PplWare Mobile

Google comprou SlickLogin e as passwords vão mudar de forma

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Tm says:

    O que é que querem dizer com “…usa frequências de som inaudíveis pelo ouvido humano…” ? Não estou ver qual será a frequência gerada pelo meu “super altofante” do smartphone que não seja audível…
    Mas sou suspeito, até porque não pesquisei nada sobre esta tecnologia.

    • Ricardo says:

      É fantástica a facilidade com que as pessoas falam daquilo que não sabem.

      O ouvido humano “capta” sons entre os 20Hz e 20KHz, de grosso modo, e como tal basta utilizar frequências fora deste intervalo, no caso especifico, ultra sons, ou seja acima dos 20KHz.

      • Mário César says:

        Mesmo…

      • Nelson says:

        Já acima dos 16KHz, é praticamente impossível de ouvir.

        (Isto feito teste com material científico, e numa turma de pessoal com 20 e poucos)

      • Pedro Lino says:

        Não é por nada mas isto não é um pouco inseguro?

        Ok que nós não ouvimos, mas não deve ser assim tão difícil captar esses sons à distância e “roubar” a autenticação…

        Estou errado?

      • TM says:

        Realmente é fantástica a segurança com que as pessoas fazem afirmações!

        Se o “teu” ouvido só capta até aos 20khz então é porque já não deve ser muito novo.. ou então és pouco exigente a nível sonoro.

        E mesmo que assim fosse, como tão seguramente afirmas ser, diz-me lá qual o smartphone capaz de reproduzir tais frequências?!

  2. Miguel says:

    Pode ser mais prático no entanto não é mais seguro que outros metodos.

    “Pontos fracos”
    1º- Posso instalar um sniffer no proprio pc e apanhar o que ele recebe via som do smartphone.

    2º- Com equipamento externo adequado para ultrassons posso gravar o som, se tiver desmasiado perto.

    • António says:

      possivelmente será usado como um extra á password em vez daqueles códigos gerados por programas no teu telemovel.

    • António says:

      Certamente és uns dos três engenheiros da SlickLogin…ou eles devem andar a dormir.

      • Miguel says:

        E tu proprio deves ser um crente que acreditas nos ditos “engenheiros”! lol amigo não existe tecnologia segura existe sempre uma fora de dar a volta no entanto só esta acessivel a quem gosta de estudar e não vir para o pc mandar bitaites!

        • Sergio says:

          Não sejas ridiculo Miguel, isto não são substitutos para as passwords, e para além disso as keys são geradas para cada sessão, ou seja podes gravar os sons que quiseres que não te vão servir de nada porque para iniciares uma sessão vai ser atribuida nova key(nova sequencia sonora)

        • Nelson says:

          Ó amigo, eu gosto de estudar, e o que não faltam são métodos 100% seguros.

          O erro é 99,9% das vezes humano, muitas vezes feito por pessoas sem qualificação na área, ou qualificação da treta.

    • diogo says:

      Nao viste o video?

      A cada login o som é diferente…

    • Nelson says:

      Pá, isso é um ataque conhecido como replay attack, e o sistema só está vulnerável se eles forem extremamente burros, o que não me acredito, dado que foram comprados pela Google.

      Para resolver isso, basta um challenge-response.

  3. jesus says:

    Se for semelhante à frequência dos apitos dos cães, é de constatar que até aí há humanos que podem se aperceber dos sons. Se for uma outra qualquer gama de sons poderá ser feito um sniffer tal e qual existe para a análise aos pacotes de informação atualmente, este serviria para análise de sons. Enfim por cada boa ideia de infalibilidade existem 100 a tentar a quebrar (caso do sensor de impressões digitais do iphone5 e demais…)
    É só uma questão de tempo.
    Não deixando de ser uma boa ideia.

  4. Ricardo says:

    Nota-se que quem comentou nem se deu ao trabalho de perceber como funciona a tecnologia.

  5. Xiko37 says:

    “A informação é passada entre um smartphone e um computador e assim é validada a autenticação do utilizador”.
    .
    Bom… mas… se eu não tiver nenhum computador por perto, se estiver na rua por exemplo, e precisar de me autenticar no Smarphone… Bom…
    .
    Temos que aguardar para vêr. (Não vi o vídeo, sou “alérgico” a estes vídeos).

  6. Blueparty says:

    É possível encriptar alguns ficheiros do google drive (o boxcryptor só o permite na versão paga, que deixe abrir o ficheiro através do acesso à app para android ou mesmo pela interface web?

  7. Metes sim says:

    Vi o vídeo, percebi a ideia… falam em encriptação de nível militar, o que me deixa nervoso, pois os únicos até hoje que tem encriptação de nível “militar” se é que se pode dizer isso e está bem implementada é o TrueCrypt… e curiosamente são os únicos que não afirmam ser de nível militar… vá-se lá perceber, que os únicos que a implementam bem não vem com chavões desses que qualquer um percebe que não é necessáriamente verdade (até porque vários países tem os seus algoritmos militares que são, bem, segredo militar!).

    A ideia do SlickLogin bonita, pode funcionar em teoria, mas não me convence!
    1) É patenteada, a maioria das empresas é alérgica a coisas patenteadas (leia-se: não querem gastar dinheiro em licenças, nem agora, nem nunca);
    2) Aparentemente, só funciona com smartphones (ora, eu não tenho smartphones, e conheço imensas pessoas que não têm smartphones… e usam a Internet todos os dias);
    3) O que acontece se perder o smartphone, ou me roubarem do bolso, ou da carteira (??)… é só apróximar do computador e bang! Estão em qualquer serviço em que esteja autênticado com isto;
    4) Como revogo a autênticação disto nos serviços de forma segura?
    5) Como posso mudar o autenticador de forma segura se me roubarem o autênticador (smartphone)?
    6) Como me autêntico nos sites se estiver num smartphone ou tablet (não tenho, mas e quem tem?)

