L'API di fiducia di Google è già stata testata in "diverse grandi istituzioni finanziarie" a giugno. Apparentemente utilizza una combinazione di più indicatori più deboli come indicatori biometrici e alcuni meno ovvi: come l'andatura, lo stile di battitura o la tecnica dello swimpe sullo schermo. Questi faranno quindi parte di una decisione finale per verificare che tu sia chi dici di essere. Sono davvero necessarie tali misure?
Queste misure ridurranno notevolmente l'impatto e / o tenteranno di eluderle. Il problema con le password sono, non importa quanto tu provi a educare qualcuno, raramente funziona. Gli individui preferiscono il comfort rispetto alla sicurezza, come indicativo creando una password: "P @ ssw0rd1" per soddisfare i requisiti di complessità. Finché ci sono password, le persone continueranno a creare password deboli e gli hacker continueranno a romperle. Moreso man mano che il potere del computing sale e la determinazione dei prezzi per la creazione di una potente macchina per rompere le password, va giù.
Psicologicamente, vogliamo le cose proprio ora. Nel momento in cui scriviamo qualcosa. "La larghezza di banda è troppo lenta Questa pagina impiega 3 secondi per caricarsi, in genere ci vogliono 300ms" Siamo stati pianificati lentamente per ricevere gratifiche istantanee e / o per eseguire compiti con velocità lampo. "Devi effettuare il login per caricare questo rapporto entro la scadenza X." Nessuno vuole passare il tempo aggiunto digitando qualcosa di troppo lungo e complicato. Costringendoli a ricordare: "4% 6DMoeTr, $ ^" non funzionerà come l'utente scriverà. Forzare password complesse porta alla conformità: "Finethisismypa $$ word1" che non ha funzionato.
Di Google e altri che usano altre variabili, la superficie di attacco diventa più difficile da affrontare da una prospettiva di attacco. Un utente malintenzionato dovrebbe conoscere l'insieme corretto di variabili per l'autenticazione dei sistemi. Il problema che posso riscontrare dalla biometria (apprendimento automatico) quando si tratta di digitare verrà il seguente: "Cosa succede se mi spezzo il braccio e sto digitando una mano", "cosa succede se digito la mia password con una mano perché sono al telefono o sto mangiando un panino ». Swipes, lo stesso vale. Cosa succede se torno da un bar, e dopo un po 'di drink, i miei swipes escono fuori. Non posso effettuare un bonifico bancario?
C'è ancora un modo per andare a includere Google che deve registrare / archiviare ancora più dati su individui che portano a un numero ancora maggiore di abusi sulla privacy. "Sappiamo che lui / lei è mancino, è probabilmente un ubriaco a causa dei falsi positivi ogni Venerdì sera, ed è un orribile speller!" (volutamente mispelled). Qualsiasi azienda che desideri eliminare le password è sulla buona strada, ma anche sul percorso per avere troppe informazioni su un individuo. È necessario? Sì. La criminalità informatica è miliardi di dollari in denaro perso, a volte sogni infranti (il conto di qualcuno viene spazzato via). Tutto ciò che può affrontare questo è sulla strada giusta
Leggi altre domande sui tag passwords password-management password-cracking