Santeri Viinamäki [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)], from Wikimedia Commons

Firefox i Chrome otrzymają wsparcie nowego, bezpieczniejszego standardu logowania – bez haseł

Konieczność zapamiętywania ogromnej liczby loginów i haseł do stron internetowych jest zapewne jednym z najbardziej uciążliwych aspektów naszej obecności w globalnej sieci. Jednym z rozwiązań są programy do zarządzania hasłami – dzięki temu, pamiętając jedno hasło, można używać wygodnie wszystkich pozostałych, bez względu na ich poziom skomplikowania. Nie sposób jednak uznać tego za rozwiązanie kompletne. Na szczęście być może menedżery haseł zyskają wkrótce alternatywę.

Alternatywa ta związana jest z dzisiejszym oficjalnym przyjęciem przez W3C i FIDO Alliance nowego standardu zabezpieczeń nazywającego się WebAuthn. Umożliwi on użycie sprzętowych kluczy USB w rodzaju YubiKey oraz metod biometrycznych zamiast klasycznego logowania się za pomocą loginu i hasła. Nie jest to oczywiście nic nowego – podobne metody logowania funkcjonują już w ograniczonym zakresie, najczęściej jako element logowania dwuskładnikowego. Do tej pory brakowało jednak dostępnego dla wszystkich standardu, umożliwiającego szersze wdrożenie tego typu zabezpieczeń – przez co na wdrożenie decydowali się jedynie duzi gracze, w rodzaju Facebooka czy Google. Dzięki WebAuthn podobne zabezpieczenia będzie można wbudować znacznie prościej w każdy serwis.

Praktyczne wdrożenie logowania poprzez WebAuthn znakomicie utrudni phishing – dzięki użyciu procedury kryptograficznej, zwanej „dowód z wiedzą zerową”, w trakcie logowania nie będą używane żadne ciągi znaków, które po przechwyceniu mogłyby być wykorzystane do zalogowania się bez naszej zgody – a jak wiemy, zabezpieczenia dodatkowymi kodami niejednokrotnie okazywały się niewystarczające.

Na chwilę obecną WebAuthn dostępny jest w ostatniej wersji przeglądarki Mozilla Firefox, jednak także przyszłe wersje Chrome oraz (podobno) Edge mają obsługiwać nowy standard. Być może wtedy, jak powiada Selena Deckelmann, odpowiedzialna za wdrożenie w Firefoxie, przejdziemy wszyscy logowanie sprzętowe i nastanie świat, w którym phishing będzie niemożliwy.

Czego wam i sobie też z całego serca życzę :)

Źródło: The Verge