A FIDO2 protokoll a hitelesítési kulcsot csak a felhasználó eszközén tárolja offline körülmények között. Ezért sokkal biztonságosabb, megbízhatóbb és könnyebben használható.
2. frissítés (2019.08.13., 9:50 ET): A Google bevezeti a FIDO2 jelszó nélküli hitelesítést a Google-fiókokba Android-eszközökön.
1. frissítés (19.05.07., 13:31 ET): A Google-nek van bejelentett ennek az új funkciónak az általános elérhetősége, amely lehetővé teszi, hogy telefonját biztonsági kulcsként használja a kétlépcsős hitelesítéshez.
A jelszó nélküli világban való élés az a jövő, amelyről sok technológiai rajongó álmodik. Ennek a technológiának a fejlődési csúcsáról nincs ETA vagy folyamatjelző, de megérkezése elkerülhetetlen. A jelszavak kelteztek, könnyen felejthetők és nagyon gyakran nem biztonságosak, még akkor is, ha további intézkedéseket tesz mint a 2-faktoros hitelesítés. Mint sok nagy közelgő trend, a Google ebben is szerepet játszik. Ez nem lehet kicsit meglepő, tekintve, hogy ez a cég birtokolja a legnépszerűbb mobil operációs rendszert, webböngészőt és keresőmotort. A Google az elmúlt néhány évben olyan partnerekkel dolgozott a technológia fejlesztésén, mint a Microsoft és más technológiai óriások. Tegnap a cég újabb nagy lépést tett a jelszó nélküli funkció felé.
A FIDO Szövetség bejelentett A tegnapi Mobile World Congressen, hogy az Android már FIDO2-tanúsítvánnyal rendelkezik. Ha még nem hallott róluk, a FIDO Alliance egy olyan szövetség, amely a jelszó nélküli hitelesítés szabványain dolgozik és meghatározza azokat. A szövetség néhány tagja a Google, a Facebook, a GitHub, a Dropbox, az eBay és még sok más. A világ minden tájáról érkező partnerek mellett a FIDO Alliance az elmúlt néhány évben a FIDO2 tanúsításon dolgozik.
A szokásos keltezett jelszavakhoz képest nyilvánvaló kényelmi és használhatósági fejlesztések mellett a FIDO2 protokoll sokkal jobb biztonságot is kínál. Hagyományosan a jelszavas hitelesítés így működött: mind a felhasználó, mind a szolgáltatás titkos kulcsot tárolt a szerveren és az eszközön. A hitelesítési folyamat során a felhasználó elküldi a jelszót a szervernek, ahol azt titkosítják, és összevetik a tárolt kulccsal. Ha a kulcsok egyeznek, a felhasználó hozzáfér a fiókjához/tartalmához. Ennek a módszernek van egy nagy hibája: a hitelesítési kulcsokat két különböző helyen tárolják, így kétszer sebezhetőbbek a támadásokkal szemben. Igaz, vannak módszerek, például a végpontok közötti titkosítás, hogy megakadályozzák ezeket, de a hackerek mindig új módszereket találnak ki e nyilvánvaló hibák kihasználására.
A FIDO2 protokoll a hitelesítési kulcsot csak a felhasználó eszközén tárolja offline állapotban. Ezért sokkal biztonságosabb, megbízhatóbb és könnyebben használható. A FIDO2 tanúsítvány mostantól minden Android 7.0 Nougat vagy újabb rendszert futtató mobileszközön elérhető. A mobil- és webes alkalmazások fejlesztői már használhatják az API-kat, hogy a funkciót saját szolgáltatásaikba is beépítsék.
2. frissítés: Google Fiókok
A Google megkezdte a FIDO2 jelszó nélküli hitelesítés bevezetését a Google-fiókokban az Android 7+ eszközökön, mától kezdve a Pixel eszközökön. A felhasználók a jelszavak begépelése helyett használhatják az ujjlenyomatukat vagy a képernyőzárat, amikor felkeresik bizonyos Google-szolgáltatásokat. Ez azt jelenti, hogy a felhasználó egyszer regisztrálhatja ujját, és számos natív és webszolgáltatáshoz használhatja. Az ujjlenyomat soha nem kerül elküldésre a Google szervereire.
Ha most szeretné kipróbálni, látogasson el ide passwords.google.com, válasszon egy webhelyet a mentett jelszó megtekintéséhez vagy kezeléséhez, és kövesse az utasításokat személyazonosságának megerősítéséhez.
Forrás: Google