Google para hacer la verificación en 2 pasos obligatorios, los teléfonos para reemplazar las contraseñas

(Crédito de la imagen: Biometría / Shutterstock)

El auge de los dispositivos móviles y conectividad persistente, así como aplicaciones y servicios en la nube, nos ha puesto en riesgo potencial cuando se trata de la seguridad en línea. En pocas palabras, que ya no es tan básico como el uso de contraseñas seguras y cifrado fuerte en los sitios web y servicios. De acuerdo con un reciente esfuerzo por parte de Google al hacer sus sistemas más seguros, la compañía está estudiando la aplicación de etiquetado de teléfonos inteligentes, tokens de toda la vida, y que requieren la verificación de dos pasos en sus servicios.

Esto es parte del plan de trabajo de cinco años renovable de Google para la seguridad. La última vez que Google hizo un esfuerzo para trazar su plan de seguridad el panorama general fue en 2008, y ahora es hora de hacer una renovación. Durante ese tiempo, Google planea una verificación de dos pasos en práctica, lo que requiere una contraseña y una clave antes de conceder el acceso a la cuenta de un usuario - originalmente enviado como un código de seis dígitos a través de SMS.

Esto sólo ha sido opcional, sin embargo, y Google quiere "desplegar un cambio en nuestro sistema de inicio de sesión en el que vamos a ser mucho más agresivo". ¿Qué ha pasado desde el año 2008? Muchos, al parecer.

Google cita a algunas cosas que han llevado a la empresa a ser más agresivo en su postura de seguridad. En primer lugar, en 2008, los teléfonos inteligentes aún no eran tan populares como lo son hoy. Eric Sachs, director de producto para la identidad de Google, dice que no vieron venir. "Hace cinco años, este nivel de adopción de teléfonos inteligentes no se predijo." Y así, con la popularidad de los teléfonos inteligentes de hoy, Google tejerá en la seguridad y la autenticación de dispositivos móviles, así como mejoras de back-end.

De alta fricción, pero sólo al comienzo

Según Sachs, Google no tiene reparos con el aumento de la llamada fricción en entrar, aunque sólo sea para mejorar la seguridad. "No nos importa lo que es doloroso para los usuarios iniciar sesión en su dispositivo si sólo tienen que hacerlo una vez." La clave aquí es que sólo tiene que ser incomodado vez - como introduciendo la contraseña y una clave, como uno enviado a su teléfono móvil a través de SMS o generados por una aplicación autenticador. Los siguientes puntos de acceso o entrada debe ser basada en token. Otras aplicaciones y servicios no deben tener que pedir sus credenciales de nuevo, por el tiempo que usted tiene acceso a su dispositivo móvil.

En cambio, los métodos de acceso propuestas por Google implicarían su dispositivo móvil de elección - el teléfono inteligente Android, por ejemplo. En lugar de introducir su contraseña para acceder a un servicio de terceros, por ejemplo, sólo tiene que aprobar su nombre de usuario web aprobando desde una alerta en su teléfono inteligente.

Como alternativas, Google propone el uso de tecnologías como NFC para "arrancar" los inicios de sesión. Por ejemplo, se puede acceder a un servicio tocando su smartphone en un terminal NFC en su ordenador portátil u otro dispositivo. Por supuesto, esto supone que ambos dispositivos son compatibles con la tecnología, y Google en realidad prevé un procedimiento de este tipo de acceso para Chromebooks. Pero debido a que la empresa no tiene control sobre el hardware de otros fabricantes, Google todavía va a buscar a los estándares aceptables que pueden trabajar a través de diferentes dispositivos y plataformas. Lo mismo ocurre con las aplicaciones de terceros, ya que no todos los desarrolladores y los servicios utilizan OpenID y OAuth.

Google te conoce

Más allá de desbloqueo y la autenticación, sin embargo, el plan de Google para la seguridad es mucho más sofisticado. Un factor adicional sería la determinación de los patrones de comportamiento y el aumento de las banderas cuando el uso se desvía de estos patrones. "Estamos empezando a experimentar con aplicaciones en el teléfono que deben mostrarse notificaciones acerca de los comportamientos de riesgo en una cuenta." Por ejemplo, es posible que suele acceder a aplicaciones y servicios web desde un lugar determinado o durante un determinado momento del día. Si de repente se accede a él desde otro lugar (otro país?), Y en un momento extraño, entonces Google puede pedirle que apruebe la acción en su dispositivo móvil antes de proceder.

Esquemas de autenticación previstos de Google le permitirá aprobar o rechazar inicios de sesión desde el dispositivo móvil, sin necesidad de introducir manualmente las contraseñas.

Además de estos sistemas, Google también propugna el hardware más inteligente que mejorará la seguridad y la plataforma para el acceso a aplicaciones y servicios. La compañía señala que los sistemas como la biométrica será una buena adición, aunque todavía hay problemas con la huella digital o el reconocimiento facial, entre otros.

Lo que Google dice que es difícil en este momento es la recuperación de cuenta. "Recuperación de cuenta es nuestro talón de Aquiles", dice el libro blanco. Google dice que debe ser lo suficientemente fácil para el usuario real de acceso, pero sigue siendo difícil para los hackers maliciosos se agrieten. "Los chicos malos van a tratar de secuestrar cuentas a través de sistemas de recuperación de cuenta, pero esto plantea retos difíciles ya que los sistemas de recuperación tienen que ayudar al verdadero dueño que ha perdido realmente el acceso a esos otros factores", escribe Sachs.

Otra gran preocupación es que los riesgos de seguridad han crecido porque los hackers maliciosos han encontrado mejores maneras de monetizar cuentas secuestrados. Como tal, que están dispuestos a ir a través de longitudes de entrar en estas cuentas.

Google confía en los resultados de su anterior plan de seguridad de cinco años de 2008, y tiene la esperanza de que su plan de 2013 también resultará en una mayor seguridad para los usuarios finales y desarrolladores. Usted puede consultar el proyecto de informe, PROYECTO DE PÚBLICO: Más fuerte autenticación Consumidor - 5 informe del año, En los enlaces a la fuente de abajo. Google también ha preparado un conjunto de diapositivas para una presentación más simple.