A webes szabványok kidolgozásával foglalkozó World Wide Web Konzorcium (W3C) még 2016 elején fogott hozzá egy újfajta online autentikáció szabványosítás kidolgozásához, amely a tervek szerint biztonságosabb és rugalmasabb alternatívát kínál a jelszó alapú bejelentkezésnél. A W3C kezdeményezése a FIDO (Fast IDentity Online, FIDO Alliance) által fejlesztett webes API használatán alapul, ami erős kriptografikus műveletek használatára támaszkodik a jelszavak cserélgetése helyett.

Idén pedig sorra jelentek meg azok a böngészőverziók, amelyek valamilyen formában támogatták az időközben kidolgozott Web Authentication, röviden WebAuthn elnevezésű protokollt. A WebAuthn lényege, hogy könnyen bevezethető autentikációs megoldást kínál, legyen szó egy másodlagos faktorról vagy a jelszavas beléptetés teljes kivezetéséről. A Mozilla Firefox, a Google Chrome és a Microsoft Edge után pedig úgy tűnik, hogy az Apple-nél is előkészülnek a technológia integrálására.

Jelszómentes Safari

Az Apple WebKit csapatának tájékoztatása szerint a Safari Technology Preview 71-be kísérleti funkcióként bekerült a Web Authentication-támogatás, amellyel a honlapokra történő jelszavas belépést lehet kiváltani például USB-s biztonsági kulcsokkal. A kísérleti jelleg hangsúlyozása fontos, mert etttől még nem feltétlenül következik, hogy a funkció végül a széles körben kiadott végleges változatokban is megjelenik majd.

Ugyan az Apple elméletben támogatja a W3C törekvéseit, sőt több céges munkatárs is részt vesz a WebAuthn munkacsoportjaiban, ám Cupertino egyelőre hivatalosan nem erősítette meg, hogy a Google, a Microsoft és a Mozilla után beáll a sorba, és támogatja az új szabványt.

Közösen könnyebb

Az egységes fellépés az adatbiztonság szempontjából üdvözítő lenne, különösen egy olyan időszakban, amikor a nagyszabású internetes támadások, adatlopások heti rendszerességű eseménnyé váltak. Ha nem (csak) jelszavakon múlik az autentikációs folyamat, az kihúzhatja a sámlit az adathalász kísérletek alól, sőt a közbeékelődéses (man-in-the-middle) támadások vagy általában az ellopott személyes adatok problémáit is megoldaná, de minimum csökkentené ezek kockázatait.

A WebAuthn esetében például egy laptopról történő bejelentkezéskor a belépést a regisztráció során jóváhagyott okostelefonon kell megerősíteni, kiválasztva a felajánlott identitások közül a megfelelőt. A készüléket a felhasználó az oldalon meghatározott módon rendeli a saját profiljához (PIN, biometrikus azonosítás stb.), és ugyanezzel hitelesíti a későbbi belépéseket is. Az elvesztett eszközök hozzárendelése egyszerűen megszüntethető, de a szerver magától is törölheti a hosszú ideje inaktív profilokat.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »