Większość “włamów” na konta powodowana jest nie przez wycieki danych, a właśnie przez słabe lub niezmieniane, domyślne hasła. Hasła, które spędzają sen z powiek osób, mających trudności z zapamiętywaniem różnych danych uwierzytelniających. Nadchodzi jednak następca starych metod zabezpieczających logowanie – WebAuthn!
WebAuthn w końcu standardem
Ostatnie lata pokazały, że często hasła nie są wystarczającą formą zabezpieczenia naszych danych. Coraz więcej użytkowników decyduje się na uwierzytelnianie kodem SMS, danymi biometrycznymi lub też dwustopniowe uwierzytelnianie z kodem przesyłanym na skrzynkę email.
Dlaczego? Bo ciężko zapamiętać wszystkie skomplikowane hasła do różnych usług, a jednocześnie nie korzystać z żadnego ich menedżera. Z tego też powodu jest to coraz większa strata czasu dla użytkowników, który w przeliczeniu na pieniądze liczy już miliony dolarów rocznie w korporacjach. Co więcej, nawet zmieniane hasła i dodawana kolejna warstwa uwierzytelniająca nie są w pełni bezpiecznym rozwiązaniem, a wprawni hakerzy są w stanie sobie z tym poradzić.
Z tego też powodu W3C i FIDO Alliance niestrudzenie pracują nad zastąpieniem haseł przez WebAuth API. Rozwiązanie to jest już standardem dla systemów Windows 10, Android oraz przeglądarek internetowych Chrome, Firefox, Edge oraz Safari. Wdrożenie WebAuth pozwala użytkownikom łatwiej logować się do usług i urządzeń przy pomocy danych biometrycznych i (lub) kluczy bezpieczeństwa. Technologia ta zapewnia znacznie wyższy poziom zabezpieczeń w porównaniu do systemów opieranych na hasłach.
Według specjalistów z W3C zestaw specyfikacji FIDO2 opracowany przez FIDO Alliance pomaga rozwiązać 4 główne problemy tradycyjnych metod uwierzytelniania:
- Bezpieczeństwo: poświadczenia FIDO2 są unikalne dla każdej strony internetowej i każdego urządzenia. Informacje poufne, takie jak dane biometryczne, hasła, itp. nie wychodzą poza urządzenie i nie są na żadnym serwerze.
- Wygoda: użytkownik loguje się prostą metodą, korzystając z czytnika linii papilarnych, kamery, własnego urządzenia mobilnego lub też klucza bezpieczeństwa.
Prywatność: dzięki temu, że klucze kryptograficzne są unikalne dla każdej strony, nie można ich wykorzystać do śledzenia użytkowników poza daną witryną. - Skalowalność: FIDO2 można włączyć na stronie internetowej dzięki prostemu wywołaniu API. Obsługiwane jest to na wszystkich wspieranych przeglądarkach, platformach i urządzeniach, z których korzysta większość z nas.
Zobacz też: Kolejny wyciek danych ze sklepu Gearbest. Zmieńcie jak najszybciej swoje hasła!
Standard, ale nie obowiązek
Nowe rozwiązanie na pewno jest dużym krokiem jeśli chodzi o poprawę bezpieczeństwa i wygody w korzystaniu z Internetu. Niestety bardzo wątpliwe jest, że wdrożenie WebAuthn nastąpi z dnia na dzień. Raczej zajmie to miesiące lub lata, a niektórzy zapewne w ogóle nie będą tym zainteresowani, dopóki nie będą zmuszeni do zmian.
Mam jednak naprawdę dużą nadzieję, że ten standard w najbliższej przyszłości pozwoli nam zapomnieć o hasłach i ułatwić uwierzytelnianie na kolejnych urządzeniach.
Co myślicie o nowym standardzie uwierzytelniania?
Preferujecie hasła czy dane biometryczne do logowania?
