Logowanie WebAuthn zastąpi nam hasła, o ile autorzy stron szybko je wprowadzą

Strona główna Aktualności
Hasła muszą odejść. Zastąpi je wygodniejszy, szybszy i bezpieczniejszy WebAuthn
Hasła muszą odejść. Zastąpi je wygodniejszy, szybszy i bezpieczniejszy WebAuthn

O autorze

Przyszłość bez wymyślania haseł, zapamiętywania lub przechowywania ich w programach zbliża się wielkimi krokami. Zakończyły się prace nad specyfikacją standardu WebAuthn, opisującego bezpieczną i łatwą metodę potwierdzania tożsamości na stronach internetowych z użyciem zabezpieczeń biometrycznych lub zewnętrznych kluczy.

Popularne przeglądarki internetowe implementują specyfikację WebAuthn już od kilku miesięcy. Firefox zaczął wprowadzać ją najwcześniej, bo w kwietniu 2018 roku. W jego ślady podążył Chrome, Microoft Edge i Apple Safari.

Odcisk palca zamiast hasła

WebAuthn przewiduje, że zamiast hasła będziemy używać odcisku palca na urządzeniach z czytnikiem linii papilarnych lub innych zabezpieczeń biometrycznych. Microsoft Edge może do logowania na strony wykorzystywać autoryzację Windows Hello. Standard przewiduje też możliwość logowania sprzętowym kluczem USB lub innym dodatkowym urządzeniem jak smartwatch. Metoda jest nie tylko bezpieczna, ale też wygodna. Dzięki niej usługi internetowe będą bardziej użyteczne dla konsumentów na całym świecie.

W marcu 2019 roku organizacja W3C czuwająca nad standardami wykorzystywanymi w internecie ogłosiła zakończenie prac nad nową metodą autoryzacji. Nad WebAuthn pracowała wspólnie z FIDO Alliance – organizacją tworzącą sprzętowe klucze autoryzujące, certyfikującą urządzenia i opracowującą standardy autoryzacji.

Teraz wszystko w rękach autorów stron, którzy mogą dopasować się do metody WebAuthn, ale nie muszą tego robić. W3C ponagla i podkreśla zalety nowych zabezpieczeń, które nie odziedziczyły po hasłach mnóstwa wad. Czytnik linii papilarnych znajduje się niemal w każdym współczesnym smartfonie, Android i iOS traktują te zabezpieczenia bardzo poważnie. Z drugiej strony nie ma ryzyka, że mimo licznych ostrzeżeń użytkownicy będą korzystać z haseł typu „mojehaslo”, „qwerty”, „ppp” bądź „1234”. WebAuthn ma nas zabezpieczyć przed atakami słownikowymi, wyciekami i innymi nieprzyjemnościami, łącznie z zapominaniem skomplikowanych haseł.

W3C jest też zdania, że autoryzacja dwuskładnikowa jest zbyt trudna dla przeciętnego użytkownika i za wolna dla firm. Według analizy producenta kluczy Yubico pracownicy spędzają prawie 11 godzin rocznie na podawaniu lub zmianie haseł.

© dobreprogramy