71

Wasze hasła są pewnie słabe i łatwe do złamania. Ale spokojnie – nadchodzi rozwiązanie

FIDO Alliance razem z World Wide Web Consortium (W3C) ogłosiły dzisiaj finalizację specyfikacji API - Web Authentication, w skrócie WebAuth. Jest to o tyle istotne, że ten ogólny standard potwierdzania tożsamości zostanie zaimplementowany przez wszystkich największych graczy na rynku przeglądarek, a co za tym idzie z czasem może całkowicie wyeliminować konieczność stosowania haseł.

Koniec z wyciekami haseł

Mam wrażenie, że w ostatnim czasie nie ma tygodnia aby nie pojawiła się informacja, że taki a taki serwis internetowy został zhakowany i zostały wykradzione loginy i hasła tysięcy użytkowników. To coraz większy problem, bo Internet stwarza nam możliwości korzystania nie tylko z rozrywkowej treści, ale również z bankowości czy administracji państwowej, więc bezpieczeństwo logowania jest bardzo istotne. Hasła są dobre, o ile są odpowiednio trudne, czyli posiadają dużo znaków, najlepiej także specjalnych i odpowiednio często je zmieniamy. A i najważniejsze, wszędzie powinniśmy używać innego hasła, aby nie bać się tych licznych wycieków.

Tak, widzę już jak kiwacie z politowaniem głowami. Spodziewam się, że wśród czytelników Antyweb świadomość czyhających niebezpieczeństw jest dużo większa niż średnia w społeczeństwie, ale założę się, że większość waszych znajomych i członków rodziny korzysta z tego samego hasła do Facebooka, banku i poczty. Co więcej jak pokazują liczne badania i analizy wycieków danych, zazwyczaj hasło to „123456” itp. Czym to grozi nie muszę chyba opisywać. To jednak może się niedługo zmienić.

Biometria zaloguje nas wszędzie w internecie

Dzięki stworzonemu przez FIDO i W3C dedykowanemu API, którego wsparcie zapowiedziało już Google w przeglądarce Chrome 67, Mozilla w Firefoksie 60 oraz Microsoft w jednej z kolejnych wersji Edge, już niedługo na większości, jeśli nie wszystkich stronach WWW, będziemy mogli logować się znacznie bezpieczniej. Hasła staną się zbędne, a ich rolę przejmie biometria, czyli czytniki linii papilarnych, skanery siatkówki oka lub klucze sprzętowe wpinane w port USB (jak np. Yubikey).

WebAuth jest oczywiście protokołem bezpiecznym, szyfrowanym i nie polega na przesyłaniu hasła, tylko na potwierdzeniu tożsamości specjalnym kluczem. Jest to znacznie bezpieczniejsze i co ważniejsze, wygodniejsze rozwiązanie. W czasach gdy większość ruchu w sieci odbywa się już na urządzeniach mobilnych, w których obecność czytnika linii papilarnych nie jest niczym nadzwyczajnym, wręcz aż prosi się o jego wykorzystanie do logowania. W tej chwili takie rozwiązania stosowane są głównie w aplikacjach (nie tylko bankowych, ale też np. w Google Play), ale przeniesienie ich do przeglądarki WWW może być prawdziwym przełomem.

Mam nadzieję, że nie będziemy musieli długo czekać na pierwsze wdrożenia tej funkcjonalności.