Pár napja jelentette be az Apple, a Google és a Microsoft, hogy leszámolnak a jelszavakkal. Pontosabban: hamarosan támogatják azt a FIDO által kidogozott hitelesítési megközelítést, amely jelszavak helyett okostelefonnal azonosítja a felhasználót. Nagyjából valami olyasmit kell elképzelni, mint a mobilos NFC-alapú fizetésnél: ha valaki feloldja a telefonja képernyőjét (biometrikus azonosítóval, PIN-nel, rajzolt ábrával), azzal aktiválja a fizetési alkalmazásában tárolt bank- vagy hitelkártyát, és nincs is további azonosításra szükség.

A Brian Krebs összegyűjtötte vélemények alapján a biztonsági szakértők többsége pozitívan értékeli az új FIDO-szabványt. Már az is nagyban növeli a biztonságot, és csökkenti az adathalász támadások esélyét, hogy a mobilos azonosítás megszabadítja a felhasználókat a jelszóparától, tudniillik attól, hogy kismillió jelszót kellene észben tartaniuk vagy biztonságosan tárolniuk valamilyen jelszókezelőben. De csodát senki sem vár: az általános jelszómentesség még nagyon távoli.

A FIDO (Fast Identity Online) Alliance és a World Wide Web Consortium (W3C) által kidolgozott jelszó nélküli bejelentkezési szabvány végleges változatát márciusban adták ki. A szövetség szerint a több száz technológiai cég közreműködésével kidogozott azonosítási módszer még a hagyományos többfaktoros technológiákhoz, például az SMS-ben küldött egyszeri jelszavakhoz képest is jóval biztonságosabb, azoknál ugyanis nagy a sikeres adathalász-támadások kockázata.

Az új rendszerben a telefon egy "passkey" nevű FIDO hitelesítő adatot fog tárolni (ez az Apple-nél már működik), amelyet az online fiók feloldásához használnak. A biztonságot az növeli, hogy a jelkulcs nyilvános kulcsú titkosításon alapul, és csak akkor jelenik meg az online fiókban, amikor annak tulajdonosa feloldja a telefonját. A FIDO elnöke, Sampath Srinivas (aki nem mellesleg a Google biztonsági hitelesítésért felelős igazgatója) azt hangsúlyozta, hogy egy weboldalnál csak annak megnyitásakor kell így azonosítania magát a felhasználónak. Után már elég a számítógépet feloldania mindaddig, amíg az adott weboldalt nem lövi ki.

Már van ilyen, de nem kényelmes

Mint a szakértők felhívják a figyelmet, az Apple-nek, a Google-nek és a Microsoftnak is van már jelszó nélküli szabványa (végső soron ilyen a Sign in with Google is), de ehhez minden weboldalon el kell végezni a regisztrációt. Az új módszernél viszont automatikusan elérhető a szolgáltatás, többé-kevésbé eszköztől és szolgáltatástól függetlenül.

Abban szinte mindenki egyetért, hogy a módszer valóban forradalmasíthatja a felhasználóazonosítás folyamatát. De mint mindennek, ennek is vannak hátulütői, melyekre maga a szabvány nem, csak az implementációi adhatnak megoldást. Az internet nagy öregje, Steve Bellovin (a Columbia egyetem professzora volt az ötletgazdája és egyik fejlesztője a USENET-nek) például egy nagyon is hétköznapi kérdést vetett fel: mi történik, ha valakinek elveszik vagy tönkremegy a mobilja, és nem tudja felidézni valamelyik fontos szolgáltatás eléréséhez szükséget jelszavát? A professzor szerint ezzel együtt hatalmas előrelépés az új szabvány, még ha évek is kellenek az elterjedéséhez.

A Bellovin felvetette probléma viszont teljesen valós, hiszen nagyon sokan már nem is használnak PC-t, mivel a digitális térben a mobiljukkal is maradéktalanul elérhetnek bármilyen számukra fontos online funkciót, szolgáltatást. Ha van felhős mentés, és automatikus szinkronizálás, az segít, mondja a Google, mivel az új készüléken ugyanúgy fog menni minden, mint az ehagyott/elromlott telefonon. Csakhogy ez komoly biztonsági kockázat, vetik ellen a biztonsági szakértők. Sokuk szerint továbbra is szükség lesz helyreállítási mechanizmusokra, mondjuk egy "elvesztetted a telefonodat?" típusú forgatókönyvre. Ez azonban csökkentené az új szabvány hatékonyságát, hiszen a legtöbb mai azonosítási szisztémának is ez a visszaállítási mechanizmus az egyik leggyengébb pontja.