Η Κοινοπραξία World Wide Web και η Fido Alliance Ανακοινώνουν το WebAuthn: Τι σημαίνει αυτό;

Συνήθως, δεν δημιουργείτε πολλές επιλογές όταν δημιουργείτε έναν νέο λογαριασμό στο διαδίκτυο. Είναι προφανές ότι πρέπει να δημιουργήσετε έναν κωδικό πρόσβασης και για τους περισσότερους ανθρώπους αυτό σημαίνει να κατεβείτε μία από τις δύο διαδρομές - έναν απλό, εύκολο στην ανάγνωση και/ή επαναχρησιμοποίηση κωδικό πρόσβασης που θέτει τους λογαριασμούς σε κίνδυνο. ή ένα μακρύ, δύσκολο να μαντέψει κωδικό πρόσβασης, που είναι ενοχλητικό να πληκτρολογήσετε και ένα άλγος που πρέπει να θυμάστε. Δεν πρέπει να πω ότι και οι δύο επιλογές δεν είναι ιδανικές. Υπάρχει λοιπόν κάτι που μπορεί να αλλάξει τον τρόπο με τον οποίο βρίσκονται τα πράγματα αυτή τη στιγμή; Λοιπόν, υπάρχει, και μπορεί να πάει κάπου.

WebAuthn - η εναλλακτική λύση χωρίς κωδικό πρόσβασης

Το WebAuthn, σύντομο για έλεγχο ταυτότητας στο Web, είναι ένα μη αποκλειστικό πρότυπο που διευκολύνει την επικοινωνία μεταξύ ιστότοπων και συσκευής ασφαλείας. Δύο διαδικτυακές κοινοπραξίες, το World Wide Web Consortium (WC3) και η FIDO Alliance, εργάζονται πάνω σε αυτό για τα τελευταία χρόνια, αλλά η ιδέα μπορεί να εντοπίσει τις ρίζες της στο API του Universal Authentication Factor (UAF) της FIDO Alliance από το 2014.

Ο στόχος τόσο του WebAuthn όσο και του UAF είναι να παράσχει έναν νέο, ασφαλή τρόπο σύνδεσης σε ηλεκτρονικούς λογαριασμούς χωρίς να χρειάζεται να θυμάστε ή να εισάγετε κωδικούς πρόσβασης. Για πολλούς περίπλοκους λόγους, η UAF δεν κατάφερε να κάνει μια εντύπωση στην καθημερινότητά μας, αλλά φαίνεται ότι το WebAuthn μπορεί να είναι διαφορετικό.

Τη Δευτέρα, τα WC3 και FIDO ανακοίνωσαν ότι το WebAuthn είναι πλέον ένα επίσημο πρότυπο ιστού. Με απλά λόγια, αυτό σημαίνει ότι οι εμπειρογνώμονες είναι αρκετά αυτοπεποίθηση για να αρχίσουν να παρέχουν συμβουλές στους προγραμματιστές Ιστού και εφαρμογών για να το εφαρμόσουν στα προϊόντα τους. Για να καταλάβουμε πώς όλα αυτά θα μας επηρεάσουν όλους, πρέπει να ρίξουμε μια ματιά στο πώς λειτουργεί το WebAuthn.

Πώς λειτουργεί το WebAuthn;

Από την οπτική γωνία του χρήστη, τα πράγματα είναι αρκετά απλά. Η ιδέα είναι ότι αντί να εισαγάγετε ένα όνομα χρήστη και έναν κωδικό πρόσβασης, χρησιμοποιείτε είτε τους βιομετρικούς μηχανισμούς επαλήθευσης ταυτότητας στον υπολογιστή είτε το smartphone σας, είτε χρησιμοποιείτε ένα διακριτικό υλικού που μπορεί να μεταφερθεί σε δακτύλιο κλειδιού και λειτουργεί με USB, NFC, Bluetooth ή ένα παρόμοιο πρωτόκολλο επικοινωνίας. Δεν υπάρχουν καθόλου διαπιστευτήρια σύνδεσης, τα οποία μοιάζουν με μια ελκυστική ιδέα. Αλλά τι γίνεται με την πτυχή της ασφάλειας;

