Google präsentiert 5-Jahres-Roadmap für leistungsfähige Validierung
10.05.2013 08:48
Google präsentiert 5-Jahres-Roadmap für leistungsfähige Validierung
Artikel von https://www.Notebookbattery.Gr/: Smartphones und Smart Apps sind Hauptgrund mit in der Zutrittskontrolle Strategie mit dem Ziel der Strategie zu ignorieren Summen von Endnutzern.
Google enthüllt Mittwoch einen Fünf-Jahres-Roadmap für eine stärkere Verbraucher Validierung Klasse Smartphones, langlebige Token und Zukunftsforscher Regelungen zu verhärten Zutrittskontrollen, während das Schlagen eines dreisten Ton im Hinblick auf die Nutzer, die die Änderung widerstehen.
Das Diagramm Befehl letztlich ändern Googles Login-Routine durch Verletzung heutigen Muster mit dem Ziel der Endnutzer Unterzeichnung mit in abgeschlossen und beendet hat. Aufmachung in seinen Platz, installieren Sie Google Befehl leistungsfähige Validierung auf einem Gerät wie mit dem Status eines Smartphones einmal es Set-up.
Eine mehrteilige Validierungscode Befehl verdrängen das Passwort ein und lassen Sie das Gerät selbst zu identifizieren, seine Benutzer, die Teilnahme mit in mehrteiligen Validierung Flows und erkennen Muster Kontrolle mit dem Ziel der Angriffe geben.
"Wir Befehl ändern anmelden, um einen einmal pro Gerät kostenlos und erfolgreich es oben nicht geschnitten Reibung Reibung zugunsten aller Benutzer", flüsterte Eric Sachs, band produzieren Chef zugunsten der Identität von Google. "Wir haben nichts dagegen macht es lästig für die Benutzer in ihrem Gerät unterschreiben, wenn sie behaupten, nur um es, wenn zu organisieren. "
Sachs, spricht von der IIW (Internet Identität Workshop) Symposium, in Mountain Glauben, Kalifornien, Whispered Google wird nicht davor zurückschrecken, was anspruchsvolle Übergänge auf Endnutzer mit, um eine höhere Sicherheit mit in der anhaltenden Lauf zu behaupten.
"Wir bei der vorliegenden Diagramm, um ein Rollout in unseren Login-Routine mit, in denen wir bestehen Befehl viel zusätzliche aggressive ändern", schrieb Google mit einem Manuskript in der Roadmap skizziert. (Mit begleitenden Gleitboden)
Sachs flüsterte Google Befehl erfordern, dass alle Endnutzer zu Zwei-Faktor-Validierung aktiviert behaupten. Diesen Tagen, Google und andere Seiten, die sie mit dem Status einer Option bieten.
Sachs flüsterte Google Befehl situieren erkundigen und Entwicklung ins Detail Bereichen mit dem Ziel einer Verlagerung der heutigen Validierung und Autorisierung Mustern. Folks Bereiche umfassen die Validierung von Setup, um erbärmliche weg von der Auslosung auf der sogenannten Träger mit dem Ziel der vorliegenden Zugang Token wem präsentiert sie, prasseln in intelligenter Hardware und Ausarbeitung ursprünglichen Methoden, zu Gunsten von Bootstrapping Gerät Entriegelung und Bestätigungen zu Gunsten der "riskanten Maßnahmen."
Er kam nicht wieder sagen? Google war Budgetierung mit den Bedingungen der Investitionen, um die Strategie zu entwickeln.
Mit in 2008 hat Google eine ähnliche fünfjährigen Validierung Diagramm. Die größten Bereiche bekommen waren Risiko-basierten Login-Herausforderungen, strenge Zwei-Faktor-Herausforderungen, OpenID anmelden Luxus und zeichnen Sie auf der OAuth Authentifizierung / Autorisierung Protokoll so apps außerhalb des Browsers nicht behaupten, zu Gunsten von Passwörtern fragen.
Google und anderen Anbietern Assertion Fortschritte mit in diesen Bereichen, und die Produktion weiter.
Seit 2008, flüsterte Sachs Google gelernt, mit dem Ziel der Balance Erholung war seine Achillesferse, mit dem Ziel, es war zermürbend zu Anbietern Fortschritte zu OAuth erlassen, mit dem Ziel, OpenID Migration wurde zu besteuern, und der größte Teil hervorragend, mit der Ziel der "bad guys hatte ergänzende ausgeklügelte Angriffe entwickelt."
Sachs flüsterte der bösen Tat ist in der Nähe ist ein in Harmonie Identität zugunsten von portablen Anwendungen, aber nicht zugunsten von Browsern und Websites.
Google sagt, mit dem Ziel, die ursprüngliche Fünf-Jahres-Chart korrigiert lone speziellen Stream es falsch beurteilt mit im Jahr 2008.
"Fünf Jahre, bevor dieses Niveau der Smartphone-Annahme nicht vorhergesagt wurde", flüsterte Sachs. "Wir haben nicht mit dem Ziel der Entwicklung wahrzunehmen."
Nachdem der Status eines Schlüssels ein Teil der ursprünglichen Tabelle, flüsterte Sachs Google Befehl weben Smartphones und Smart Apps durch eine Kette von original Validierungsmethoden und Back-End-Infrastruktur Änderungen.
Er flüsterte Google mag die tragbare Form irgendwo Anwendungen sind erhältlich, wenn der Benutzer auf das Gerät zugreift.
"Wir chart unsere Erkenntnisse aus Maschine OS nehmen und es auf Chrome, mit dem Status auch mit dem Status der Einnahme Lehre aus, wie Identität Maschinen zugunsten der Maschine apps und es auf apps durcheinander", nach dem Manuskript skizziert Google Strategie.
