Közelebb kerültünk a jelszómentes világhoz

Biztonsági szempontból az internetezők egyik legnagyobb ellensége a jelszó: a többség kényelmi okból szinte mindenhol ugyanazt a néhány jelszót használja, ráadásul a jelszavaik nem elég egyediek és komplexek. A probléma jelszókezelők használatával orvosolható: elég a leggyakrabban használt néhány webhelyen megjegyezni az egyedi és erős jelszavakat, a kismillió többi portálra pedig véletlenszerűen generált kódokkal érdemes regisztrálni.

A fenti taktika ellenére a rossz jelszópraktikák okozta problémák realisztikusan csak egy módon oldhatóak meg:

Most egy lépéssel közelebb kerültünk a jelszómentes világhoz, miután ajánlás státuszba lépett a WebAuthn programozási felület. A szabványos API lehetővé teszi, hogy például ujjlenyomat-olvasással vagy arcfelismeréssel azonosítsák magukat a netezők a webhelyeken.

Ami van ugyanennyire fontos, hogy a WebAuth protokoll előzetes információ nélküli azonosítást (zero-knowledge proof) használ. Így például ha ujjlenyomat-olvasóval jelentkezünk be egy webhelyre az okostelefonunkról, akkor semmiféle az ujjlenyomatunkkal kapcsolatos, direkt vagy indirekt információ sem fogja elhagyni a készüléket.

Adott esetben a hálózatra beékelődött támadó ugyan képes lehet ellopni a bizonyítást, de utána az áldozat nevében szinte biztosan nem lesz képes sehova sem bejelentkezni vele.

A WebAuthn protokollt jelenleg csak a Mozilla Firefox támogatja, a Google Chrome és a Microsoft Edge a következő hónapokban kapják majd meg a fejlesztést. Az Apple még nem közölte, hogy mikortól kívánja elérhetővé tenni a Safariban.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!