Google prináša prístupové kľúče pre Android aj Google Chrome v súlade s normami FIDO. Zistite, čo to znamená!
Heslá, hoci sú pohodlné, majú vo svojej podstate chyby v tom, ako ich možno zneužiť. Ak niekto získa vaše heslo, čo je jediný faktor overenia, často môže získať prístup k vašim online účtom. Preto máme záľubu v dvojfaktorovej autentifikácii, ktorá kombinuje niečo, čo poznáte, s niečím, čo máte, napríklad váš smartfón. Avšak v prípade, že používate niečo ako SMS kód, niekto by teoreticky mohol sfalšovať vaše telefónne číslo a vziať tento kód. Nie je to úplne bezpečné a pre potenciálneho útočníka existuje viacero potenciálnych vstupných bodov. Preto sú dôležité prístupové kľúče, o ktorých spoločnosť Google oznámila, že ich prináša pre Android aj Google Chrome.
Na začiatku tohto roka, Oznámili to spoločnosti Apple, Google a Microsoft že do budúceho roka prijmú štandard FIDO pre prístupové kľúče na všetkých hlavných platformách. Vďaka tomu by sa prihlasovanie bez hesla stalo na internete bežnejším. Ako to funguje, je jednoduché – v systéme Android premení váš smartfón na prístupový kľúč, ktorý možno použiť na prihlásenie na webovú stránku. Tieto prístupové kľúče sa potom synchronizujú cez Správcu hesiel Google, aby ste k nim mali jednoduchý prístup vo všetkých zariadeniach a tiež vo vašom počítači. Aj keď to začne s podporou iba pre webové stránky, myšlienkou je, že vývojári ju budú môcť implementovať ich aplikácie a dokonca podporujú prístupové kľúče, ktoré už mohli byť použité na prihlásenie do rovnakej služby používateľa prehliadač.
V prípade, že sa obávate zablokovania ekosystému, Google uistil používateľov, že to tak nebude, pretože sú postavené na priemyselných štandardoch. Prístupové kľúče sú nezávislé na platforme, čo znamená, že sa môžete dokonca prihlásiť k službám, ktoré podporujú prístupové kľúče, pomocou počítača Mac so systémom Safari. Zobrazí sa vám QR kód, ktorý naskenujete na svojom smartfóne s Androidom. To isté bude fungovať opačne s prístupovým kľúčom uloženým v iPhone na prihlásenie do služieb v prehliadači Google Chrome.
Prístupové kľúče umožňujú, aby sa bez kľúča uloženého vo vašom účte alebo v telefóne nikto nemohol prihlásiť do žiadneho z vašich online účtov – bez ohľadu na to, ako veľmi sa snaží. Nie je tu žiadne telefónne číslo, ktoré by ste mohli sfalšovať, nie je čo ukradnúť (pokiaľ vám neukradnú telefón a prihlásiť sa) a žiadne heslo na prelomenie. Jednoducho sa nebudú môcť dostať dnu, pokiaľ nebudú schopní presvedčiť poskytovateľa služieb, aby ich dal prístup – v takom prípade to bol vždy zraniteľný vstupný bod pre akýkoľvek účet, ktorý ste používali tak či tak.
Ak si to chcete vyskúšať, vývojári sa môžu prihlásiť do Beta verzia Služieb Google Play a používať Chrome Canary, pretože stabilné zavádzanie sa očakáva koncom tohto roka. WebAuthn API je možné implementovať na webové stránky kvôli kompatibilite s prístupovými kľúčmi v prehliadači Google Chrome, Android a ďalších platformách. Očakáva sa, že koncom tohto roka bude vydané aj API pre natívne aplikácie pre Android.
Zdroj: Google