Home Bezpieczeństwo Pożegnaj się z hasłami: specyfikacja WebAuthn jest już oficjalnym standardem

Pożegnaj się z hasłami: specyfikacja WebAuthn jest już oficjalnym standardem

5 min
0
0
132

Hasła to nie tylko łakomy kąsek dla działań hakerskich, ale także strata czasu dla użytkowników końcowych, nie wspominając już o wiążącej się z nimi znacznej uciążliwości.

Według badań przeprowadzonych przez Yubico, producenta kluczy uwierzytelniania sprzętowego, użytkownicy spędzają przeciętnie 10,9 godziny rocznie na wprowadzaniu i (lub) resetowaniu haseł. W środowiskach korporacyjnych ma to rzekomo przekładać się na, średnio, 5,2 miliona dolarów rocznie.

Wprawdzie tradycyjne uwierzytelnianie wieloskładnikowe (MFA) wprowadza kolejną warstwę zabezpieczeń, to jednak ataki phishingowe nadal są w stanie poradzić sobie z tego rodzaju obroną. Sytuacja jest jeszcze gorsza z uwagi na niski wskaźnik korzystania z MFA przez użytkowników końcowych.

Mając powyższe na uwadze, W3C i FIDO Alliance pracują usilnie nad tym, aby hasła stały się przeszłością i zostały zastąpione przez WebAuthn API, który obecnie jest oficjalnym standardem dla systemów Windows 10 i Android oraz aplikacji Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari.  Wdrożenie WebAuthn daje użytkownikom możliwość łatwiejszego logowania się do usług i urządzeń za pomocą danych biometrycznych i (lub) kluczy bezpieczeństwa FIDO. Zapewnia też znacznie wyższy poziom zabezpieczeń, w porównaniu z systemem opierającym się wyłącznie na hasłach. Bardziej zainteresowane tym zagadnieniem osoby znajdą pełną dokumentację rozwiązania.

Według W3C, opracowany przez FIDO Alliance zestaw specyfikacji FIDO2 rozwiązuje cztery główne problemy tradycyjnego uwierzytelniania:

  • Bezpieczeństwo: poświadczenia logowania kryptograficznego FIDO2 są unikalne dla każdej strony internetowej. Dane biometryczne lub inne informacje poufne, takie jak hasła, nigdy nie opuszczają urządzenia użytkownika i nigdy nie są przechowywane na serwerze. Ten model bezpieczeństwa eliminuje ryzyko phishingu, wszelkich form kradzieży haseł i ataków typu replay.
  • Wygoda: użytkownicy logują się za pomocą prostych metod, takich jak czytniki linii papilarnych, kamery, klucze bezpieczeństwa FIDO lub własne urządzenie mobilne.
  • Prywatność: ponieważ klucze kryptograficzne FIDO są unikalne dla każdej witryny internetowej, nie można ich używać do śledzenia użytkowników w różnych witrynach.
  • Skalowalność: strony internetowe mogą włączać FIDO2, poprzez proste wywoływanie API, we wszystkich wspieranych przeglądarkach i na wszystkich platformach, na miliardach urządzeń, z których użytkownicy korzystają codziennie.

Na pewno standard WebAuthn stanowi dla wszystkich duży krok naprzód w zwiększaniu bezpieczeństwa i użyteczności Internetu, ale nie należy oczekiwać, że wszyscy będą go wdrażać z dnia na dzień. Standardy sieciowe wymagają dużo czasu, aby dojrzeć i osiągnąć skuteczność. opracowanie praktycznego rozwiązania dla uwierzytelniania odpornego na rozprzestrzeniający się w sieci phishing – komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.

„Nowe rozwiązanie stanowi przełomowy krok, teraz przechodzimy do kolejnej fazy naszej wspólnej misji, która zapewni wszystkim użytkownikom prostsze i pewniejsze uwierzytelnianie w Internecie, zarówno dzisiaj jak i przez wiele kolejnych lat”. – powiedział Bret MacDowell, dyrektor wykonawczy w FIDO Alliance

Pobierz więcej artykułów
Pobierz więcej  redakcja
Pobierz więcej z Bezpieczeństwo

Dodaj komentarz

Przeczytaj również

Do 2024 roku dwie trzecie firm przeniesie się do chmury. Tylko co czwarta ma plan, jak to zrobić

Gartner prognozuje, że do końca 2024 roku dwie trzecie zasobów firmowych znajdować się będ…