FIDO2 protokol pohranjuje autentifikacijski ključ samo na korisnikov uređaj u offline uvjetima. Stoga je mnogo sigurniji, pouzdaniji i lakši za korištenje.
Ažuriranje 2 (13.8.19. @ 9:50 ET): Google uvodi FIDO2 autentifikaciju bez lozinke za Google račune na Android uređajima.
Ažuriranje 1 (7.5.19. u 13:31 ET): Google ima najavio opću dostupnost ove nove značajke, koja vam omogućuje korištenje telefona kao sigurnosnog ključa za autentifikaciju u dva koraka.
Život u svijetu bez lozinki budućnost je o kojoj sanjaju mnogi tehnološki entuzijasti. Ne postoji ETA ili traka napretka o vrhuncu napretka ove tehnologije, ali njezin je dolazak neizbježan. Lozinke su zastarjele, lako se zaboravljaju i vrlo često nesigurne, čak i kada poduzmete dodatne mjere poput 2-faktorske autentifikacije. Poput mnogih velikih nadolazećih trendova, Google također igra ulogu u ovom. To ne treba nimalo čuditi s obzirom da ova tvrtka posjeduje najpopularniji mobilni OS, web preglednik i tražilicu. Google već nekoliko godina radi na razvoju ove tehnologije s partnerima poput Microsofta i drugih tehnoloških divova. Jučer je tvrtka napravila još jedan veliki korak prema značajci bez lozinke.
Savez FIDO najavio na Mobile World Congressu jučer da je Android sada certificiran FIDO2. Ako dosad niste čuli za njih, FIDO Alliance je udruga koja radi i definira standarde autentifikacije bez lozinke. Neki od članova saveza su Google, Facebook, GitHub, Dropbox, eBay i mnogi drugi. Uz partnere iz cijelog svijeta, FIDO Alliance već nekoliko godina radi na certifikaciji FIDO2.
Osim očite pogodnosti i poboljšanja upotrebljivosti u odnosu na obične datirane lozinke, FIDO2 protokol nudi i mnogo bolju sigurnost. Vidite, tradicionalno je provjera autentičnosti putem lozinki funkcionirala ovako: i korisnik i usluga imali su tajni ključ pohranjen na poslužitelju i uređaju. Tijekom procesa autentifikacije, korisnik šalje lozinku na poslužitelj, gdje se šifrira i uspoređuje s pohranjenim ključem. Ako se ključevi podudaraju, korisnik dobiva pristup svom računu/sadržaju. Sada, ova metoda ima veliki nedostatak: ključevi za provjeru autentičnosti pohranjeni su na dvije različite lokacije, što ih čini 2 puta ranjivijima na napade. Istina, postoje metode, poput end-to-end enkripcije za njihovo sprječavanje, ali hakeri uvijek smišljaju nove načine za iskorištavanje ovih očitih nedostataka.
FIDO2 protokol pohranjuje autentifikacijski ključ samo na korisnikov uređaj u offline uvjetima. Stoga je mnogo sigurniji, pouzdaniji i lakši za korištenje. FIDO2 certifikat sada je dostupan na svim mobilnim uređajima s Androidom 7.0 Nougat ili novijim. Programeri mobilnih i web aplikacija već mogu koristiti API-je za implementaciju značajke u vlastite usluge.
2. ažuriranje: Google računi
Google je započeo s uvođenjem FIDO2 autentifikacije bez lozinke za Google račune na Android 7+ uređajima, počevši od danas s Pixel uređajima. Korisnici mogu koristiti svoj otisak prsta ili metodu zaključavanja zaslona umjesto upisivanja zaporke prilikom posjeta određenim Googleovim uslugama. To znači da korisnik može jednom registrirati svoj prst i koristiti ga za mnoštvo izvornih i web usluga. Otisak prsta nikada se ne šalje Googleovim poslužiteljima.
Da biste to odmah isprobali, idite na passwords.google.com, odaberite mjesto za pregled ili upravljanje spremljenom lozinkom i slijedite upute za potvrdu svog identiteta.
Izvor: Google