Ač to zní možná podivně, je to klidně možné. Dlouhodobý problém se slabým zabezpečením čím dál komplexnějších online služeb a hlavně uživatelská nezodpovědnost trápí nejednoho provozovatele. Je teď celkem jedno, zda li se jedná o do cloudu převedené klasické firemní aplikace, služby typu Google Apps, nebo přihlášení do vašeho oblíbeného e-shopu.
Teoretických řešení se již objevilo hodně, nejčastější formou jsou různé kanály dvoufaktorového přihlašování, jenže to někdy dost otravuje a tak se hledá dál.
Zatím většina skrze web dostupných služeb využívá jako dominantní způsob ověření pouhé přihlášení heslem. Tento způsob ověření má hned několik slabin, je nepohodlný a to svádí uživatele k používání slabých hesel, klade nároky na uživatelovu paměť, což se projevuje nejčastěji sdílením hesel skrze jednotlivé služby a tím vytváření zbytečně velkého rizika zranitelnosti. Obzvláště, pokud uživatel používá stejné heslo pro přístup do e-mailu, nebo na Facebook a zároveň do všech e-shopů a ke svému bankovnímu účtu. Hesla jsou vedle rizika uhodnutí zranitelná škálou útoků, které sahají od odcizení databáze hesel a jejich rozluštění hrubou silou až po odchycení během zadávání na klávesnici či během přenosu.
Některé služby řeší problém dvoufaktorovou autentizací, ale ta je vhodná pouze tam, kde se uživatel nepřihlašuje příliš často (typicky bankovní účet). Přesto dvoufaktorovou autentizaci podporují také některé nativní online služby, Google například již déle podporuje přihlášení skrze jednorázový kód podle standardu OATH, ten je většinou generován aplikací na Android telefonu, nebo klasicky zasílán přes SMS. Faktem zůstává, že komplikace ve formě mezikroku vede většinu uživatelů k ignoraci této možnosti.
Jistou alternativou je také používání programů na správu hesel, jenže ta díky vysoké koncentraci hesel do různých služeb představují riziko samo o sobě.
Jak z toho ven
Se zajímavým konceptem přišla americká internetová společnost Google, chce, aby se uživatelé začali přihlašovat k jejím službám prostřednictvím kryptografického USB klíče.
Google zatím otestoval službu, kterou by chtěl uživatelům zpřístupnit již v příštím roce, s USB klíči společnosti Yubico a to pouze na svých zaměstnancích. Yubico vyrábí klíče, které vytvářejí kryptograficky zabezpečené jednorázové tokeny, klíče z pohledu machine to machine tváří jako USB klávesnice, která po uživatelském impulzu vloží kód při dotazu na přihlášení.
Pouze pro Chrome?
Společnost podporu technologie zabudovala do experimentální verze prohlížeče Chrome, zatím není zřejmé, zda li po uvolnění pro veřejnost API otevře také dalším prohlížečům. Chrome s integrovanou technologií se chová tak, že dovolí přihlášení prostřednictvím klíče k uživatelovu Google účtu, teoreticky je prý ale možné jej bez složitějších zásahů využít také k přihlášení do dalších služeb třetích stran.