Koniec haseł coraz bliżej? W3C dołącza do prac nad nowymi metodami logowania
Metody weryfikowania tożsamości inne niż z wykorzystaniem hasła mogły zyskać większą popularność wraz z rozpowszechnianiem się biometrii w urządzeniach mobilnych, chodzi przede wszystkimi o czytniki linii papilarnych. O ile są one coraz częściej wykorzystywane do odblokowywania smartfonów, to wciąż brakuje szerokiej i ustandaryzowanej implementacji w przypadku stron i usług internetowych. Może się to wkrótce zmienić: w sprawę zaangażowała się organizacja W3C.
Swoją działalność rozpoczął już zespół Web Authentication Working Group. We współpracy między innymi z ekspertami Mozilli czy Microsoftu, grupa ma zamiar opracować wykorzystującą szyfrowanie asymetryczne (więcej niż jednej klucz) metodę weryfikacji tożsamości, która pozwoli na całkowite zrezygnowanie z haseł, bądź, w zależności od woli administratorów danej usługi, sprowadzenia ich funkcji do dodatkowego czynnika weryfikacyjnego.
Punktem wyjścia ma być specyfikacja standardu FIDO 2.0. Można zatem zakładać, że do logowania będą wykorzystywane dane przechowywane lokalnie, do których będzie miała dostęp przeglądarka po wcześniejszym wyrażeniu zgody przez użytkownika. Może w tym przypadku chodzić zarówno o dane biometryczne, jak choćby wspomniane odciski linii papilarnych, jak i matematyczne potwierdzenia tożsamości, na przykład w postaci podpisu cyfrowego.
Nie chodzi zatem o stworzenie całkowicie nowatorskiej koncepcji, a raczej o adaptacje reguł składających się na standard FIDO 2.0, zarówno w kwestii podpisu, jak i WebAPI. W3C deklaruje, że standard nie będzie obejmował konkretnych interfejsów, co ma dać większą swobodę twórcom przeglądarkowych aplikacji. Celem nowego zespołu przy W3C jest zatem w praktyce implementacja i popularyzacja weryfikacji opartej na konkretnym urządzeniu. Organizacja deklaruje także, że pierwsze efekty jej pracy mają zostać poddane testom jeszcze w tym roku.
