A webes szabványok kidolgozásával foglalkozó, magyarországi tagirodával is rendelkező World Wide Web Consortium (W3C) még 2016 februárjában fogott hozzá egy újfajta online autentikáció szabványosításának, amely a szervezet akkori közleménye szerint biztonságosabb és rugalmasabb alternatívát kínál a jelszó alapú bejelentkezésnél. Erről a problémáról amúgy is egyre több szó esett az elmúlt évek során: a jelszavas azonosítás lassan technológiai és felhasználói szempontból is túlhaladottá válik. (A több faktoros azonosítással kapcsolatos érdekes kísérletekről időnként mi is beszámolunk.)

A jelszavas megoldások felhasználói oldalról is kifejezetten idegesítővé válnak, ahogy a szerteágazó online identitások egy nagy csomó jelszó megjegyzését és kezelését feltételezik. A biztonsági követelmények alapján mindenkinek különböző, hosszú és nehezen megfejthető (egyúttal nehezen memorizálható) kódokat kellene rendszeresen cserélgetnie, amire nem mindenki hajlandó. A jelszókezelők vagy az egyetlen fiókra épülő bejelentkezések sem sokat segítenek, pláne, hogy az erős jelszavakat is el lehet lopni vagy ki lehet csalni egy adathalász támadás során.

Fontos épés a jó irányba

A W3C kezdeményezése a FIDO (Fast IDentity Online, FIDO Alliance) által fejlesztett webes API használatán alapul, ami erős kriptografikus műveletek használatára támaszkodik a jelszavak cserélgetése helyett. A szabványosítási törekvések mögé a legnépszerűbb webes böngészőket fejlesztő szervezetek, így a Google, a Mozilla, a Microsoft és az Apple is beálltak. A Firefox legfrissebb verziója már támogatja a WebAuthn nevű protokollt, és ugyanígy támogatni fogja a Chrome és az Edge következő kiadása. A FIDO eljárása egyébként is használatban van, mások mellett ezt a szabványt alkalmazzák a Facebook, a Gmail, a Dropbox, a Salesforce, a GitHub és egyéb szolgáltatások által is adaptált Yubikey tokenek.

A WebAuthn lényege, hogy a legkisebb szervezetek számára is könnyen bevezethető autentikációs megoldást kínáljon, legyen szó egy másodlagos faktorról vagy a jelszavas beléptetés teljes kivezetéséről. Ez utóbbi kihúzná a sámlit az adathalász kísérletek alól, de a közbeékelődéses (man-in-the-middle) támadások vagy általában az ellopott személyes adatok problémáit is megoldaná. Az új rendszerben ugyanis nem igazán lesz semmi, amit el lehetne lopni: az autentikációhoz szükséges kulcsok csak az adott belépéskor érvényesek, ráadásul az azonosítási folyamat a felhasználó által visszaigazolt készülékekről végezhető el.

A w3.org oldalon található részletes specifikációban példákat is találhatunk az eljárásra. Ennek alapján egy laptopról úgy nézne ki a bejelentkezés a kiválasztott weboldalra, hogy a belépést a regisztráció során jóváhagyott okostelefonon kell megerősíteni, kiválasztva a felajánlott identitások közül a megfelelőt. A készüléket a felhasználó az oldalon meghatározott módon rendeli a saját profiljához (PIN, biometrikus azonosítás stb.), és ugyanezzel hitelesíti a későbbi belépéseket is. Az elvesztett eszközök hozzárendelése egyszerűen megszüntethető, de a szerver magától is töröheti a hosszú ideje inaktív profilokat.

A WebAuthn egyelőre még nem jött ki semmilyen véglegesített kiadással, de már a jelölt ajánlás (Candidate Recommendation) készültségben van, amelynek alapján elkészülhetnek a legelső gyakorlati implementációk. A W3C szabványai a munkavázlat (Working Draft) és az utolsó hívás (Last Call) fázisok után kapják meg a jelölt ajánlást, amit végül a tervezett ajánlás (Proposed Recommendation) követ, a gyártókra bízva az adott szabvány alkalmazását. Ahogy azt a beszámolók hangsúlyozzák, nincsenek golyóálló biztonsági eljárások, így idővel a WebAuthn megközelítésén is biztosan változtatni kell majd – a szakértők mindenesetre fontos lépésnek tartják az új technikát, ami ha másra nem is lesz jó, de a jelszavak egyre nyomasztóbb problémáit véglegesen megoldhatja.