FIDO2-protokollen lagrer autentiseringsnøkkelen på bare brukerens enhet i frakoblede forhold. Derfor er det mye sikrere, påliteligere og enklere å bruke.
Oppdatering 2 (13.08.19 @ 09:50 ET): Google ruller ut FIDO2-passordløs autentisering til Google-kontoer på Android-enheter.
Oppdatering 1 (5/7/19 @ 1:31 PM ET): Google har annonsert den generelle tilgjengeligheten til denne nye funksjonen, slik at du kan bruke telefonen som en sikkerhetsnøkkel for totrinns autentisering.
Å leve i den passordløse verden er fremtiden mange av teknologientusiastene drømmer om. Det er ingen ETA eller fremdriftsindikator om utviklingstoppen for denne teknologien, men dens ankomst er uunngåelig. Passord er datert, lett å glemme og svært ofte usikre, selv når du iverksetter ytterligere tiltak som 2-faktor autentisering. Som mange store kommende trender, er Google også en rollespiller i denne. Dette burde ikke være litt overraskende, med tanke på at dette selskapet eier det mest populære mobile operativsystemet, nettleseren og søkemotoren. Google har jobbet med å utvikle denne teknologien med partnere som Microsoft og andre teknologigiganter de siste par årene. I går tok selskapet nok et stort skritt mot den passordløse funksjonen.
FIDO-alliansen annonsert på Mobile World Congress i går at Android nå er FIDO2-sertifisert. Hvis du ikke har hørt om dem før, er FIDO Alliance en forening som jobber med og definerer standardene for passordløs autentisering. Noen av medlemmene i alliansen er Google, Facebook, GitHub, Dropbox, eBay og mange flere. Sammen med partnere fra hele verden har FIDO Alliance jobbet med FIDO2-sertifisering de siste par årene.
Bortsett fra den åpenbare bekvemmeligheten og brukervennlighetsforbedringene i forhold til de vanlige daterte passordene, tilbyr FIDO2-protokollen også mye bedre sikkerhet. Du ser, tradisjonelt fungerte autentiseringen via passord slik: både brukeren og tjenesten hadde en hemmelig nøkkel lagret på serveren og enheten. Under autentiseringsprosessen sender brukeren passordet til serveren, hvor det krypteres og sjekkes mot den lagrede nøkkelen. Hvis nøklene stemmer overens, får brukeren tilgang til sin konto/innhold. Nå har denne metoden en stor feil: autentiseringsnøklene er lagret på to forskjellige steder, noe som gjør dem 2 ganger mer sårbare for angrep. Riktignok finnes det metoder, som ende-til-ende-kryptering for å forhindre dem, men hackere kommer alltid opp med nye måter å utnytte disse åpenbare feilene på.
FIDO2-protokollen lagrer autentiseringsnøkkelen på bare brukerens enhet i frakoblede forhold. Derfor er det mye sikrere, påliteligere og enklere å bruke. FIDO2-sertifisering er nå tilgjengelig på alle mobile enheter som kjører Android 7.0 Nougat eller nyere. Utviklere av mobil- og nettapplikasjoner kan allerede bruke API-ene til å implementere funksjonen i sine egne tjenester.
Oppdatering 2: Google-kontoer
Google har begynt å rulle ut FIDO2-passordløs autentisering til Google-kontoer på Android 7+-enheter, fra og med i dag med Pixel-enheter. Brukere kan bruke fingeravtrykk eller skjermlåsmetode i stedet for å skrive inn passordet når de besøker visse Google-tjenester. Dette betyr at en bruker kan registrere fingeren sin én gang og bruke den til en mengde native og webtjenester. Fingeravtrykket sendes aldri til Googles servere.
For å prøve det akkurat nå, gå til passwords.google.com, velg et nettsted for å vise eller administrere et lagret passord, og følg instruksjonene for å bekrefte identiteten din.
Kilde: Google