Google og andre virksomheder har arbejdet sammen med FIDO Alliance for at ændre, hvordan onlinesikkerhed fungerer ved hjælp af et koncept, de kalder Adgangsnøgle. Det er en god idé med nogle få fejl, der betyder, at det ikke rigtig er noget, Google burde skubbe ud til alle.
Adgangsnøgler fungerer ved hjælp af to kritiske elementer: Speciel hardware, der allerede er inde i det meste af bedste Android-telefoner og kryptografisoftware, der opfylder alle specifikationerne for at gøre det til det, der kaldes FIDO-legitimationsoplysninger.
Når du konfigurerer din telefon, oprettes en unik nøgle, som gemmes i din telefons sikre enklave. Denne identifikator vil blive brugt sammen med FIDO standarder at oprette et sæt legitimationsoplysninger, der kan videregives til enhver enhed, der er i kommunikation med din telefon, eller enhver software, der kører på den pågældende enhed, såsom webbrowseren eller en app.
Når alt er konfigureret, er det eneste, du skal gøre, at låse din telefon op for at give disse sikre legitimationsoplysninger.
Du giver ikke nogen information, der kan bruges til at identificere dig, men hvert sæt legitimationsoplysninger er stadig unikt. Den eneste onlinekomponent er en backupnøgle, der er gemt i skyen for at hjælpe dig med at gendanne dine konti.
Enkelt sagt betyder det, at din telefon gemmer en nøgle. Når du vil have adgang til en online konto, der fungerer med adgangsnøgler, låser du din telefon op, og nøglen beviser, at du virkelig er dig.
Jeg kan godt lide denne fremtid, hvor adgangskoder og brugernavne ikke rigtig eksisterer. Ikke så meget som Apple og Google, der ved, at man næsten skal have en kompatibel telefon for at bruge den og der er kun to rigtige valg der — iOS og Android — men jeg synes, det er et skridt i det rigtige retning.
Når det er sagt, anbefaler jeg ikke, at du slår den til, så snart du ser en prompt eller får en e-mail fra Google. Det er bare ikke helt klar.
Selve onboarding-processen er lidt halvbagt. Nogle af mine kollegaer her på Android Central har semi-succes vadet gennem det og efter at have rodet med en QR-kode vist på en telefonen og bedt om at scanne den med den samme telefon, URL'er, der er ødelagte og faktisk ikke gør noget, når du trykker på dem, og bliver fortalt at USB sikkerhedsnøgle skulle indsættes, selvom en aldrig blev oprettet, kom vi alle til den samme konklusion - dette er ikke klar til bedste sendetid.
Det betyder ikke, at det ikke kan være eller ikke vil være klar i fremtiden. Vi har set dette fra Google før - skynd dig en funktion ud af døren, som stadig skal have masser af polering før du giver det til milliarder af brugere — og vi har set Google hurtigt vende det om og få det til at fungere som tilsigtet. Det betyder lige nu, at opsætning af din konto med en adgangsnøgle kan være en rigtig dårlig oplevelse.
Det er dog ikke det egentlige problem, i hvert fald efter min mening. Mit problem er, at det er knyttet til en fysisk enhed, du skal have ved hånden, hvis du vil bruge en onlinetjeneste.
Den enhed behøver ikke at være en telefon. Du kan også bruge en fysisk sikkerhedsnøgle, en wearable eller andet med den korrekte hardware- og softwareunderstøttelse til at fungere som autentificering. Og det fungerer godt - jeg bruger en FIDO-kompatibel USB-nøgle som en to-faktor godkendelsesmetode for at få adgang til mine konti. Jeg ved også, at jeg har en nem backup-løsning til de tidspunkter, hvor jeg ikke har min nøgle som i dag, hvor jeg ikke er hjemme på mit eget kontor. Google Authenticator eller endda SMS kan være en livredder.
De fleste mennesker vil dog bruge deres telefon som en adgangsnøgle. Du har det allerede, du brugte mange penge på det, og det firma, du købte det af, fortalte dig, hvor sikkert alt ved det er. Desuden gør Google det nemt at bruge din telefon, fordi den vil have dig til at være endnu mere afhængig af din telefon.
Spørg dig selv om du måske nogensinde mister din telefon? Det er der, tingene ikke er så nemme.
Teoretisk set er alt, hvad du skal gøre for at genaktivere din sikre nøgle, at logge ind på din Google-konto med en ny telefon. Selv den "adgangskodeløse fremtid" vil stadig have brug for en adgangskode. Selvom jeg ikke har været i stand til at teste dette, vil jeg sige, at det sandsynligvis fungerer efter hensigten, fordi det er den mindst komplekse del af systemet — hold en sikkerhedskopi af den vigtige, men ubrugelige i sig selv, del i skyen for at hente, hvis du nogensinde har brug for det.
Det er du forhåbentlig ikke låst ude af din Google-konto og kan huske den faktiske adgangskode, du fik at vide, du ikke længere har brug for, og du har en måde at få en sms fra Google eller logge ind på en autentificeringsapp. Alt sammen uden din telefon i dine hænder. Herre hjælpe dig, hvis din telefon blev stjålet, og nogen spærrede din konto ved at prøve at komme ind på den for mange gange.
Det er virkelige problemer, som vi hører om hver dag. Det er allerede forfærdeligt ikke at være i stand til at hjælpe nogen med at komme tilbage til deres konto, hvor mange års billeder er gemt. At have deres logins til ting fra Netflix til deres bank utilgængelige, mens alt bliver ordnet, er et mareridt.
Snart nok vil vi alle bruge adgangsnøgler, fordi vi ikke har noget valg. Inden det sker, håber jeg, at nogen overvejer at gøre systemet mere brugervenligt.