Protokol FIDO2 shrani avtentikacijski ključ samo na uporabnikovo napravo v pogojih brez povezave. Zato je veliko bolj varen, zanesljiv in lažji za uporabo.
Posodobitev 2 (13.8.19 ob 9:50 ET): Google uvaja preverjanje pristnosti FIDO2 brez gesla za Google Račune v napravah Android.
Posodobitev 1 (5/7/19 ob 13:31 ET): Google ima napovedal splošno razpoložljivost te nove funkcije, ki vam omogoča uporabo telefona kot varnostnega ključa za preverjanje pristnosti v dveh korakih.
Življenje v svetu brez gesel je prihodnost, o kateri sanjajo številni tehnološki navdušenci. O vrhuncu napredka te tehnologije ni ETA ali vrstice napredka, vendar je njen prihod neizogiben. Gesla so zastarela, zlahka pozabljiva in zelo pogosto nezanesljiva, tudi ko sprejmete dodatne ukrepe kot dvofaktorska avtentikacija. Kot pri mnogih večjih prihajajočih trendih je Google tudi pri tem udeleženec. To ne bi smelo biti nekoliko presenetljivo, če upoštevamo, da ima to podjetje najbolj priljubljen mobilni OS, spletni brskalnik in iskalnik. Google je zadnjih nekaj let delal na razvoju te tehnologije s partnerji, kot je Microsoft in drugimi tehnološkimi velikani. Včeraj je podjetje naredilo še en velik korak k funkciji brez gesla.
Zveza FIDO napovedal na včerajšnjem kongresu Mobile World Congress, da ima Android zdaj certifikat FIDO2. Če še niste slišali zanje, je FIDO Alliance združenje, ki dela in opredeljuje standarde avtentikacije brez gesla. Nekateri člani zavezništva so Google, Facebook, GitHub, Dropbox, eBay in mnogi drugi. Skupaj s partnerji iz vsega sveta, FIDO Alliance že nekaj let dela na certificiranju FIDO2.
Poleg očitne izboljšave priročnosti in uporabnosti v primerjavi z navadnimi gesli z datumom, protokol FIDO2 ponuja tudi veliko boljšo varnost. Vidite, tradicionalno je preverjanje pristnosti prek gesel delovalo takole: tako uporabnik kot storitev sta imela skrivni ključ shranjen na strežniku in napravi. Med postopkom preverjanja pristnosti uporabnik pošlje geslo strežniku, kjer se šifrira in preveri glede na shranjeni ključ. Če se ključa ujemata, dobi uporabnik dostop do svojega računa/vsebine. Zdaj ima ta metoda veliko napako: ključi za preverjanje pristnosti so shranjeni na dveh različnih lokacijah, zaradi česar so dvakrat bolj ranljivi za napade. Res je, da obstajajo metode, kot je enkripcija od konca do konca, ki jih preprečujejo, vendar hekerji vedno iznahajajo nove načine za izkoriščanje teh očitnih pomanjkljivosti.
Protokol FIDO2 shrani ključ za preverjanje pristnosti samo na uporabnikovi napravi v pogojih brez povezave. Zato je veliko bolj varen, zanesljiv in lažji za uporabo. Certifikat FIDO2 je zdaj na voljo na vseh mobilnih napravah s sistemom Android 7.0 Nougat ali novejšim. Razvijalci mobilnih in spletnih aplikacij že lahko uporabljajo API-je za implementacijo funkcije v svoje storitve.
2. posodobitev: Google Računi
Google je začel uvajati preverjanje pristnosti FIDO2 brez gesla za Google Račune v napravah Android 7+, z današnjim dnem za naprave Pixel. Uporabniki lahko ob obisku določenih Googlovih storitev namesto vnašanja gesla uporabijo svoj prstni odtis ali način zaklepanja zaslona. To pomeni, da lahko uporabnik enkrat registrira svoj prst in ga uporablja za množico domačih in spletnih storitev. Prstni odtis se nikoli ne pošlje Googlovim strežnikom.
Če ga želite preizkusiti zdaj, pojdite na passwords.google.com, izberite mesto za ogled ali upravljanje shranjenega gesla in sledite navodilom za potrditev svoje identitete.
Vir: Google