Veliki korak ka budućnosti bez lozinki
Još 10. aprila 2018. godine je najavljeno da internet pretraživači planiraju da omoguće drugačiji način za logovanje, a preko novog standarda WebAuthn, da bi World Wide Web konzorcijum (W3C) 4. marta i odobrio novi način za autentifikaciju, što se smatra velikim korakom ka budućnosti koja će biti oslobođena pamćenja komplikovanih nizova brojeva, slova i simbola.
WebAuthn je na W3C odobrenje čekao skoro tri godine, a usmeren je prema sigurnijim login metodama, koje uključuju biometrijske parametre i USB tokene. Opcija se već neko vreme koristi na platformama kao što su Google i Facebook, gde korisnici, pored tradicionalnog načina logovanja na svoje profile, mogu da koriste i Yubikey token koji je kreiran prema FIDO standardu. WebAuthn bi trebalo da ovu funkciju učini pristupačnijom za manje servise, gde bi mogao da se koristi kao drugi faktor za autentifikaciju, a sve dok u potpunosti ne zameni lozinke.
Budući da se ova opcija nudi kao open-source kod, developerima će u budućnosti biti lakše da implementiraju ovakav način logovanja, te da globalnu mrežu polako oslobode lozinki. Prethodno je rad na podršci za tokene uz pomoć kojih bi korisnici mogli da se loguju uključivao samo velike kompanije, koje su kreirale posebne drajvere, a sa WebAuthn bi ta opcija trebalo da postane dostupnija, budući da podrazumeva tokene koji će biti pristupačni širokom auditorijumu.
Sve ovo je moguće zahvaljujući tome što se FIDO standard zasniva na “dokazu nultog znanja” (zero-knowledge proof), koji u kriptografiji predstavlja metodu zahvaljujući kojoj jedna strana može da dokaže drugoj da zna neku vrednost X, a da ne pruža dodatne informacije, sem činjenice da joj je poznata pomenuta vrednost X. Budući da u okviru te metode ne postoji niz slova i brojeva, koji nazivamo i lozinkama, već se nalogu pristupa samo preko „dokaza nultog znanja,“ tradicionalni phishing, te drugi napadi, biće praktično nemogući.
Sada kada je standard usvojen od strane W3C sledeći korak je integracija standarda na web-sajtove. Dropbox je to učinio još prošle godine, a odmah potom i Microsoft, što ne znači da je lozinkama konačno došao kraj, ali je WebAuthn korak bliže da postane pouzdana alternativa.
Izvor: The Verge