Z hasłami jest pewien problem – pisze Thorsten Stremlau, WW Principal IT Architect w Lenovo. Wielu ludzi nadal używa jednego hasła do różnych urządzeń oraz platform, co oznacza, że jeśli haker włamie się do jednego konta, zyska dostęp także do pozostałych. Jednocześnie hakerzy są ostatnio bardzo aktywni, czego dowodzą włamania do LinkedIn czy Twittera. Inne technologie, takie jak biometria czy karty procesorowe, zapewniają wyższy poziom bezpieczeństwa, ale mają też słabe punkty. W sytuacji, w której wszystkie nasze informacje są przechowywane cyfrowo, zagadnienia związane z bezpieczeństwem zyskują na znaczeniu. Jak zatem możemy przejść do bardziej bezpiecznego modelu?

Lepszy sposób uwierzytelniania

Odpowiedź przygotowała FIDO Alliance. To grupa składająca się z przedstawicieli największych na świecie firm technologicznych: Lenovo (członek założyciel), Google, ARM, Bank of America, Intel, Microsoft, PayPal, Qualcomm czy Samsung, a to tylko część listy. Została utworzona z myślą o pionierskich pracach, mających na celu zbudowanie lepszych zabezpieczeń platform i urządzeń. FIDO twierdzi, że dni haseł są policzone.

Wszystko zaczęło się kiedy Lenovo przejęło Validity, firmę wytwarzającą czytniki linii papilarnych. Szef Validity nawiązał kontakt z kilkoma wielkimi firmami, w tym PayPal, w celu wykorzystania ich technologii do uwierzytelniania płatności. Pomysł opierał się na tym, że nie powinno mieć znaczenia, z jakiego urządzenia korzystamy, pod warunkiem że ma ono czujnik Validity – firma będzie w stanie uwierzytelnić płatność. Pomysł bardzo spodobał się PayPal. Pojawił się jednak pewien problem.

Jeśli PayPal porozumiałby się z Validity, musiałby także zrobić to z wszystkimi producentami czytników linii papilarnych. W owym czasie było to ok. 150–200 firm. Dla PayPal oznaczałoby to wiele czasu poświęconego na integrację oraz testowanie. Dlatego, oczywiście, nie było to brane pod uwagę.

Zamiast tego, Lenovo, PayPal oraz Validity stworzyły otwarty alians branżowy, którego celem była rewolucja w uwierzytelnianiu online. To właśnie FIDO, czyli Fast IDentity Online Alliance.

Co było wcześniej?

Zanim powstało FIDO, w obszarze uwierzytelniania panował chaos. Potrzebny był klient lub oprogramowanie zainstalowane na urządzeniu. Do wyboru były różne metody uwierzytelniania – hasło, token RSA, karta procesorowa lub czytnik linii papilarnych – które zapewniały uwierzytelnienie dla oprogramowania na tym kliencie. Oprogramowanie przesyłało sygnał do serwera, który brzmiał mniej więcej tak: ‘OK, to jest poprawne uwierzytelnienie dla Thorstena’. Niby proste, ale było z tym dużo problemów.

Do każdego uwierzytelniania konieczne było wdrożenie pewnego rodzaju rozwiązania programowego dla konkretnego sprzętu. Było to ograniczone do danego uwierzytelnienia i nie mogło być transferowane. Jeśli dostępne było rozwiązanie uwzględniające odczyt linii papilarnych, potrzebne było odpowiednie rozwiązanie uruchomione na serwerze, a także klient – podobnie z kartami procesorowymi czy tokenami RSA. Brakowało kompatybilności pomiędzy platformami, dlatego przełączanie pomiędzy urządzeniami było bardzo trudne.

Ponadto, utrudnione było użycie w wielu obszarach. Przykładowo, jeśli używałem karty procesorowej w firmie, nie mogłem jej używać w banku czy do płatności online w Amazon czy PayPal. Karta była powiązana z moim firmowym środowiskiem i nie można było tego zmienić.

Dlaczego FIDO jest lepsze?

FIDO Alliance tworzy klienta FIDO dla danej maszyny. Istnieje klient dla Androida, Windows oraz przeglądarki Chrome. Zamiast uwierzytelniania na bazie oprogramowania, które musi być zainstalowane na maszynie, Windows 10, Android oraz Chrome mają je wbudowane w dane systemowe. Kod FIDO może działać na dowolnym urządzeniu certyfikowanym przez FIDO. Obecnie jest dostępnych ponad 100 rozwiązań z certyfikatem FIDO, w tym m.in. karty procesorowe, czytniki linii papilarnych, tokeny RSA oraz oprogramowanie do identyfikacji tęczówki. Uwzględniane są zatem wszystkie możliwe zastosowania.

Jest bardziej bezpieczne i łatwiejsze w użyciu. Powiedzmy, że dokonuję uwierzytelnienia na podstawie lokalnego klienta FIDO na mojej maszynie. Klient FIDO wysyła tylko wiadomość do strony internetowej informującą, że uwierzytelnianie zakończyło się sukcesem. Dlatego nie potrzeba już żadnego hasła ani hashu hasła, które należałoby wysłać do serwera. Na żadnym serwerze uwierzytelniającym stron internetowych nie przechowuje się nic, co można by ponownie wykorzystać na innych stronach. Logowanie do Amazon czy Google polega na użyciu autentykatora FIDO do uwierzytelnienia na stronie. Następnie można wykorzystać dowolne urządzenie. To całkowicie eliminuje potrzebę używania haseł.

FIDO Alliance promuje dwa typy technologii uwierzytelniających: Universal Authentication Factors (UAF), która opiera się na biometrii, fizycznych tokenach i hasłach, oraz Universal Second Factor Authentication (U2F). Każda metoda uwierzytelniania ma słabe punkty – hasła można odgadnąć, karty procesorowe mogą zostać ukradzione, a biometria narażona jest w pewnych sytuacjach na oszustwa. Jednak połączenie ich, tak jak ma to miejsce w przypadku U2F, zapewnia wyższy poziom bezpieczeństwa.

Nasze bezpieczeństwo w sieci ma ogromne znaczenie – zarówno na poziomie prywatnym, jak i zawodowym. FIDO Alliance to najlepsza droga do tego, żeby nasze dane pozostały tylko nasze. Ja z pewnością nie będą opłakiwał odejścia haseł w niepamięć.