Protokół FIDO2 przechowuje klucz uwierzytelniający tylko na urządzeniu użytkownika w warunkach offline. Dlatego jest znacznie bezpieczniejszy, niezawodny i łatwiejszy w użyciu.
Aktualizacja 2 (13.08.19 o 9:50 ET): Google wprowadza uwierzytelnianie FIDO2 bez hasła na kontach Google na urządzeniach z Androidem.
Aktualizacja 1 (7.05.19 o 13:31 ET): Google ma ogłoszony ogólną dostępność tej nowej funkcji, która pozwala używać telefonu jako klucza bezpieczeństwa do dwuetapowego uwierzytelniania.
Życie w świecie bez haseł to przyszłość, o której marzy wielu entuzjastów technologii. Nie ma ETA ani paska postępu co do szczytu zaawansowania tej technologii, ale jego nadejście jest nieuniknione. Hasła są przestarzałe, łatwe do zapomnienia i bardzo często niepewne, nawet jeśli podejmiesz dodatkowe środki jak uwierzytelnianie dwuskładnikowe. Podobnie jak wiele głównych nadchodzących trendów, Google również odgrywa w tym rolę. Nie powinno to dziwić, biorąc pod uwagę, że firma ta jest właścicielem najpopularniejszego mobilnego systemu operacyjnego, przeglądarki internetowej i wyszukiwarki. Google od kilku lat pracuje nad rozwojem tej technologii wraz z partnerami takimi jak Microsoft i inni giganci technologiczni. Wczoraj firma zrobiła kolejny duży krok w kierunku funkcji bezhasłowej.
Sojusz FIDO ogłoszony wczoraj na Mobile World Congress poinformowano, że system Android ma teraz certyfikat FIDO2. Jeśli wcześniej o nich nie słyszałeś, FIDO Alliance to stowarzyszenie, które pracuje nad standardami uwierzytelniania bez hasła i je je definiuje. Niektórzy członkowie sojuszu to Google, Facebook, GitHub, Dropbox, eBay i wiele innych. Wraz z partnerami z całego świata, FIDO Alliance od kilku lat pracuje nad certyfikacją FIDO2.
Oprócz oczywistych ulepszeń w zakresie wygody i użyteczności w porównaniu ze zwykłymi przestarzałymi hasłami, protokół FIDO2 oferuje również znacznie większe bezpieczeństwo. Widzisz, tradycyjnie uwierzytelnianie za pomocą haseł działało w ten sposób: zarówno użytkownik, jak i usługa mieli tajny klucz przechowywany na serwerze i urządzeniu. Podczas procesu uwierzytelniania użytkownik wysyła hasło na serwer, gdzie jest ono szyfrowane i sprawdzane z przechowywanym kluczem. Jeśli klucze są zgodne, użytkownik uzyskuje dostęp do swojego konta/treści. Ta metoda ma dużą wadę: klucze uwierzytelniające są przechowywane w dwóch różnych lokalizacjach, co czyni je 2 razy bardziej podatnymi na ataki. To prawda, że istnieją metody, takie jak kompleksowe szyfrowanie, aby temu zapobiec, ale hakerzy zawsze wymyślają nowe sposoby wykorzystania tych oczywistych wad.
Protokół FIDO2 przechowuje klucz uwierzytelniający tylko na urządzeniu użytkownika w warunkach offline. Dlatego jest znacznie bezpieczniejszy, niezawodny i łatwiejszy w użyciu. Certyfikacja FIDO2 jest teraz dostępna na wszystkich urządzeniach mobilnych z systemem Android 7.0 Nougat lub nowszym. Twórcy aplikacji mobilnych i internetowych mogą już używać interfejsów API do implementowania tej funkcji we własnych usługach.
Aktualizacja 2: Konta Google
Firma Google rozpoczęła wdrażanie uwierzytelniania FIDO2 bez hasła na kontach Google na urządzeniach z Androidem 7 lub nowszym, począwszy od dzisiaj na urządzeniach Pixel. Użytkownicy mogą używać metody blokowania odcisku palca lub ekranu zamiast wpisywać hasło podczas odwiedzania niektórych usług Google. Oznacza to, że użytkownik może raz zarejestrować swój palec i używać go do korzystania z szeregu usług natywnych i internetowych. Odcisk palca nigdy nie jest wysyłany na serwery Google.
Aby wypróbować już teraz, przejdź do hasła.google.com, wybierz witrynę, w której chcesz wyświetlić zapisane hasło lub zarządzać nim, i postępuj zgodnie z instrukcjami, aby potwierdzić swoją tożsamość.
Źródło: Google