谷歌最初于今年1月在一份学术期刊上发表论文,谈到了密码输入未来的发展。根据谷歌的描述,用户可以将小型USB密钥插入计算机,随后即可向计算机提供密码信息。谷歌在论文中也提到了使用特定首饰来实现类似功能的可能性。
在上月于旧金山举行的RSA信息安全会议上,从事信息安全领域工作的谷歌首席工程师马扬克·乌帕德亚(Mayank Upadhyay)首次公开谈到了这方面的研究。他表示,使用个人硬件登录将有助于避免用户重复使用同一密码,或是将密码写在纸上等风险。他认为,用户对这种方式应该不会感到陌生。“所有人都熟悉ATM机,如果计算机能提供同样体验那么将会怎样?”
乌帕德亚表示,谷歌的尝试主要专注于在网络服务中利用小型USB密钥来进行密码处理,当USB密钥被插入到计算机时进行密钥验证。这一密钥中还集成了非接触式芯片,因此可用于通过移动设备的登录。
谷歌正在测试的USB密钥中并不包含静态密码,因此密码不可能被复制。对设备而言,密码关键字是唯一的,且不会被发送。当USB密钥插入计算机时,如果能根据算法正确回应网络服务发出的请求,那么密钥的真实性将得到验证。在这一过程中,USB密钥不会制造出任何可供再次登录的信息。
乌帕德亚还表示,谷歌已经开发了一款戒指的原型产品,能够替代密码令牌,不过他并未透露其具体工作方式。他表示:“一些人并不习惯使用USB密钥。”
谷歌已经与多家公司谈判,讨论在网络服务和网站上使用该技术。乌帕德亚表示:“目前还处于非常早期的阶段,我们正尝试获得更多合作伙伴。”谷歌目前正在与FIDO Alliance谈判,后者也于2月份推出了一种安全登录的新技术。
乌帕德亚表示:“另一个很酷的方面在于,这可以集成在浏览器中,因此不需要安装任何中间件或其他工具。我们希望,当你前往朋友家时,这样的方式也可以工作。”
谷歌目前已提供了一种更安全的登录服务,即双重验证。通过该服务,用户每次需要登录时,手机将收到一条一次性密码,只有输入密码之后才可以进行登录。不过,目前只有1%的谷歌用户使用该服务。乌帕德亚表示,许多人认为该服务使用时太麻烦。
乌帕德亚没有透露,哪家公司将推出采用谷歌这一新登录技术的硬件,不过他描述的功能与加州一家名为Yubikey的公司开发的USB安全密钥NEO类似。NEO的零售价格为50美元,而大批量采购的价格可能较低。
来源:互联网 转载于临企外贸网站制作新闻频道