News Technologia ultradźwiękowego logowania została przejęta przez Google

Pomysłów na ulepszenie mechanizmów uwierzytelniania w usługach internetowych, zarówno pod względem bezpieczeństwa jak i wygodny jest coraz więcej – ale jakoś nie udaje się im wyprzeć standardowej metody login-hasło. W zasadzie jedynym ulepszonym sposobem, który zdobył większą popularność, jest dwuetapowy system weryfikacji wykorzystywany do uwierzytelniania użytkowników usług Google, który łączy stałe hasło z hasłem jednorazowym, przesyłanym użytkownikowi SMS-em, przez połączenie głosowe lub aplikację w telefonie. Choć jednak rozwiązanie to jest bezpieczniejsze (napastnik musi fizycznie przejąć telefon ofiary, by dostać się do jej konta), to jednak jest niezbyt wygodne, wymaga mozolnego przepisywania ciągów cyfr z telefonu na komputer.

Google znalazło jednak bardzo ciekawy sposób na usunięcie tej niedogodności, korzystający z głośnej ostatnio w kręgach hakerskich techniki akustycznej komunikacji bezprzewodowej. Nie zrobiło tego własnymi siłami. Rozwiązanie takie opracował w zeszłym roku izraelski startup SlickLogin, kupiony właśnie przez wyszukiwarkowego giganta za nieujawnioną kwotę.

Metoda jest całkiem pomysłowa, a co więcej, działa nie tylko na laptopach, ale też na komputerach desktopowych, często pozbawionych własnego mikrofonu. Użytkownik odwiedzając witrynę korzystającą z dwuetapowej weryfikacji SlickLogin, kładzie obok komputera swój smartfon z zainstalowaną aplikacją dostępową. Strona internetowa odtwarza niesłyszalne dla ludzi ultradźwięki, w których zakodowany zostaje jednorazowy kod uwierzytelniający.

Wykorzystywane we współczesnych smartfonach mikrofony bez większego problemu są w stanie odbierać dźwięki w pasmach powyżej 22 kHz, więc zakodowany w ten sposób sygnał trafia do aplikacji, która przesyła potwierdzenie poprawności uwierzytelnienia na serwery SlickLogin. Chcący się zalogować użytkownik nie musi więc niczego z telefonu przepisywać – a ma te same korzyści w zakresie bezpieczeństwa, co z wykorzystaniem standardowego mechanizmu dwuetapowego uwierzytelniania.

Na razie nie wiadomo, kiedy SlickLogin zostanie zintegrowany z mechanizmami uwierzytelniania Google. Na razie możecie więc zobaczyć jedynie prezentację na poniższym nagraniu z konferencji Disrupt 2013.