    Continuo à espera do SQRL Secure Quick Reliable Login, neste momento em desenvolvimento aqui: https://www.grc.com/sqrl/sqrl.htm

    – É livre de patentes (e sempre será segundo o seu autor… que diz que apenas quer resolver este problema das senhas, tal como este SlickLogin tenta);

    – A forma como é implementado está e estará amplamentente descrita de forma a ser implementado por qualquer um com conhecimentos de programação (na atual fase encontra-se ainda sujeita a modificações, pois estão a ser feitas alterações com base na implementação e resposta da comunidade que participa no desenvolvimento);

    – Pode ser usado em qualquer plataforma onde a queiram utilizar (Windows, Mac, Linux, Windows Phone, Android, iOS, Blackberry, etc.), desde que alguém desenvolva uma aplicação compatível para essa plataforma;

    – Suporta múltiplas contas/ identidades no mesmo site (se quem desenvolveu a aplicação assim o previr (coisa fácil e que estará implementada certamente na totalidade das aplicações);

    – A experiência não será: não ter de carregar em nada, como este SlickLogin (que me deixa algo nervoso com tanta facilidade…), mas sim implica colocar um código para abrir a aplicação e que permite aceder aos dados encriptados (é algo opcional, mas altamente recomendado pelo autor… uma única senha… de preferência que não esteja na lista das 100 senhas mais usadas…), confirmar o site, escolher a identidade que querem usar nesse site (se tiverem mais do que uma) e estão autênticados sem fazer mais nada.

    A diferença principal é que só tem de saber uma única senha (esperemos que segura… e que permite que mesmo que lhe roubem o smartphone, portátil, tablet, etc. não consigam de imediato aceder às contas se não souberem a senha) e depois de confirmar o site (uma espécie de “anti-phishing”, ainda que não seja assumido como tal), escolher uma conta/ identidade (se tiver mais que uma) e entra automaticamente na conta.

    – Se lhe roubarem o dispositivo, e para cumulo tiver usado como senha “123456”, “password”, “benfica”, “porto”, “sporting” ou algo parecido (e óbvio)… [se for difícil vão demorar muito tempo a descobri-la, já que cada tentativa demora propositadamente alguns segundos no tempo de cálculos matemáticos que tem de ocorrer durante esse tempo, para garantir que não há forma de quebrar as senhas rapidamente (não é possível acelerar o processo de forma nenhuma conhecida atualmente)]… existe um mecanismo de segurança, uma “chave” de segurança que permite entrar nas contas e mudar a “chave” usada para entrar por uma nova. Quem tem o dispositivo pode conseguir entrar mas não consegue mudar a senha de acesso e logo não consegue privar o legítimo proprietário de entrar e mudar a chave de acesso.
    Se tiverem acesso à chave de segurança, e tiverem usado uma senha para proteger a mesma (aconselhado)… cada tentativa para aceder, demora 60 segundos no tempo… logo tentar adivinhar a senha (se não for uma simples) vai demorar… se calhar vários milhões de milhões de anos.

    – À semelhança deste SlickLogin que supostamente imite um token automaticamente sempre com um código diferente (por isso, ouvir/ interceptar não servirá de muito, pois só funcionará daquela vez), este sistema também assina cada site/ identidade com um código diferente para cada site, logo se conseguirem interceptar a chave, não vão conseguir entrar em outros sites, porque é sempre diferente;

    – Para entrar o cliente pode fazer uma de várias coisas:
    1) Aponta a câmara do smartphone/ tablet para um código QR no website, que abre a aplicação responsável por gerir a utilização do SQRL e depois o resto é como descrito anteriormente;
    2) Se tiver a usar um smartphone/ tablet clica na imagem em si que contêm o link sqrl:// que abrirá a aplicação no dispositivo e posteriormente depois de passar os passos de autenticação entra no site no próprio dispositivo;
    3) Se tiver a usar um computador fixo/ portátil e só tiver o computador, clica na ligação sqrl:// que abrirá uma aplicação responsável pela gestão do SQRL no computador, e depois de seguir os passos já anteriormente indicados, entra no site.
    Tudo isto e apenas tem de saber uma única senha (para todos os sites que suportarem esta tecnologia).

    – Permite registos e autenticações totalmente “anónimas”, sem necessidade de dados adicionais, se os sites assim escolherem, claro… mas quando lá voltar daqui a 2 anos, o site continuará a lembrar-se de si… desde que use a mesma identidade para se autenticar;

    – Da forma que a tecnologia funciona, ninguém consegue associar somente pela chave utilizada a sua conta num site a outro noutro site. (IP’s e outras coisas, poderão ser usadas para o reconhecer como o mesmo utilizador, mas pela tecnologia de autenticação em si não é possível);

    – Como os sites já provaram milhares de vezes serem incapazes de proteger as suas bases de dados, e pela forma como esta tecnologia funciona, não há nada que os sites possam perder (relacionado com a chave que protege a sua conta) que permita a terceiros aceder à conta por si;

    – A autenticação pode ser feita via ligação segura ou não (se não for feita via ligação segura, é tão segura como já é agora… ou seja, não muito!!!);

    – Não existem sistemas de terceiros envolvidos em tudo isto, logo as autoridades não podem exigir a terceiros que revelem os dados de acesso de um determinado utilizador a um certo site;

  8. onike says:

    Mas mas e se eu perder o telemóvel ? :O

    • Deus says:

      Como pudes-te ver tambem tiveram de colocar a password no banco. O telemóvel não é mais do que um segundo método de autenticação e na minha opinião nunca vai deixar de existir as passwords.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.