A webes szabványok kidolgozásával foglalkozó World Wide Web Konzorcium (W3C) még 2016 elején fogott hozzá egy újfajta online autentikáció szabványosítás kidolgozásához, amely a tervek szerint biztonságosabb és rugalmasabb alternatívát kínál a jelszó alapú bejelentkezésnél. A W3C kezdeményezése a FIDO (Fast IDentity Online, FIDO Alliance) által fejlesztett webes API használatán alapul, ami erős kriptografikus műveletek használatára támaszkodik a jelszavak cserélgetése helyett.
Idén pedig sorra jelentek meg azok a böngészőverziók, amelyek valamilyen formában támogatták az időközben kidolgozott Web Authentication, röviden WebAuthn elnevezésű protokollt. A WebAuthn lényege, hogy könnyen bevezethető autentikációs megoldást kínál, legyen szó egy másodlagos faktorról vagy a jelszavas beléptetés teljes kivezetéséről. A Mozilla Firefox, a Google Chrome és a Microsoft Edge után pedig úgy tűnik, hogy az Apple-nél is előkészülnek a technológia integrálására.
Jelszómentes Safari
Az Apple WebKit csapatának tájékoztatása szerint a Safari Technology Preview 71-be kísérleti funkcióként bekerült a Web Authentication-támogatás, amellyel a honlapokra történő jelszavas belépést lehet kiváltani például USB-s biztonsági kulcsokkal. A kísérleti jelleg hangsúlyozása fontos, mert etttől még nem feltétlenül következik, hogy a funkció végül a széles körben kiadott végleges változatokban is megjelenik majd.
Ugyan az Apple elméletben támogatja a W3C törekvéseit, sőt több céges munkatárs is részt vesz a WebAuthn munkacsoportjaiban, ám Cupertino egyelőre hivatalosan nem erősítette meg, hogy a Google, a Microsoft és a Mozilla után beáll a sorba, és támogatja az új szabványt.
Közösen könnyebb
Az egységes fellépés az adatbiztonság szempontjából üdvözítő lenne, különösen egy olyan időszakban, amikor a nagyszabású internetes támadások, adatlopások heti rendszerességű eseménnyé váltak. Ha nem (csak) jelszavakon múlik az autentikációs folyamat, az kihúzhatja a sámlit az adathalász kísérletek alól, sőt a közbeékelődéses (man-in-the-middle) támadások vagy általában az ellopott személyes adatok problémáit is megoldaná, de minimum csökkentené ezek kockázatait.
A WebAuthn esetében például egy laptopról történő bejelentkezéskor a belépést a regisztráció során jóváhagyott okostelefonon kell megerősíteni, kiválasztva a felajánlott identitások közül a megfelelőt. A készüléket a felhasználó az oldalon meghatározott módon rendeli a saját profiljához (PIN, biometrikus azonosítás stb.), és ugyanezzel hitelesíti a későbbi belépéseket is. Az elvesztett eszközök hozzárendelése egyszerűen megszüntethető, de a szerver magától is törölheti a hosszú ideje inaktív profilokat.
Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak