Google comprou SlickLogin e as passwords vão mudar de forma
A forma da Google ter acesso a muita da tecnologia que emprega nos seus serviços advém da compra de outras empresas que as desenvolvem.
Nos últimos tempos tem estado particularmente activa nessas compras, e agora foi anunciada mais uma aquisição, mas numa área longe da que andava a investir.
A Google comprou a SlickLogin, uma empresa Israelita com uma ideia revolucionária para eliminar as passwords e outros métodos de autenticação similares.
A SlickLogin é uma empresa Israelita que desenvolveu um método completamente diferente de autenticação, igualmente seguro, mas sem recurso a qualquer password ou mecanismo de validação manual.
O sistema que a SlickLogin desenvolveu usa frequências de som inaudíveis pelo ouvido humano para fazer os processos de autenticação. A informação é passada entre um smartphone e um computador e assim é validada a autenticação do utilizador.
Esta ideia e este projecto têm apenas alguns meses e estão a levantar muita curiosidade quer pela sua originalidade quer pela forma como está a preparar-se para mudar de forma radical a utilização de passwords nos contextos que actualmente conhecemos.
Toda a equipa da SlickLogin vai ser integrada na estrutura que a Google tem já em Israel. Os três engenheiros que compunham a SlickLogin vão trabalhar na mesma área onde o SlickLogin se posicionava e vão procurar melhorar os sistemas de autenticação da Google e dos seus serviços associados.
Todos os que quiserem conhecer um pouco mais sobre a SlickLogin e a forma como esta pretende realizar os processos de autenticações poe fazê-lo no vídeo que apresentamos abaixo.
Este vídeo foi capturado aquando da apresentação do SlickLogin numa conferência do TechCrunch, onde viria a dar nas vistas.
Esta é mais uma compra que a Google realiza para enriquecer os seus produtos e serviços, dotando-os de novas qualidades e características.
A SlickLogin promete uma mudança radical na utilização de passwords e de mecanismos de autenticação, e a Google pretendem aproveitar essas mesmas qualidades e incorporá-las nos seus serviços.
Esta compra segue a linha de outras recentes, em que a empresa investiu na segurança e na melhoria da protecção dos seus utilizadores.
Homepage: SlickLogin
Este artigo tem mais de um ano
O que é que querem dizer com “…usa frequências de som inaudíveis pelo ouvido humano…” ? Não estou ver qual será a frequência gerada pelo meu “super altofante” do smartphone que não seja audível…
Mas sou suspeito, até porque não pesquisei nada sobre esta tecnologia.
É fantástica a facilidade com que as pessoas falam daquilo que não sabem.
O ouvido humano “capta” sons entre os 20Hz e 20KHz, de grosso modo, e como tal basta utilizar frequências fora deste intervalo, no caso especifico, ultra sons, ou seja acima dos 20KHz.
Mesmo…
Já acima dos 16KHz, é praticamente impossível de ouvir.
(Isto feito teste com material científico, e numa turma de pessoal com 20 e poucos)
Não é por nada mas isto não é um pouco inseguro?
Ok que nós não ouvimos, mas não deve ser assim tão difícil captar esses sons à distância e “roubar” a autenticação…
Estou errado?
Realmente é fantástica a segurança com que as pessoas fazem afirmações!
Se o “teu” ouvido só capta até aos 20khz então é porque já não deve ser muito novo.. ou então és pouco exigente a nível sonoro.
E mesmo que assim fosse, como tão seguramente afirmas ser, diz-me lá qual o smartphone capaz de reproduzir tais frequências?!
Pode ser mais prático no entanto não é mais seguro que outros metodos.
“Pontos fracos”
1º- Posso instalar um sniffer no proprio pc e apanhar o que ele recebe via som do smartphone.
2º- Com equipamento externo adequado para ultrassons posso gravar o som, se tiver desmasiado perto.
possivelmente será usado como um extra á password em vez daqueles códigos gerados por programas no teu telemovel.
Certamente és uns dos três engenheiros da SlickLogin…ou eles devem andar a dormir.
E tu proprio deves ser um crente que acreditas nos ditos “engenheiros”! lol amigo não existe tecnologia segura existe sempre uma fora de dar a volta no entanto só esta acessivel a quem gosta de estudar e não vir para o pc mandar bitaites!
Não sejas ridiculo Miguel, isto não são substitutos para as passwords, e para além disso as keys são geradas para cada sessão, ou seja podes gravar os sons que quiseres que não te vão servir de nada porque para iniciares uma sessão vai ser atribuida nova key(nova sequencia sonora)
Ó amigo, eu gosto de estudar, e o que não faltam são métodos 100% seguros.
O erro é 99,9% das vezes humano, muitas vezes feito por pessoas sem qualificação na área, ou qualificação da treta.
Nao viste o video?
A cada login o som é diferente…
Pá, isso é um ataque conhecido como replay attack, e o sistema só está vulnerável se eles forem extremamente burros, o que não me acredito, dado que foram comprados pela Google.
Para resolver isso, basta um challenge-response.
Se for semelhante à frequência dos apitos dos cães, é de constatar que até aí há humanos que podem se aperceber dos sons. Se for uma outra qualquer gama de sons poderá ser feito um sniffer tal e qual existe para a análise aos pacotes de informação atualmente, este serviria para análise de sons. Enfim por cada boa ideia de infalibilidade existem 100 a tentar a quebrar (caso do sensor de impressões digitais do iphone5 e demais…)
É só uma questão de tempo.
Não deixando de ser uma boa ideia.
Nota-se que quem comentou nem se deu ao trabalho de perceber como funciona a tecnologia.
Estou contigo!
“A informação é passada entre um smartphone e um computador e assim é validada a autenticação do utilizador”.
.
Bom… mas… se eu não tiver nenhum computador por perto, se estiver na rua por exemplo, e precisar de me autenticar no Smarphone… Bom…
.
Temos que aguardar para vêr. (Não vi o vídeo, sou “alérgico” a estes vídeos).
É possível encriptar alguns ficheiros do google drive (o boxcryptor só o permite na versão paga, que deixe abrir o ficheiro através do acesso à app para android ou mesmo pela interface web?
Vi o vídeo, percebi a ideia… falam em encriptação de nível militar, o que me deixa nervoso, pois os únicos até hoje que tem encriptação de nível “militar” se é que se pode dizer isso e está bem implementada é o TrueCrypt… e curiosamente são os únicos que não afirmam ser de nível militar… vá-se lá perceber, que os únicos que a implementam bem não vem com chavões desses que qualquer um percebe que não é necessáriamente verdade (até porque vários países tem os seus algoritmos militares que são, bem, segredo militar!).
A ideia do SlickLogin bonita, pode funcionar em teoria, mas não me convence!
1) É patenteada, a maioria das empresas é alérgica a coisas patenteadas (leia-se: não querem gastar dinheiro em licenças, nem agora, nem nunca);
2) Aparentemente, só funciona com smartphones (ora, eu não tenho smartphones, e conheço imensas pessoas que não têm smartphones… e usam a Internet todos os dias);
3) O que acontece se perder o smartphone, ou me roubarem do bolso, ou da carteira (??)… é só apróximar do computador e bang! Estão em qualquer serviço em que esteja autênticado com isto;
4) Como revogo a autênticação disto nos serviços de forma segura?
5) Como posso mudar o autenticador de forma segura se me roubarem o autênticador (smartphone)?
6) Como me autêntico nos sites se estiver num smartphone ou tablet (não tenho, mas e quem tem?)
Continuo à espera do SQRL Secure Quick Reliable Login, neste momento em desenvolvimento aqui: https://www.grc.com/sqrl/sqrl.htm
– É livre de patentes (e sempre será segundo o seu autor… que diz que apenas quer resolver este problema das senhas, tal como este SlickLogin tenta);
– A forma como é implementado está e estará amplamentente descrita de forma a ser implementado por qualquer um com conhecimentos de programação (na atual fase encontra-se ainda sujeita a modificações, pois estão a ser feitas alterações com base na implementação e resposta da comunidade que participa no desenvolvimento);
– Pode ser usado em qualquer plataforma onde a queiram utilizar (Windows, Mac, Linux, Windows Phone, Android, iOS, Blackberry, etc.), desde que alguém desenvolva uma aplicação compatível para essa plataforma;
– Suporta múltiplas contas/ identidades no mesmo site (se quem desenvolveu a aplicação assim o previr (coisa fácil e que estará implementada certamente na totalidade das aplicações);
– A experiência não será: não ter de carregar em nada, como este SlickLogin (que me deixa algo nervoso com tanta facilidade…), mas sim implica colocar um código para abrir a aplicação e que permite aceder aos dados encriptados (é algo opcional, mas altamente recomendado pelo autor… uma única senha… de preferência que não esteja na lista das 100 senhas mais usadas…), confirmar o site, escolher a identidade que querem usar nesse site (se tiverem mais do que uma) e estão autênticados sem fazer mais nada.
