Generator losowych haseł w Chrome: pełna kontrola nad tożsamością w rękach Google'a?

Google polubiło system uniwersalnego logowania OpenID, odkąd samo zostało w jego ramach dostawcą tożsamości. Sympatia ta jednak nie była wystarczająco duża, aby zaakceptować loginy wystawiane przez innych dostawców w swoich usługach. Teraz zaś gigant z Mountain View, zdając sobie sprawę, że zanim dorobimy się upowszechnienia takich wygodnych systemów logowania, minie jeszcze więcej czasu, przedstawił nowy pomysł na hasła. Pomysł, który zwiąże nas z Google Chrome tak bardzo, jak tylko można.

Założenia są na pewno bardzo interesujące. Zaawansowany system zarządzania hasłami ma zostać zintegrowany z generatorem silnych, losowych haseł, używanych przy każdym zapisywaniu się przez użytkownika do nowej usługi. Z jednej strony da nam to silniejsze hasła, z drugiej zapobiegnie praktyce wielokrotnego wykorzystywania tych samych haseł, niestety powszechnej wśród internautów i niezwykle ułatwiającej życie cyberprzestępcom.

W dokumencie Password Generation, będącym częścią biblioteki The Chromium Projects, inżynierowie Google wyjaśniają: „długofalowym rozwiązaniem dla problemów wielokrotnego wykorzystania haseł i ich słabości jest logowanie przez przeglądarkę i OpenID. Logowanie przez przeglądarkę jest czymś, co możemy kontrolować, jednak sprawienie, że większość witryn w Sieci zacznie stosować OpenID zajmie nam chwilę”.

Na krótszą metę dobrze by więc było sprawić, że to przeglądarka kontroluje procesy uwierzytelniania. „Obecnie można osiągnąć ten cel przez Password Managera i Browser Sync, ale użytkownicy wciąż znają swoje hasła – więc są podatni na phishing. Jeśli Chrome będzie generowało hasła dla użytkowników, problem zniknie”.

W tym celu Chrome ma otrzymać generator silnych, losowych haseł, który będzie tworzył je automatycznie, jeśli tylko wykryje formularz logowania. Jeśli użytkownicy nie będą znali swoich haseł, to nie będą mogli ich zapomnieć, ani przekazać cyberprzestępcom.

W zasadzie trudno z tymi postulatami się nie zgodzić, ale takie rozwiązanie problemu bezpieczeństwa przynosi liczne problemy związane z usability:

System nie będzie raczej działał w witrynach bankowych i im podobnych, gdzie używane są hasła maskowane, albo wymuszana jest niemożliwość zapisania hasła w pamięci przeglądarki.
System może okazać się pułapką na użytkownika, który z dziesiątkami, a może i setkami losowo wygenerowanych haseł, nie będzie mógł się przesiąść na Firefoksa, Operę czy Internet Explorera bez wielkich starań w tym celu.
Wiele serwisów ma ściśle określone wymogi co do haseł. Niektóre wymagają ciągów o określonej długości, inne przyjmują tylko znaki alfanumeryczne – z pomysłu Google'a nie wynika, jak sobie z tym poradzić.
Nawet jeśli Google zaoferuje system zarządzania hasłami zapisanymi przez Chrome, dostępny spoza tej przeglądarki, to uczyni go tylko jeszcze bardziej eksponowanym celem ataków. W dodatku, czy naprawdę chcemy, by Google miało wszystkie nasze hasła do wszystkich serwisów z których korzystamy?

Nie wiadomo, kiedy nowy mechanizm pojawi się w Chrome. My mamy tylko nadzieję, że nie będzie obowiązkowy i wciąż będzie można hasła wpisywać po staremu.

Ze szczegółami możecie zapoznać się tutaj.

źródło: chromium.org

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

9 skomentuj »

Komentarze

#1 jacek2v^® 2012-02-16 17:26:33 0
Nic nowego co by nie miała usługa LastPass.

To artykułu sugeruje niczym nieuzasadnione obawy autora co do intencji Google - staje się to coraz bardziej natarczywe :P

Przeglądarka dostanie najprawdopodobniej nową funkcję, de facto poprawiającą bezpieczeństwo - skończą się hasła "123456" i "Aaaaaaaaaaaa" :) - a autor widzi jeno zagrożenia i spiski? !@#&%^ :)

Fajnie by było jakby było mniej emocji, a więcej obiektywizmu.
IP: 178.36.45.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.46 Safari/535.11
#2 Ja2 2012-02-16 18:53:05 0
No i oczywiście w tym całym lamencie spraw mniej problemowych zapomniano o jednej najważniejszej - co, gdy chcę zalogować się z innego komputera, niekoniecznie zaufanego ;)

Tutaj już muszę znać hasło do swojego profilu Google'a... znowu jestem podatny na phishing... ktoś uzyska to hasło uzyska hasła do reszty serwisów.
IP: 90.156.82.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.10.229 Version/11.61
#3 bozon 2012-02-17 00:20:16 0
Wszystko fajnie, od dłuższego czasu działam w podobny sposób, tj. dla nowej strony generuję hasło i zapamiętuję je w przeglądarce, ale nie nią Chrome. W Chrome uporczywie od lat nie zostało zaimplementowane hasło główne zabezpieczające magazyn danych logowania. Gdzieś Google tłumaczyło, że to obniżyłoby bezpieczeństwo haseł :D :D
IP: 178.218.236.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.1) Gecko/20100101 Firefox/10.0.1
#4 smitse 2012-02-17 09:52:34 0
@jacek2v To artykułu sugeruje niczym nieuzasadnione obawy autora co do intencji Google –

Obawy autora są jak najbardziej uzasadnione – „wielkie Gie” staje się czymś, czego np. taki Microsoft w najgorszych latach nawet nie przypominał. A najgorsze, że dzieje się tak przy aprobacie uśpionych „darmowością” lemingów, z radością witających każdy wynalazek Molocha.
IP: 89.174.38.[...] Mozilla/5.0 (X11; Linux i686; rv:2.0.0) Gecko/20100101 Firefox/4.0
#5 adi_82^® 2012-02-17 12:13:47 0
"Obawy autora są jak najbardziej uzasadnione – „wielkie Gie” staje się czymś, czego np. taki Microsoft w najgorszych latach nawet nie przypominał. "

A jakieś konkrety?

Google w przeciwienstwie do MS sporo swoich produktów opiera na open source m.in. projekt chromium . Wiec mozna zawsze łatwiej zweryfikowac to co faktycznie robi i co próbuje przemysic do swojej przegladarki. MS nie daje takich mozliwosci..
IP: 77.253.223.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.11 Safari/535.19
#6 jacek2v^® 2012-02-17 13:50:55 0
@smitse:

Poproszę o fakty a nie o spekulacje :)
IP: 178.36.45.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11
#7 smitse 2012-02-17 15:18:56 0
Pierwszy z brzegu, świeży przykład:

http://webhosting.pl/Czego.sie.nie.zrobi.dla.reklam.Google.zhakowalo.ustawienia.prywatnosci.w.Safari

Starsze, tylko z WH:

http://webhosting.pl/Pracownicy.Googlea.podkradali.klientow.i.niszczyli.konkurencyjny.projekt

http://webhosting.pl/Gmail.teraz.tylko.w.pakiecie.z.Google_.Koniec.anonimowosci

http://webhosting.pl/Koniec.internetowego.romantyzmu.Google.tworzy.zunifikowany.produkt

Ale to wszystko pikuś, a intencje Google są absolutnie czyste, nieprawdaż? ;)
IP: 89.174.38.[...] Mozilla/5.0 (X11; Linux i686; rv:2.0.0) Gecko/20100101 Firefox/4.0
#8 HM2 2012-02-17 16:16:48 0
@Ja2

>Tutaj już muszę znać hasło do swojego profilu Google'a... znowu jestem podatny na phishing... ktoś uzyska to hasło uzyska hasła do reszty serwisów.

Skoro komputer nie jest zaufany to się z niego nie loguj. Możesz też mieć przy sobie smartfona z KeePassem skonfigurowanym i z niego odczytaj hasło do serwisu docelowego.
IP: 95.48.180.[...] Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.46 Safari/535.11
#9 jacek2v^® 2012-02-17 22:06:35 0
@smitse: "Pierwszy z brzegu, świeży przykład: .."

I co to ma udowadniać w kontekście, że Google zabiera nam tożsamość?

Że chcą zrobić jeden regulamin? Że nie chcą, aby użytkownicy ich usług byli anonimowi? Że dążą do osiągnięcia zysków korzystając z swojego potencjału technologicznego ?

Że Google jest dużą firmą, której do świętości sporo brakuje to chyba nie jest dla Ciebie zaskoczeniem? :) Bo dla mnie nie.

Ja nie mam złudzeń, że w każdej firmie pracują ludzie, którzy robią raz coś złego, a raz coś dobrego.

Ważne jak w kontekście tych "potknięć" firma się zachowuje, ważne są główne działania firmy.

Ja nie lubię Google za to, że zarabia na reklamach, bo nie lubię reklam :) Ale rozumiem, że muszą zarabiać by dać mi za darmo np. Gmaila. Jak uważasz, że to nie fair to chyba na razie nikt nie zmusza do używania produktów Google, a do używania produktów Microsoft niestety sporo instytucji zmusza :(

Dlatego porównywanie wolnego wyboru usług Googla z hegemonią Microsoft jest całkowicie nietrafione. Google nie wygrywa monopolem, ale jakością usług.
IP: 178.36.45.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.