Ενώ η διαδικασία είναι απλή στο προσκήνιο, πίσω από τις σκηνές, η σύνδεση στο WebAuthn είναι μια αρκετά περίπλοκη λειτουργία. Όλα βασίζονται σε κρυπτογράφηση δημόσιου κλειδιού (γνωστή και ως ασύμμετρη), που σημαίνει ότι εμπλέκονται δύο κλειδιά - δημόσια και ιδιωτικά. Κάθε ένας από τους λογαριασμούς σας αποκτά ένα ζευγάρι κρυπτογραφικών κλειδιών τα οποία δημιουργεί ο υπολογιστής σας ή το διακριτικό του υλικού κατά την εγγραφή. Το δημόσιο κλειδί αποστέλλεται στον πάροχο υπηρεσιών και το ιδιωτικό κλειδί αποθηκεύεται στη συσκευή σας. Όταν προσπαθείτε να συνδεθείτε, ο πάροχος υπηρεσιών στέλνει μια πρόκληση την οποία η συσκευή σας υπογράφει και κρυπτογραφεί με το ιδιωτικό σας κλειδί. Ο μόνος τρόπος για να αποκρυπτογραφήσετε την πρόκληση και να δείτε την υπογραφή είναι με το δημόσιο κλειδί σας, που είναι ο τρόπος με τον οποίο ο πάροχος υπηρεσιών γνωρίζει ότι είστε εσείς που λέτε ότι είστε.

Υπάρχουν περισσότερα από λίγα οφέλη για την ασφάλεια αυτού του συστήματος. Πρώτα απ 'όλα, η εγγραφή απαιτεί δύο κλειδιά αποθηκευμένα σε δύο διαφορετικές τοποθεσίες. Ακόμα κι αν οι απατεώνες κατά κάποιο τρόπο καταφέρνουν να κλέψουν ή να υποκλέψουν το δημόσιο κλειδί σας, δεν θα έχουν κανέναν τρόπο να συνδεθούν χωρίς την ιδιωτική που, όπως ίσως θυμηθείτε, δεν αφήνει ποτέ τη συσκευή σας.

Επιπλέον, σε αντίθεση με τους κωδικούς πρόσβασης, τα κρυπτογραφικά κλειδιά δεν μπορούν να μπερδευτούν, γεμισμένα, επαναχρησιμοποιημένα ή ψευδή. Με άλλα λόγια, οι περισσότερες από τις επιθέσεις που παραδοσιακά λειτουργούν στους κωδικούς πρόσβασης δεν είναι αποτελεσματικές κατά ενός προγράμματος WebAuthn.

Το νέο πρότυπο διαδικτύου είναι αξιοσημείωτο επειδή είναι ένα από τα λίγα παραδείγματα μιας τεχνολογικής καινοτομίας που όχι μόνο βελτιώνει τη χρηστικότητα αλλά και οδηγεί σε καλύτερη ασφάλεια.

Έτσι, ο κωδικός είναι νεκρός, λοιπόν, σωστά;

Παρόλο που είναι σίγουρα κάτι που μπορούμε να περιμένουμε, πιστεύουμε ότι η κατάργηση του κωδικού πρόσβασης είναι ακόμα πολύ μακριά. Δεν υπάρχει καμία αμφιβολία στο μυαλό κάποιου ότι η τεχνολογία πίσω από το WebAuthn είναι καλή, αλλά εξακολουθούν να υπάρχουν κάποια εμπόδια για να ξεπεραστούν.

