FIDO2-protokollet lagrar autentiseringsnyckeln endast på användarens enhet i offlineläge. Därför är det mycket säkrare, pålitligare och enklare att använda.
Uppdatering 2 (13/8/19 @ 9:50 AM ET): Google rullar ut FIDO2 lösenordslös autentisering till Google-konton på Android-enheter.
Uppdatering 1 (5/7/19 @ 1:31 PM ET): Google har meddelat den allmänna tillgängligheten för denna nya funktion, så att du kan använda din telefon som en säkerhetsnyckel för tvåstegsautentisering.
Att leva i den lösenordslösa världen är framtiden många av teknikentusiasterna drömmer om. Det finns ingen ETA eller framstegsindikator om framstegstoppen för denna teknik, men dess ankomst är oundviklig. Lösenord är daterade, lätt att glömma och mycket ofta osäkra, även när du vidtar ytterligare åtgärder som 2-faktors autentisering. Liksom många stora kommande trender är Google också en rollspelare i denna. Detta borde inte vara ett dugg förvånande, med tanke på att detta företag äger det mest populära mobila operativsystemet, webbläsaren och sökmotorn. Google har arbetat med att utveckla denna teknik med partners som Microsoft och andra teknikjättar under de senaste åren. I går tog företaget ytterligare ett stort steg mot den lösenordslösa funktionen.
FIDO-alliansen meddelat på Mobile World Congress igår att Android nu är FIDO2-certifierat. Om du inte har hört talas om dem tidigare är FIDO Alliance en förening som arbetar med och definierar standarderna för lösenordslös autentisering. Några av medlemmarna i alliansen är Google, Facebook, GitHub, Dropbox, eBay och många fler. Tillsammans med partners från hela världen har FIDO Alliance arbetat med FIDO2-certifiering under de senaste åren.
Förutom den uppenbara bekvämligheten och användbarhetsförbättringarna jämfört med de vanliga daterade lösenorden, erbjuder FIDO2-protokollet också mycket bättre säkerhet. Du ser, traditionellt fungerade autentiseringen via lösenord så här: både användaren och tjänsten hade en hemlig nyckel lagrad på servern och enheten. Under autentiseringsprocessen skickar användaren lösenordet till servern, där det krypteras och kontrolleras mot den lagrade nyckeln. Om nycklarna matchar får användaren tillgång till sitt konto/innehåll. Nu har den här metoden ett stort fel: autentiseringsnycklarna lagras på två olika platser, vilket gör dem 2 gånger mer sårbara för attacker. Visserligen finns det metoder, som end-to-end-kryptering för att förhindra dem, men hackare kommer alltid på nya sätt att utnyttja dessa uppenbara brister.
FIDO2-protokollet lagrar autentiseringsnyckeln endast på användarens enhet i offlineläge. Därför är det mycket säkrare, pålitligare och enklare att använda. FIDO2-certifiering är nu tillgänglig på alla mobila enheter som kör Android 7.0 Nougat eller senare. Utvecklare av mobil- och webbapplikationer kan redan använda API: erna för att implementera funktionen i sina egna tjänster.
Uppdatering 2: Google-konton
Google har börjat rulla ut FIDO2-lösenordslös autentisering till Google-konton på Android 7+-enheter, från och med idag med Pixel-enheter. Användare kan använda sitt fingeravtryck eller skärmlåsningsmetod istället för att skriva in sitt lösenord när de besöker vissa Google-tjänster. Detta innebär att en användare kan registrera sitt finger en gång och använda det för en mängd inbyggda tjänster och webbtjänster. Fingeravtrycket skickas aldrig till Googles servrar.
För att prova det just nu, gå till passwords.google.com, välj en webbplats för att visa eller hantera ett sparat lösenord och följ instruktionerna för att bekräfta din identitet.
Källa: Google