A diferença principal é que só tem de saber uma única senha (esperemos que segura… e que permite que mesmo que lhe roubem o smartphone, portátil, tablet, etc. não consigam de imediato aceder às contas se não souberem a senha) e depois de confirmar o site (uma espécie de “anti-phishing”, ainda que não seja assumido como tal), escolher uma conta/ identidade (se tiver mais que uma) e entra automaticamente na conta.
– Se lhe roubarem o dispositivo, e para cumulo tiver usado como senha “123456”, “password”, “benfica”, “porto”, “sporting” ou algo parecido (e óbvio)… [se for difícil vão demorar muito tempo a descobri-la, já que cada tentativa demora propositadamente alguns segundos no tempo de cálculos matemáticos que tem de ocorrer durante esse tempo, para garantir que não há forma de quebrar as senhas rapidamente (não é possível acelerar o processo de forma nenhuma conhecida atualmente)]… existe um mecanismo de segurança, uma “chave” de segurança que permite entrar nas contas e mudar a “chave” usada para entrar por uma nova. Quem tem o dispositivo pode conseguir entrar mas não consegue mudar a senha de acesso e logo não consegue privar o legítimo proprietário de entrar e mudar a chave de acesso.
Se tiverem acesso à chave de segurança, e tiverem usado uma senha para proteger a mesma (aconselhado)… cada tentativa para aceder, demora 60 segundos no tempo… logo tentar adivinhar a senha (se não for uma simples) vai demorar… se calhar vários milhões de milhões de anos.
– À semelhança deste SlickLogin que supostamente imite um token automaticamente sempre com um código diferente (por isso, ouvir/ interceptar não servirá de muito, pois só funcionará daquela vez), este sistema também assina cada site/ identidade com um código diferente para cada site, logo se conseguirem interceptar a chave, não vão conseguir entrar em outros sites, porque é sempre diferente;
– Para entrar o cliente pode fazer uma de várias coisas:
1) Aponta a câmara do smartphone/ tablet para um código QR no website, que abre a aplicação responsável por gerir a utilização do SQRL e depois o resto é como descrito anteriormente;
2) Se tiver a usar um smartphone/ tablet clica na imagem em si que contêm o link sqrl:// que abrirá a aplicação no dispositivo e posteriormente depois de passar os passos de autenticação entra no site no próprio dispositivo;
3) Se tiver a usar um computador fixo/ portátil e só tiver o computador, clica na ligação sqrl:// que abrirá uma aplicação responsável pela gestão do SQRL no computador, e depois de seguir os passos já anteriormente indicados, entra no site.
Tudo isto e apenas tem de saber uma única senha (para todos os sites que suportarem esta tecnologia).
– Permite registos e autenticações totalmente “anónimas”, sem necessidade de dados adicionais, se os sites assim escolherem, claro… mas quando lá voltar daqui a 2 anos, o site continuará a lembrar-se de si… desde que use a mesma identidade para se autenticar;
– Da forma que a tecnologia funciona, ninguém consegue associar somente pela chave utilizada a sua conta num site a outro noutro site. (IP’s e outras coisas, poderão ser usadas para o reconhecer como o mesmo utilizador, mas pela tecnologia de autenticação em si não é possível);
– Como os sites já provaram milhares de vezes serem incapazes de proteger as suas bases de dados, e pela forma como esta tecnologia funciona, não há nada que os sites possam perder (relacionado com a chave que protege a sua conta) que permita a terceiros aceder à conta por si;
– A autenticação pode ser feita via ligação segura ou não (se não for feita via ligação segura, é tão segura como já é agora… ou seja, não muito!!!);
– Não existem sistemas de terceiros envolvidos em tudo isto, logo as autoridades não podem exigir a terceiros que revelem os dados de acesso de um determinado utilizador a um certo site;
O que a Google quer, é sites a utilizarem as suas contas para fazer log-in (e algo mais)…
Mas mas e se eu perder o telemóvel ? :O
Como pudes-te ver tambem tiveram de colocar a password no banco. O telemóvel não é mais do que um segundo método de autenticação e na minha opinião nunca vai deixar de existir as passwords.