Протоколът FIDO2 съхранява ключа за удостоверяване само на устройството на потребителя в офлайн условия. Следователно, той е много по-сигурен, надежден и по-лесен за използване.
Актуализация 2 (13.08.19 @ 9:50 сутринта ET): Google пуска FIDO2 удостоверяване без парола за акаунти в Google на устройства с Android.
Актуализация 1 (7/5/19 @ 13:31 ET): Google има обяви общата наличност на тази нова функция, която ви позволява да използвате телефона си като защитен ключ за удостоверяване в две стъпки.
Животът в свят без пароли е бъдещето, за което много от технологичните ентусиасти мечтаят. Няма ETA или лента за напредъка относно пика на напредъка на тази технология, но пристигането й е неизбежно. Паролите са с дата, лесно се забравят и много често са несигурни, дори когато вземете допълнителни мерки като 2-факторно удостоверяване. Подобно на много големи предстоящи тенденции, Google също играе роля в тази. Това не трябва да е малко изненадващо, като се има предвид, че тази компания притежава най-популярната мобилна операционна система, уеб браузър и търсачка. Google работи върху разработването на тази технология с партньори като Microsoft и други технологични гиганти през последните няколко години. Вчера компанията направи още една голяма крачка към функцията без парола.
Алиансът FIDO обяви на Световния мобилен конгрес вчера, че Android вече е сертифициран по FIDO2. Ако не сте чували за тях преди, FIDO Alliance е асоциация, която работи върху и определя стандартите за удостоверяване без парола. Някои от членовете на алианса са Google, Facebook, GitHub, Dropbox, eBay и много други. Заедно с партньорите от цял свят, FIDO Alliance работи върху сертифицирането на FIDO2 през последните няколко години.
Освен очевидното удобство и подобрения в използваемостта спрямо обикновените датирани пароли, протоколът FIDO2 предлага и много по-добра сигурност. Виждате, традиционно удостоверяването чрез пароли работи по следния начин: както потребителят, така и услугата имат таен ключ, съхранен на сървъра и устройството. По време на процеса на удостоверяване потребителят изпраща паролата до сървъра, където тя се криптира и проверява спрямо съхранения ключ. Ако ключовете съвпадат, потребителят получава достъп до своя акаунт/съдържание. Сега този метод има голям недостатък: ключовете за удостоверяване се съхраняват на две различни места, което ги прави 2 пъти по-уязвими за атаки. Вярно е, че има методи, като криптиране от край до край, за предотвратяването им, но хакерите винаги измислят нови начини да използват тези очевидни недостатъци.
Протоколът FIDO2 съхранява ключа за удостоверяване само на устройството на потребителя в офлайн условия. Следователно, той е много по-сигурен, надежден и по-лесен за използване. Сертифицирането FIDO2 вече е достъпно за всички мобилни устройства, работещи с Android 7.0 Nougat или по-нова версия. Разработчиците на мобилни и уеб приложения вече могат да използват API, за да внедрят функцията в собствените си услуги.
Актуализация 2: Google Акаунти
Google започна да въвежда FIDO2 удостоверяване без парола за акаунти в Google на устройства с Android 7+, започвайки от днес с устройства Pixel. Потребителите могат да използват своя пръстов отпечатък или метод за заключване на екрана, вместо да въвеждат паролата си, когато посещават определени услуги на Google. Това означава, че потребителят може да регистрира своя пръст веднъж и да го използва за набор от собствени и уеб услуги. Пръстовият отпечатък никога не се изпраща до сървърите на Google.
За да го изпробвате точно сега, отидете на passwords.google.com, изберете сайт за преглед или управление на запазена парола и следвайте инструкциите, за да потвърдите самоличността си.
източник: Google