Sachs flüsterte der bösen Tat ist in der Nähe ist ein in Harmonie Identität zugunsten von portablen Anwendungen, aber nicht zugunsten von Browsern und Websites. "Wir brauchen zusätzliche Sanitär", flüsterte er.
Er benutzte ein typischer Fall eines "Gott-Level-OAuth-Token", mit dem Ziel eines Smartphones können auch durch das Betriebssystem Routine Ebene zu bestehen zugunsten von Maßnahmen mit in die Validierung des verwendeten Browsers zu behaupten. "Es ist ein Teil der Produktion auf organisieren zu diesem Zeitpunkt ", flüsterte er.
Google Befehl auf Smartphones und Smart Apps auf Politik installiert haben, um eine einmalige Passwörter (OTP), portable und original OTPs fangled Regelungen mit dem Ziel unterstützt zeichnen herausfordern können Anwender, wie mit dem Status präsentiert ein Diagramm, so dass Benutzer den Standort überprüfen können sie sind mit der Anmeldung ab.
In diesen Tagen sind in der Nähe von Smart Apps mit dem Ziel der Erzeugung OTPs sogar einmal ein tragbares Telefon nicht behaupten Konnektivität. Letztlich Google zu verlangen Logins bestehen irgendwo das elastische der nachfolgenden Grund ist es sehr viel schwieriger, wenn nicht unerreichbar, es Phishing durchgeführt hofft folgt, dass OTPs.
Google zusätzlich Strategie, Methoden mit dem Ziel zu entwickeln Befehl unterbringen Benutzer, die nicht behaupten, dass ihre Telefon. Lone Fall ist der Benutzer Online eine Neigung ihrer Politik mit dem Ziel, Zugriff werden zu einem Gleichgewicht und Antwort Herausforderungen in der Nähe verbunden.
Diese Art von Systemen Fortschritte rund lone Dilemma mit Zwei-Faktor-Validierung (2FA) irgendwo einsame Benutzer auf einem gemeinsamen Gleichgewicht kann nicht unterzeichnen-in aus dem Grund, dass sie nicht behaupten, das Gerät Empfang der Bestätigungs-Code.
Google-Chart setzt kraftvoll auf clevere Hardware und Befehl Leitungswasser mit dem Ziel der Hardware, um zu versuchen und erfolgreich unbefugten Zugriff über Social Engineering solche, die den Status von Phishing ergänzende anspruchsvoll.
Sachs verwendet den Fall in Punkt eines web-basierten Online-Banking-Anwendung den Benutzer auffordert, gütliche bis ein Smartphone Version der gleichen App und eine Bestätigungstaste zugunsten einer Transaktion klicken und um die Echtheit der webbasierten Ort validieren.
Google Befehl erkunden mit Technologien wie den Status von Biometrie und nahe Domain Beratung mit dem Ziel, ihm beizutreten Benutzer identifizieren sich und lassen lone Gerät eine ursprüngliche Gleichgewicht auf einem nachfolgenden Gerät überprüfen. Das Bootstrapping des Gerätes kann auch von Maschine zu Chrome arbeiten oder anderes Gerät zu Gerät variieren können.
"Wir würden für einen Benutzer zu befähigen begünstigen eine ursprüngliche Gerät, indem ein vorhandenes Gerät parley es über einen kryptographischen Protokolls mit dem Ziel, nicht Phishing bestehen," Google flüsterte mit in seine Strategie Manuskript.
Sachs flüsterte Unterstützung von Nicht-Google-Richtlinien wird auf über Google die Teilnahme mit in die Fast-Identität Online (FIDO) Alliance gearbeitet, irgendwo hat es mit Hardware-Sicherheits-Hinweis Anbieter Yubico gemeinsam auf auf dem Vormarsch ein original mächtig Validierungsprotokoll Namen Universal nachfolgenden Grund ( U2F).
Google flüsterte mit den Erwartungen in sie Befehl Aufruf für diese Methode einmal verwendet Verbraucher füge eine Waage mit einem original Gerät bestehen. Google zusammen mit FIDO in später als üblich April.
Google zusätzlich Befehl zu erkunden, wie die Benutzer ein Gerät angeschlossen, um ihre Konten entsperren und wie ein Benutzer ", bestätigt", sie sind in der Tat die, die Durchführung "riskante Aktionen" auf die Politik an ihre Konten.
Google zusätzlich Befehl Produktion auf Backend-Infrastruktur speziell öffentliche / private lebenswichtigen Paare und Mitarbeiter die Bedienung bei Tisch Cookies gestempelt mit einer Gemeinschaft von großer Bedeutung, die den Status definiert mit in ChannelID Schluck der IETF-Vorschlag.
Google tut, wie die Dinge in diesen Tagen mit seinem Chrome-Plattform.
Gebunden "In den Erwartungen es unser Ziel, damit primitive Adopters, die Verlosung auf der Tokens erforderlich ist" ", um öffentliche / private Schlüsselpaare zugunsten der einen Zugang zu Ihrer Waage (von beiden Apps und Browser)," Google schrieb mit seiner Strategie Manuskript.
Die ChannelID Vorschlag konzentriert sich auf, wie man das Cookie auf dem Gerät zu halten mit dem Ziel, beweist der Benutzer zuvor unterzeichnet mit in und verringert die Gefahr mit durchgesickert wiederverwendbare Träger Token zugeordnet
Zudem missbilligen Google Strategie, sich auf zusätzliche Trusted Platform Module (TPM) und OAuth-Token auf die Politik und mit in den Erwartungen ziehen Inhaberaktien Token, die im Grunde vorhanden Zugang zum exklusiven TV-Moderatorin der Herausforderung.
Themen: Sicherheit, Networking, BYOD, Consumerization, IT
———
Zurück