Google wierzy, że Twoje hasło da się zastąpić dźwiękami, których nie jesteś w stanie usłyszeć

Logowanie się do usług internetowych za pomocą standardowego loginu i hasła jest mało wygodne i nie daje pełnego bezpieczeństwa. Dwustopniowe uwierzytelnianie poprzez konieczność przepisania dodatkowego hasła przesłanego na lub wygenerowanego przez urządzenie mobilne jest już znacznie pewniejszą opcją.

Niestety, nadal mało usług korzysta z dwustopniowego uwierzytelniania, a sama konieczność przepisywania haseł ze smartfona na komputer znacznie wydłuża czas trwania całego procesu uwierzytelniania użytkownika. Nic dziwnego, że na świecie naukowcy, informatycy i pasjonaci technologii starają się rozwiązać to lepiej. Jedną z firm, które wzięły sobie na cel przemodelowanie całego procesu logowania jest SlickLogin.

SlickLogin to izrealski startup, który po debiucie pięć miesięcy temu podczas Disrupt, został dostrzeżony przez pracowników giganta z Mountain View. Pomysł zespołu na zmianę sposobu uwierzytelniania jest faktycznie innowacyjny, a chociaż sam jestem mocno sceptyczny jeśli chodzi o “logowanie się przez dźwięki”, to nie dziwię się, że Google zdecydowało się zakupić cały projekt... i przejąć rozwijający go zespół.

Pomysł SlickLogin brzmi strasznie abstrakcyjnie, ale jak się dłużej nad nim zastanowić, to ma on sens. Dla użytkownika końcowego działanie ma być bajecznie proste - po wejściu na stronę internetową w celu logowania trzeba będzie na chwilę przesunąć telefon w stronę komputera, odczekać chwilę… i już. Oczywiście nie mamy tutaj do czynienia z magią albo cyfrową telepatią i od strony technicznej rozwiązanie prezentuje się znacznie ciekawiej.

Wszystko odbywa się dzięki emitowaniu przez głośniki komputera dźwięków, które są niesłyszalne dla ludzkiego ucha, ale jednocześnie można je zarejestrować przez mikrofon. Dzięki temu usługodawca, który zaimplementuje SlickLogin, może upewnić się, że osoba próbująca się zalogować na stronę jest jednocześnie w posiadaniu telefonu, który został do konta użytkownika przypisany.

W tym wydawanym przez głośnik ultradźwięku wydawanym przez stronę internetową znajduje się zaszyfrowany kod, który smartfon może ponownie odszyfrować. Jeśli wszystko się zgadza, użytkownik zostanie zalogowany. Dźwięk jest za każdym razem przy logowaniu lub np. potwierdzaniu operacji emitowany ponownie, więc smartfon użytkownika nie może oddalić się od komputera.

Oczywiście nie eliminuje to wszystkich zagrożeń bezpieczeństwa. Osoba próbująca włamać się na konto użytkownika raczej nie będzie miała dostępu do pomieszczenia w którym się znajduje, co z pewnością będzie pewnym utrudnieniem, ale nie oszukujmy się, wystarczy zmienić DNS-y w routerze i zrobić przekierowanie na fałszywą kopię strony albo zastosować jakiś inny atak typu man-in-the-middle.

Tutaj, ze SlickLogin czy bez, i tak można paść ofiarą i stracić dostęp do konta - nie wspominając już o sytuacji, gdy użytkownik straci fizycznie dostęp do telefonu. Jeśli na smartfonie nie zostanie ustawiony kod blokady, lub uda się go cyberprzestępcy złamać, to będzie miał dostęp do wszystkich kont użytkownika jak na dłoni. Niestety, wygoda i bezpieczeństwo w sieci to dwa bieguny, których nijak nie da się na razie połączyć.

Nie wydaje mi się tez, żeby SlickLogin miał szansę stać się światowym standardem. Ruch Google polegający na przejęciu firmy odczytuję raczej jako nabywanie kapitału ludzkiego, a zespół SlickLogin najpewniej zostanie wdrożony do ekipy z Mountain View pracującej dziś nad dwuskładnikowym uwierzytelnianiem. Na pierwsze efekty przejęcia SlickLogin przez Google trzeba będzie jeszcze trochę poczekać. Sama kwota transakcji, o której informuje Business Insider, nie jest niestety jeszcze znana.

Warto tutaj dodać, że SlickLogin nie jest pierwszą, i z pewnością też nie ostatnią firmą, która będzie próbowała przemodelować sposób logowania się do usług internetowych. Obecnie stosowany login i hasło nie jest w końcu ani wygodny, ani niezawodny a dwuskładnikowe logowanie jest dla użytkownika, mówiąc kolokwialnie, upierdliwe. Nowe rozwiązania są konieczne, zwłaszcza w erze ekranów dotykowych zastępujących coraz częściej fizyczne klawiatury.

W pracach nad nowymi rozwiązaniami mają udział również Polacy. Godnym wzmianki jest chociażby polski Rublon, który może nie korzysta z logowania poprzez brzmiące niewiarygodnie niesłyszalne dla człowieka ultradźwięki, ale też poprawia bezpieczeństwo względem klasycznych rozwiązań. Ciekawie zapowiada się też YubiKey, o którym swego czasu na łamach Spider's Web pisał Damian.

W tym momencie można też dodać jako ciekawostkę, że wcielona do Google ekipa SlickLogin będzie mieć niezły orzech do zgryzienia związany z zapewnieniem bezpieczeństwa. Cyberprzestępcy mogą być w końcu naprawdę pomysłowi. Pod koniec zeszłego roku naukowcom udało się podsłuchać - i to dosłownie - prywatny klucz GPG. W celu jego odkrycia analizowane były dźwięki... wydawane przez pracujący procesor - o czym pisał na łamach Spider's Web Hubert.