Για ένα, το WebAuthn είναι ένα πρότυπο διαδικτύου και, όπως και ανόητο, η λέξη "standard" στην κλασική του έννοια είναι ένα κομμάτι του ταμπού στον online κόσμο. Πάρτε τους κωδικούς πρόσβασης, για παράδειγμα. Τους χρησιμοποιήσαμε ως κύριο μηχανισμό σύνδεσης για αρκετό διάστημα, αλλά ακόμη και τώρα, δεκαετίες μετά την πρώτη εμφάνισή τους, δεν μπορούμε να συμφωνήσουμε σε τι είναι και τι δεν είναι ισχυρός κωδικός πρόσβασης. Με τον ίδιο ακριβώς τρόπο, παρά τα προφανή πλεονεκτήματα, οι πωλητές δεν φαίνεται να βρίσκονται στην ίδια σελίδα όταν πρόκειται για το πόσο γρήγορα πρέπει να εφαρμοστεί το WebAuthn.

Το Chrome του Google ήταν το πρώτο πρόγραμμα περιήγησης που υποστηρίζει το WebAuthn, αλλά δεν έγινε μερικούς μήνες αργότερα που το Firefox, ένα άλλο μεγάλο όνομα στον κλάδο, το υλοποίησε. Η Microsoft πήρε το γλυκό χρόνο της ενσωματώνοντας το WebAuthn στην άκρη, και η Apple εξακολουθεί να πειραματίζεται με την υποστήριξη για το Safari. Η κατάσταση δεν είναι πολύ διαφορετική στο κινητό τοπίο. Την περασμένη εβδομάδα, η FIDO ανακοίνωσε ότι πολύ σύντομα, όλα τα τηλέφωνα και τα tablet που χρησιμοποιούν Android 7.0 ή νεότερη έκδοση θα πιστοποιούνται με FIDO. Το WebAuthn βρίσκεται στον πυρήνα του πρωτοκόλλου FIDO2, πράγμα που σημαίνει ότι αυτές οι συσκευές θα υποστηρίζουν αποτελεσματικά την κωδική σύνδεση χωρίς κωδικό πρόσβασης. Δυστυχώς, δεν έχουμε δει ακόμα πληροφορίες για το πότε θα ενσωματωθεί το πρότυπο στο iOS της Apple. Και ακόμα κι αν όλοι οι πωλητές αγκαλιάσουν το WebAuthn για τις νεότερες συσκευές τους, δεν μπορείτε να αγνοήσετε τα βουνά των παλαιών συστημάτων που θα μείνουν πίσω.

Φυσικά, αφού υιοθετήσουν οι πωλητές υλικού, οι υπεύθυνοι ανάπτυξης ιστοσελίδων και εφαρμογών θα πρέπει όλοι να το εφαρμόσουν ως μηχανισμό σύνδεσης. Με άλλα λόγια, το WebAuthn είναι απίθανο να αντικαταστήσει πλήρως τον κωδικό πρόσβασης οποτεδήποτε σύντομα. Και μέχρι να το κάνει, θα πρέπει να βεβαιωθείτε ότι οι λογαριασμοί σας είναι όσο το δυνατόν πιο προστατευμένοι.

Χρησιμοποιώντας μια εφαρμογή διαχείρισης κωδικού πρόσβασης όπως το Cyclonis Password Manager είναι ο καλύτερος τρόπος να το κάνετε. Με αυτό, μπορείτε να δημιουργήσετε μακρούς, σύνθετους κωδικούς πρόσβασης χωρίς να ανησυχείτε για τη μνήμη τους. Σε αυτή την εποχή, η βασιζόμενη στον εγκέφαλό σας για να γίνει αυτό δεν είναι απλά μια καλή ιδέα και το καλύτερο πράγμα για να αφήσετε το Cyclonis Password Manager να κάνει όλη τη δουλειά για σας είναι ότι οι λειτουργίες αυτόματης συμπλήρωσης και autologin της επέκτασης του προγράμματος περιήγησης θα φέρουν επιπλέον ευκολία.