A barcelonai Mobile World Congress bejelentéscunamijának egyik biztonsági vonatkozású eleme volt a Google tegnapi híre, miszerint az Android mobil operációs rendszer megszerezte a FIDO2-tanúsítványt.

A Nugáttól felfelé biztosítva vannak

Amennyiben telefonunkon legalább 7-es (polgári nevén Nugát) verziójú Android fut és frissítettük a Google Play Services csomagot, akkor máris kihasználhatjuk a technológia nyújtotta kényelmet. Pontosabban az alkalmazások fejlesztői lesznek képesek arra, hogy olyan programokat írjanak, ahol nem szükséges jelszavakkal bíbelődni a felhasználónak, mert az alternatívaként bevetett azonosítási megoldások magasabb szintű védelmet adnak.

A FIDO2 (Fast IDentity Online) protokoll egy sor eljárás gyűjteménye, amelyek együttesen képesek garantálni a beléptetés biztonságát anélkül, hogy nehezen megjegyezhető, ám mégis könnyen feltörhető betű- és számsorokra támaszkodnánk. A  szabvány erejét a World Wide Web Consortium (W3C) WebAuthn és a FIDO Client-to-Authenticator (CTAP) protokollja adja.

A FIDO2 azonosítási folyamata

A webes szabványok kidolgozásával foglalkozó, magyarországi tagirodával is rendelkező W3C még 2016 februárjában fogott hozzá egy újfajta online autentikáció szabványosításának. Ebben nagy szerep jut a FIDO Alliance által fejlesztett webes API használatának, ami erős kriptografikus műveletek használatára támaszkodik a jelszavak cserélgetése helyett.

Mindenkinek* jobb lesz (*majdnem)

Az eljárás lényege, hogy a legkisebb szervezetek számára is könnyen bevezethető autentikációs megoldást kínáljon, legyen szó egy másodlagos faktorról vagy a jelszavas beléptetés teljes kivezetéséről. Ez utóbbi kihúzná a sámlit az adathalász kísérletek alól, de a közbeékelődéses (man-in-the-middle) támadások vagy általában az ellopott személyes adatok problémáit is megoldaná. Az új rendszerben ugyanis nem igazán lesz semmi, amit el lehetne lopni: az autentikációhoz szükséges kulcsok csak az adott belépéskor érvényesek, ráadásul az azonosítási folyamat a felhasználó által visszaigazolt készülékekről végezhető el.

Praktikusan mindez azt jelenti, hogy a megfelelő biometrikus azonosítási rendszerrel rendelkező androidos mobilok tulajdonosai a jövőben egy sor alkalmazásban is tudják majd azonosítani magukat például az ujjlenyomat-olvasó használatával. Ez pedig rossz hír a hekkerek számára, akiknek így sokkal nehezebb dolguk lesz, mint ha jelszavakkal lehetne "dolgozniuk".