Google in druga podjetja sodelujejo z združenjem FIDO Alliance, da bi spremenili delovanje spletne varnosti z uporabo koncepta, ki ga imenujejo Geslo. To je odlična ideja z nekaj pomanjkljivostmi, ki pomenijo, da Google v resnici ni nekaj, kar bi moral vsiljevati vsem.
Gesla delujejo z uporabo dveh kritičnih elementov: posebna strojna oprema, ki je že v večini najboljši telefoni Android in programsko opremo za kriptografijo, ki izpolnjuje vse specifikacije, da postane tako imenovana poverilnica FIDO.
Ko nastavite svoj telefon, bo edinstven ključ ustvarjen in shranjen v varni enklavi vašega telefona. Ta identifikator bo uporabljen z standardi FIDO da ustvarite nabor poverilnic, ki jih je mogoče posredovati kateri koli napravi, ki komunicira z vašim telefonom, ali kateri koli programski opremi, ki se izvaja v tej napravi, kot je spletni brskalnik ali aplikacija.
Ko je vse nastavljeno, morate samo odkleniti telefon, da zagotovite te varne poverilnice.
Ne posredujete nobenih informacij, ki bi jih bilo mogoče uporabiti za vašo identifikacijo, vendar je vsak niz poverilnic še vedno edinstven. Edina spletna komponenta je varnostni ključ, shranjen v oblaku, ki vam pomaga obnoviti račune.
Preprosto povedano, to pomeni, da bo vaš telefon shranil ključ. Ko želite dostopati do spletnega računa, ki deluje s ključi, odklenete telefon in ključ dokaže, da ste vi res vi.
Všeč mi je prihodnost, v kateri gesla in uporabniška imena v resnici ne obstajajo. Ne toliko kot Apple in Google, ki vesta, da moraš skoraj imeti združljiv telefon, da ga lahko uporabljaš in tam sta samo dve pravi izbiri – iOS in Android – vendar mislim, da je to korak v desno smer.
Glede na to vam ne priporočam, da ga takoj vklopite takoj, ko vidite poziv ali prejmete e-pošto od Googla. Samo ni popolnoma pripravljeno.
Sam proces vkrcanja je nekoliko napol pečen. Nekateri moji kolegi tukaj v Android Centralu so se napol uspešno prebili skozi to in po igranju s kodo QR, prikazano na telefon in zahtevali, da ga skenirate z istim telefonom, URL-ji, ki so pokvarjeni in dejansko ne naredijo ničesar, ko se jih dotaknete, in vam povedo da Varnostni ključ USB je bilo treba vstaviti, čeprav enega nikoli niso postavili, vsi smo prišli do istega zaključka — to ni pripravljeno za najboljši čas.
To ne pomeni, da ne more biti ali ne bo pripravljeno v prihodnosti. To smo že videli pri Googlu – pohitite s funkcijo, ki jo je treba še precej dodelati ga daste milijardam uporabnikov — in videli smo, da ga je Google hitro obrnil in poskrbel, da deluje kot namenjeno. To pomeni, da je trenutno nastavitev vašega računa z geslom morda res slaba izkušnja.
Vendar to ni pravi problem, vsaj po mojem mnenju. Moja težava je, da je povezan s fizično napravo, ki jo morate imeti pri roki, če želite uporabljati spletno storitev.
Ni nujno, da je ta naprava telefon. Za preverjanje pristnosti lahko uporabite tudi fizični varnostni ključ, nosljivo napravo ali karkoli drugega s pravilno strojno in programsko podporo. In to dobro deluje - uporabljam a USB ključ, skladen s FIDO kot dvofaktorsko avtentikacijsko metodo za dostop do mojih računov. Vem tudi, da imam preprosto rezervno rešitev za trenutke, ko nimam ključa, kot danes, ko nisem doma v svoji pisarni. Google Authenticator ali celo SMS sta lahko rešitev.
Vendar bo večina ljudi svoj telefon uporabljala kot geslo. Ga že imate, zanj ste porabili veliko denarja in podjetje, pri katerem ste ga kupili, vam je povedalo, kako varno je vse v zvezi z njim. Poleg tega Google olajša uporabo vašega telefona, saj želi, da ste še bolj odvisni od svojega telefona.
Vprašajte se, ali bi morda kdaj izgubili telefon? Tam stvari niso tako enostavne.
Teoretično je vse, kar morate storiti, da znova omogočite svoj varni ključ, prijava v vaš Google Račun z novim telefonom. Predvidevam, da bo celo "prihodnost brez gesla" še vedno potrebovala geslo. Čeprav tega nisem mogel preizkusiti, bom rekel, da verjetno deluje, kot je predvideno, ker je najmanj zapleten del sistema – v oblaku imejte varnostno kopijo pomembnega, a samega po sebi neuporabnega dela, da ga lahko pridobite, če ga boste kdaj potrebovali to.
Upajmo, da nisi zaklenjen iz vašega računa Google in se lahko spomnite dejanskega gesla, za katerega so vam rekli, da ga ne potrebujete več, in imate način, da dobite SMS od Googla ali se prijavite v aplikacija za preverjanje pristnosti. Vse brez telefona v rokah. Bog ti pomagaj, če so ti ukradli telefon in je nekdo izpraznil tvoj račun tako, da je prevečkrat poskušal vstopiti vanj.
To so resnična vprašanja, o katerih poslušamo vsak dan. Grozno je že, ko nekomu ne moremo pomagati, da se vrne v svoj račun, kjer so shranjene leta fotografij. Imeti njihove prijave za stvari od Netflixa do njihove banke nedostopne, medtem ko se vse uredi, je nočna mora.
Kmalu bomo vsi uporabljali ključe, ker ne bomo imeli druge izbire. Preden se to zgodi, upam, da nekdo razmišlja o tem, da bi sistem naredil uporabniku prijaznejšega.