik musi fizycznie przejąć telefon ofiary, by dostać się do jej konta), to jednak jest niezbyt wygodne, wymaga mozolnego przepisywania ciągów cyfr z telefonu na komputer.
Google znalazło jednak bardzo ciekawy sposób na usunięcie tej niedogodności, korzystający z głośnej ostatnio w kręgach hakerskich techniki akustycznej komunikacji bezprzewodowej. Nie zrobiło tego własnymi siłami. Rozwiązanie takie opracował w zeszłym roku izraelski startup SlickLogin, kupiony właśnie przez wyszukiwarkowego giganta za nieujawnioną kwotę.
![[Obrazek: g_-_550x412_-_s_52302x20140217133847_0.jpg]](http://gallery.dpcdn.pl/imgc/News/52302/g_-_550x412_-_s_52302x20140217133847_0.jpg)
Metoda jest całkiem pomysłowa, a co więcej, działa nie tylko na laptopach, ale też na komputerach desktopowych, często pozbawionych własnego mikrofonu. Użytkownik odwiedzając witrynę korzystającą z dwuetapowej weryfikacji SlickLogin, kładzie obok komputera swój smartfon z zainstalowaną aplikacją dostępową. Strona internetowa odtwarza niesłyszalne dla ludzi ultradźwięki, w których zakodowany zostaje jednorazowy kod uwierzytelniający.
Wykorzystywane we współczesnych smartfonach mikrofony bez większego problemu są w stanie odbierać dźwięki w pasmach powyżej 22 kHz, więc zakodowany w ten sposób sygnał trafia do aplikacji, która przesyła potwierdzenie poprawności uwierzytelnienia na serwery SlickLogin. Chcący się zalogować użytkownik nie musi więc niczego z telefonu przepisywać – a ma te same korzyści w zakresie bezpieczeństwa, co z wykorzystaniem standardowego mechanizmu dwuetapowego uwierzytelniania.
Na razie nie wiadomo, kiedy SlickLogin zostanie zintegrowany z mechanizmami uwierzytelniania Google. Na razie możecie więc zobaczyć jedynie prezentację na poniższym nagraniu z konferencji Disrupt 2013.
https://www.youtube.com/watch?v=X5I6qV2b5iwGoogle znalazło jednak bardzo ciekawy sposób na usunięcie tej niedogodności, korzystający z głośnej ostatnio w kręgach hakerskich techniki akustycznej komunikacji bezprzewodowej. Nie zrobiło tego własnymi siłami. Rozwiązanie takie opracował w zeszłym roku izraelski startup SlickLogin, kupiony właśnie przez wyszukiwarkowego giganta za nieujawnioną kwotę.
Metoda jest całkiem pomysłowa, a co więcej, działa nie tylko na laptopach, ale też na komputerach desktopowych, często pozbawionych własnego mikrofonu. Użytkownik odwiedzając witrynę korzystającą z dwuetapowej weryfikacji SlickLogin, kładzie obok komputera swój smartfon z zainstalowaną aplikacją dostępową. Strona internetowa odtwarza niesłyszalne dla ludzi ultradźwięki, w których zakodowany zostaje jednorazowy kod uwierzytelniający.
Wykorzystywane we współczesnych smartfonach mikrofony bez większego problemu są w stanie odbierać dźwięki w pasmach powyżej 22 kHz, więc zakodowany w ten sposób sygnał trafia do aplikacji, która przesyła potwierdzenie poprawności uwierzytelnienia na serwery SlickLogin. Chcący się zalogować użytkownik nie musi więc niczego z telefonu przepisywać – a ma te same korzyści w zakresie bezpieczeństwa, co z wykorzystaniem standardowego mechanizmu dwuetapowego uwierzytelniania.
Na razie nie wiadomo, kiedy SlickLogin zostanie zintegrowany z mechanizmami uwierzytelniania Google. Na razie możecie więc zobaczyć jedynie prezentację na poniższym nagraniu z konferencji Disrupt 2013.
Za: dobreprogramy.pl