To może być koniec haseł

Wygląda na to, że krok po kroku zbliżamy się do momentu, w którym hasła odejdą na dobre w przeszłość. Przyczynią się do tego zapewne firmy Apple, Google i Microsoft, które ogłosiły w tym tygodniu początek współpracy, która ma na celu, aby oferowane przez platformy mobilne nie wymagały podawania haseł, zastępując tę technologię innymi mechanizmami uwierzytelniania użytkowników.

Grafika: Jack Moreh/freerangestock

Oznacza to, że uwierzytelnianie bez haseł pojawi pojawi się być może już niedługo w systemach operacyjnych Android i iOS, a w następnej kolejności w desktopowych środowiskach Windows i macOS. Proces logowania bez hasła pozwoli użytkownikowi używać swojego smartfona czy laptopa jako głównego urządzenia uwierzytelniającego go w aplikacjach, stronach internetowych i innych cyfrowych usługach.

Opcja taka będzie skonfigurowana domyślnie i użytkownik może wtedy zapomnieć o hasłach. Wystarczy że narysuje określony wzór lub przyłoży palec do czytnika linii papilarnych, generując wtedy unikalny token kryptograficzny. Pełni on rolę klucza dostępu, którym jest zna zarówno urządzenie końcowe (smartfon, tablet czy komputer) oraz druga strona, czyli witryna czy inne oprogramowanie pełniące rolę cyfrowej usługi.

Zobacz również:

  • Rosyjski botnet zaskoczył mocno ekspertów do spraw bezpieczeństwa
  • CEO i kadra kierownicza nie przywiązują uwagi do haseł
  • Dyrektor generalny Twittera oczekuje, że Elon Musk dokończy przejęcie

Taki bezhasłowy system utrudni bardzo życie hakerom. Nie będą oni w wtedy mogli zdalnie kraść danych logowania i znacznie trudniej będzie im przeprowadzać ataki phishingowe, w których użytkownicy są przekierowywani na fałszywe witryny internetowe celem przechwycenia hasła. Co ważne, dzięki takim kluczom dostępu, użytkownik może logować się do aplikacji lub usługi na prawie każdym urządzeniu, niezależnie od platformy lub używanej przez niego przeglądarki. I tak np. użytkownik może wtedy logować się używając przeglądarki Google Chrome działającej w systemie Microsoft Windows lub siedząc przed ekranem komputera MacOS.

Taką wieloplatformową, bezhasłową funkcjonalność można wdrażać dzięki standardowi FIDO, który wykorzystuje technologię kryptograficzną bazującą na kluczu publicznym, aby umożliwić uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe. Smartfon użytkownika może wtedy przechowywać unikalne hasło zgodne ze standardem FIDO i udostępniać je stronie internetowej w celu uwierzytelnienia go tylko wtedy, gdy smartfon jest odblokowany. Klucze dostępu tego typu mają jeszcze jedną zaletę. Można je łatwo zsynchronizować z nowym urządzeniem np. w przypadku zgubienia smartfona, sięgając po przechowywaną w chmurze kopię zapasową.

Chociaż wiele popularnych aplikacji wspiera już uwierzytelnianie FIDO, to warto zwrócić uwagę na fakt, że pierwsze, wstępne logowanie wymaga zawsze użycia hasła przed skonfigurowaniem FIDO. Oznacza to, że użytkownicy są nadal narażeni na ataki typu phishing, które pozwalają wykradać hasła. Nowa metoda nie przewiduje czegoś takiego.

Wszystkie trzy firmy (czyli Apple, Google i Microsoft) zapowiedziały już, że oczekują, iż nowe funkcje logowania będą dostępne na różnych platformach w przyszłym roku, chociaż nie ogłosiły szczegółowej mapy drogowej precyzującej dokładne, kiedy to nastąpi. Chociaż w minionych latach podejmowano wielokrotnie próby stworzenia bezhasłowego systemu uwierzytelniania, które za każdym razem spełzały na niczym, to wydaje się, że tym razem może on wreszcie powstać.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200