Na pierwszy czwartek maja przypada Światowy Dzień Hasła. Z tej okazji trzej giganci technologiczni ogłosili, że w najbliższych latach chcą całkowicie wyeliminować konieczność żmudnego wklepywania loginów i haseł.
Dla wielu z nas bezpieczeństwo haseł to najcięższy przypadek prokrastynacji. Niby wiemy, że musimy używać silniejszych, unikalnych haseł, ale zbyt często odkładamy ten problem na później. Zamiast po raz tysięczny przekonywać nas, że „QWERTY123456” nie jest bezpiecznym hasłem, Apple, Google i Microsoft postanowiły spróbować czegoś innego.
Trzy największe korporacje technologiczne ogłosiły plany współpracy nad wspólnym standardem bezhasłowej autoryzacji stworzonym przez FIDO Alliance i World Wide Web Consortium. Jeśli wszystko pójdzie zgodnie z planem, nowy system może całkowicie wyeliminować hasła, umożliwiając wygodniejsze logowanie się do aplikacji i witryn internetowych. Proces logowania się bez hasła pozwoli użytkownikom wybrać swój telefon jako główne urządzenie uwierzytelniające w aplikacjach, witrynach internetowych i innych usługach cyfrowych, jak Google szczegółowo opisał w opublikowanym w czwartek wpisie na blogu. Odblokowanie telefonu za pomocą dowolnej czynności ustawionej jako domyślna – wpisania kodu PIN, narysowania wzoru lub użycia danych biometrycznych – będzie wystarczające do zalogowania się do usług internetowych bez konieczności wpisywania hasła dzięki zastosowaniu unikatowego tokena kryptograficznego zwanego kluczem dostępu, który jest współdzielony między telefonem a witryną.
fot. fidoalliance.org
Zwłaszcza uwierzytelnianie biometryczne jest znacznie bezpieczniejszym sposobem zabezpieczania kont niż stosowanie hasła – firma Apple szacuje, że prawdopodobieństwo oszukania Face ID wynosi jeden na milion. To o kilka rzędów wielkości bezpieczniej niż logowanie się za pomocą hasła „password123”.
Firmy technologiczne zwracają uwagę na jeszcze jedną zaletę nowego systemu: wygodę. Standard FIDO umożliwia użytkownikom odnalezienie danych uwierzytelniających do logowania na swoich urządzeniach (także nowych) bez konieczności ponownego rejestrowania każdego konta. Ponadto użytkownik będzie mógł logować się na jednym urządzeniu za pomocą innego urządzenia znajdującego się w pobliżu – na przykład za pomocą telefonu iPhone będzie mógł zalogować się do konta na komputerze z systemem Windows – niezależnie od systemu operacyjnego, z którego korzysta każde z urządzeń.
Logując się do swoich kont za pomocą systemu FIDO, można uniknąć pułapek związanych ze słabymi i wielokrotnie używanymi hasłami. Jeśli hakerom uda się ominąć zabezpieczenia konta – a następnie użyć tych danych do uzyskania dostępu do innych kont, do których używasz tych samych haseł – może to doprowadzić do utraty prywatnych danych lub kradzieży tożsamości.
fot. blog.google
I chociaż dobrze jest zabezpieczyć swoje loginy za pomocą dobrego menedżera haseł, nawet to nie jest niezawodne, jeśli hasło główne jest słabe lub dane logowania powtarzają się w różnych miejscach sieci. Inne metody opracowane w celu ograniczenia tych zagrożeń, takie jak uwierzytelnianie dwuskładnikowe, również mogą zostać przejęte. Hakerzy wykorzystują tzw. ataki typu „SIM swap”, aby uzyskać dostęp do kodów odzyskiwania wysyłanych do użytkowników za pośrednictwem wiadomości SMS, co oznacza, że nawet metody zaprojektowane jako bezpieczne mogą zostać naruszone.
W komunikacie prasowym podano, że oprócz trzech najważniejszych firm technologicznych nad standardem pracowały „setki firm technologicznych i dostawców usług z całego świata”, co może doprowadzić do jego szerokiego przyjęcia w przyszłości. Choć nie ma jeszcze konkretnej daty wprowadzenia standardu, oczekuje się, że w ciągu najbliższego roku zostanie on wprowadzony w usługach firm Apple, Google i Microsoft.