Google přináší přístupové klíče pro Android i Google Chrome v souladu se standardy FIDO. Podívejte se, co to znamená!
Hesla, i když jsou pohodlná, mají ze své podstaty chyby v tom, jak je lze zneužít. Pokud někdo získá vaše heslo, což je jediný faktor ověření, může často získat přístup k vašim online účtům. To je důvod, proč máme rádi dvoufaktorové ověřování, které kombinuje něco, co znáte, s něčím, co máte, jako je váš smartphone. Nicméně v případě, že používáte něco jako SMS kód, někdo by teoreticky mohl podvrhnout vaše telefonní číslo a vzít si tento kód. Není to zcela bezpečné a pro potenciálního útočníka existuje několik potenciálních vstupních bodů. Proto jsou důležité přístupové klíče, o kterých Google oznámil, že je přináší do Androidu i Google Chrome.
Dříve v tomto roce, Oznámily to Apple, Google a Microsoft že do příštího roku přijmou standard FIDO pro přístupové klíče na všech hlavních platformách. Díky tomu by se přihlašování bez hesla stalo na internetu běžnějším. Jak to funguje, je jednoduché – na Androidu promění váš smartphone v přístupový klíč, který lze použít k přihlášení na web. Tyto přístupové klíče jsou poté synchronizovány prostřednictvím Správce hesel Google, aby k nim byl snadný přístup napříč vašimi zařízeními a také ve vašem počítači. I když to začne s podporou pouze pro webové stránky, myšlenkou je, že ji vývojáři budou moci implementovat jejich aplikace a dokonce podporují přístupové klíče, které již mohly být použity k přihlášení ke stejné službě uživatele prohlížeč.
V případě, že se obáváte uzamčení ekosystému, Google ujistil uživatele, že tomu tak nebude, protože jsou postaveni na průmyslových standardech. Přístupové klíče jsou nezávislé na platformě, což znamená, že se můžete dokonce přihlásit ke službám, které podporují přístupové klíče, pomocí počítače Mac se systémem Safari. Zobrazí se vám QR kód, který naskenujete na smartphonu Android. Totéž bude fungovat opačně s přístupovým klíčem uloženým v iPhone pro přihlášení ke službám v Google Chrome.
Přístupové klíče umožňují, aby se bez klíče uloženého ve vašem účtu nebo v telefonu nikdo nemohl přihlásit k žádnému z vašich online účtů – bez ohledu na to, jak moc se snaží. Neexistuje žádné telefonní číslo, které by se dalo podvrhnout, co by se dalo ukrást (pokud vám neukradnou telefon a přihlaste se) a žádné heslo k prolomení. Jednoduše se nebudou moci dostat dovnitř, pokud nebudou schopni přesvědčit poskytovatele služeb, aby je poskytl přístup – v takovém případě to byl vždy zranitelný vstupní bod pro jakýkoli účet, který jste používali tak jako tak.
Pokud si to chcete vyzkoušet, vývojáři se mohou přihlásit do Beta verze Služeb Google Play a používat Chrome Canary, protože stabilní zavedení se očekává koncem tohoto roku. WebAuthn API lze implementovat na webové stránky kvůli kompatibilitě s přístupovými klíči v Google Chrome, Androidu a dalších platformách. Očekává se také, že koncem tohoto roku bude uvolněno API pro nativní aplikace pro Android.
Zdroj: Google