Konsorcjum World Wide Web i Fido Alliance ogłaszają WebAuthn: co to znaczy?

Zazwyczaj przy tworzeniu nowego konta online nie ma tylu opcji. Oczywiście musisz utworzyć hasło, a dla większości osób oznacza to przejście jedną z dwóch tras - proste, łatwe do zapamiętania i/lub ponownie użyte hasło, które zagraża ich kontom; lub długie, trudne do odgadnięcia hasło, które utrudnia pisanie i jest trudne do zapamiętania. Nie trzeba dodawać, że obie opcje nie są idealnie idealne. Czy jest coś, co może zmienić obecny stan rzeczy? Cóż, jest i może gdzieś pójdzie.

WebAuthn - alternatywa bez hasła

WebAuthn, skrót od Web Authentication, to niezastrzeżony standard, który ułatwia komunikację między stronami internetowymi a urządzeniem zabezpieczającym. Dwa konsorcja internetowe, konsorcjum World Wide Web Consortium (WC3) i FIDO Alliance, pracują nad nim od kilku lat, ale koncepcja ta ma swoje korzenie w API Universal Authentication Factor (UAF) FIDO od 2014 roku.

Celem zarówno WebAuthn, jak i UAF jest zapewnienie nowego, bezpiecznego sposobu logowania na konta internetowe bez konieczności zapamiętywania lub wprowadzania jakichkolwiek haseł. Z różnych skomplikowanych powodów UAF nie wywarł wrażenia na naszym codziennym życiu, ale wydaje się, że WebAuthn może być po prostu inny.

W poniedziałek WC3 i FIDO ogłosiły, że WebAuthn jest teraz oficjalnym standardem internetowym. Mówiąc najprościej, oznacza to, że eksperci są wystarczająco pewni, aby zacząć doradzać twórcom stron internetowych i aplikacji, aby wdrożyli go w swoich produktach. Aby zrozumieć, jak to wszystko wpłynie na nas wszystkich, musimy przyjrzeć się, jak działa WebAuthn.

Jak działa WebAuthn?

Z punktu widzenia użytkownika rzeczy są dość proste. Chodzi o to, że zamiast wprowadzać nazwę użytkownika i hasło, albo używasz biometrycznych mechanizmów uwierzytelniania na komputerze lub smartfonie, albo używasz tokena sprzętowego, który można przenosić na breloczku i współpracuje z USB, NFC, Bluetooth lub podobny protokół komunikacyjny. W ogóle nie ma danych logowania, co brzmi jak atrakcyjna koncepcja. Ale co z aspektem bezpieczeństwa?

Chociaż proces jest prosty, za kulisami logowanie do WebAuthn jest dość złożoną operacją. Wszystko opiera się na kryptografii klucza publicznego (znanej również jako asymetryczna), co oznacza, że w grę wchodzą dwa klucze - publiczny i prywatny. Każde konto otrzymuje parę kluczy kryptograficznych, które komputer lub token sprzętowy generuje podczas rejestracji. Klucz publiczny jest wysyłany do usługodawcy, a prywatny jest przechowywany na twoim urządzeniu. Podczas próby zalogowania się dostawca usług wysyła wyzwanie, które urządzenie podpisuje i szyfruje za pomocą klucza prywatnego. Jedynym sposobem na odszyfrowanie wyzwania i zobaczenie podpisu jest klucz publiczny, dzięki któremu usługodawca wie, że jesteś tym, za kogo się podaje.

Ten schemat zapewnia więcej niż kilka korzyści bezpieczeństwa. Przede wszystkim logowanie wymaga dwóch kluczy przechowywanych w dwóch różnych lokalizacjach. Nawet jeśli oszustom uda się ukraść lub przechwycić Twój klucz publiczny, nie będą mogli się zalogować bez klucza prywatnego, który, jak pamiętasz, nigdy nie opuszcza twojego urządzenia.

Co więcej, w przeciwieństwie do haseł, kluczy kryptograficznych nie można zgadnąć, że są wypełnione, ponownie użyte lub wyłudzone. Innymi słowy, większość ataków, które tradycyjnie działają na hasła, nie jest skuteczna przeciwko schematowi WebAuthn.

Nowy standard sieciowy jest niezwykły, ponieważ jest jednym z niewielu przykładów innowacji technologicznej, która nie tylko poprawia użyteczność, ale także poprawia bezpieczeństwo.

Więc hasło jest martwe, prawda?

Chociaż na pewno jest to coś, na co czekamy, uważamy, że upadek hasła jest jeszcze daleko. Nikt nie ma wątpliwości, że technologia stojąca za WebAuthn jest solidna, ale nadal istnieją pewne przeszkody do pokonania.

Po pierwsze, WebAuthn jest standardem internetowym i choć to głupie, jak się wydaje, słowo „standard” w klasycznym znaczeniu jest trochę tabu w świecie online. Weź na przykład hasła. Używamy ich jako głównego mechanizmu logowania od dłuższego czasu, ale nawet teraz, kilkadziesiąt lat po ich pierwszym pojawieniu się, nadal nie możemy się zgodzić co do tego, co jest, a co nie jest silnym hasłem. W podobny sposób, pomimo oczywistych zalet, dostawcy nie wydają się znajdować na tej samej stronie, jeśli chodzi o szybkość wdrożenia WebAuthn.

Chrome Google był pierwszą przeglądarką obsługującą WebAuthn, ale dopiero kilka miesięcy później Firefox, kolejna znana marka w branży, wdrożyła go. Microsoft nie spieszył się z włączeniem WebAuthn do Edge, a Apple wciąż eksperymentuje ze wsparciem dla Safari. W mobilnym krajobrazie sytuacja nie różni się zbytnio. W zeszłym tygodniu FIDO ogłosiło, że już wkrótce wszystkie telefony i tablety z Androidem 7.0 lub nowszym będą certyfikowane przez FIDO. WebAuthn jest rdzeniem protokołu FIDO2, co oznacza, że urządzenia te będą skutecznie obsługiwać logowanie bez hasła. Niestety, nie widzieliśmy jeszcze żadnych informacji o tym, kiedy standard zostanie włączony do Apple iOS. I nawet jeśli wszyscy dostawcy popierają WebAuthn dla swoich nowszych urządzeń, nie można zignorować gór dawnych systemów, które pozostaną w tyle.

Oczywiście po przyjęciu go przez dostawców sprzętu wszyscy twórcy stron internetowych i aplikacji będą musieli wdrożyć go jako mechanizm logowania. Innymi słowy, WebAuthn raczej nie zastąpi hasła w najbliższym czasie. I dopóki tak się nie stanie, musisz upewnić się, że twoje konta są jak najlepiej chronione.

Najlepszym sposobem jest użycie aplikacji do zarządzania hasłami, takiej jak Cyclonis Password Manager. Dzięki niemu możesz tworzyć długie, złożone hasła bez obawy o ich zapamiętanie. W dzisiejszych czasach poleganie na tym przez mózg nie jest po prostu dobrym pomysłem, a najlepszą rzeczą w umożliwieniu Cyclonis Password Manager wykonania całej pracy jest to, że funkcje autouzupełniania i autologin rozszerzenia przeglądarki zapewnią dodatkową wygodę.