פרוטוקול FIDO2 מאחסן את מפתח האימות רק במכשיר של המשתמש במצב לא מקוון. לכן, זה הרבה יותר בטוח, אמין וקל יותר לשימוש.
עדכון 2 (13/8/19 @ 9:50 AM ET): גוגל משיקה אימות FIDO2 ללא סיסמה לחשבונות Google במכשירי אנדרואיד.
עדכון 1 (5/7/19 @ 1:31 PM ET): לגוגל יש הכריז הזמינות הכללית של תכונה חדשה זו, המאפשרת לך להשתמש בטלפון שלך כמפתח אבטחה לאימות דו-שלבי.
החיים בעולם ללא סיסמה הם העתיד שרבים מחובבי הטכנולוגיה חולמים עליו. אין ETA או סרגל התקדמות לגבי שיא הקידום של הטכנולוגיה הזו, אבל הגעתה היא בלתי נמנעת. סיסמאות מתוארכות, נשכחות בקלות, ולעתים קרובות מאוד לא בטוחות, גם כאשר אתה נוקט באמצעים נוספים כמו אימות דו-גורמי. כמו הרבה טרנדים עיקריים קרובים, גוגל היא גם שחקנית תפקיד בזה. זה לא אמור להיות קצת מפתיע, בהתחשב בכך שחברה זו מחזיקה במערכת ההפעלה הניידת, דפדפן האינטרנט ומנוע החיפוש הפופולריים ביותר. גוגל עבדה על פיתוח טכנולוגיה זו עם שותפים כמו מיקרוסופט וענקיות טכנולוגיה אחרות בשנתיים האחרונות. אתמול עשתה החברה צעד גדול נוסף לקראת התכונה ללא סיסמה.
ברית FIDO הכריז ב-Mobile World Congress אתמול כי אנדרואיד היא כעת הסמכה FIDO2. אם לא שמעתם עליהם בעבר, FIDO Alliance היא עמותה שעובדת ומגדירה את הסטנדרטים של אימות ללא סיסמה. חלק מחברי הברית הם גוגל, פייסבוק, GitHub, Dropbox, eBay ועוד רבים. לצד השותפים מכל רחבי העולם, FIDO Alliance עובדת על הסמכת FIDO2 בשנתיים האחרונות.
מלבד שיפורי הנוחות והשימושיות הברורים בהשוואה לסיסמאות המתוארכות הרגילות, פרוטוקול FIDO2 מציע גם אבטחה הרבה יותר טובה. אתה רואה, באופן מסורתי, האימות באמצעות סיסמאות עבד כך: גם למשתמש וגם לשירות היה מפתח סודי מאוחסן בשרת ובמכשיר. במהלך תהליך האימות, המשתמש שולח את הסיסמה לשרת, שם היא מוצפנת ונבדקת מול המפתח המאוחסן. אם המפתחות תואמים, המשתמש מקבל גישה לחשבון/תוכן שלו. כעת, לשיטה זו יש פגם גדול: מפתחות האימות מאוחסנים בשני מיקומים שונים, מה שהופך אותם לפגיעים פי 2 להתקפות. נכון, יש שיטות, כמו הצפנה מקצה לקצה כדי למנוע אותן, אבל האקרים תמיד חושבים על דרכים חדשות לנצל את הפגמים הברורים האלה.
פרוטוקול FIDO2 מאחסן את מפתח האימות רק במכשיר של המשתמש במצב לא מקוון. לכן, זה הרבה יותר בטוח, אמין וקל יותר לשימוש. הסמכת FIDO2 זמינה כעת בכל המכשירים הניידים עם אנדרואיד 7.0 נוגט ואילך. מפתחים של יישומי מובייל ואינטרנט כבר יכולים להשתמש בממשקי ה-API כדי ליישם את התכונה בשירותים שלהם.
עדכון 2: חשבונות גוגל
גוגל החלה להפיץ אימות ללא סיסמה של FIDO2 לחשבונות Google במכשירי Android 7+, החל מהיום עם מכשירי Pixel. משתמשים יכולים להשתמש בטביעת האצבע או בשיטת נעילת המסך במקום להקליד את הסיסמה שלהם בעת ביקור בשירותים מסוימים של Google. משמעות הדבר היא שמשתמש יכול לרשום את האצבע שלו פעם אחת ולהשתמש בה עבור שלל שירותי מקור ואינטרנט. טביעת האצבע לעולם לא נשלחת לשרתים של גוגל.
כדי לנסות את זה עכשיו, עבור אל passwords.google.com, בחר אתר להציג או לנהל סיסמה שמורה, ופעל לפי ההוראות כדי לאשר את זהותך.
מָקוֹר: גוגל