Na topie

Czas porzucić hasła - standard WebAuthn zatwierdzony przez W3C

Autor:

Szef strefy Ciekawostki

więcej artykułów ze strefy:
Ciekawostki

Kategoria: Ciekawostki Internet Bezpieczeństwo Tematyka: Biometria Prywatność

Zamiast wpisywać hasło, przyłóż palec do czytnika ...lub skorzystaj z kilku innych opcji uwierzytelniania. Takie możliwości daje WebAuthn – oficjalny standard zatwierdzony przez W3C.

  • Czas porzucić hasła - standard WebAuthn zatwierdzony przez W3C
A A

Zajmująca się nadzorowaniem działania i rozwoju sieci World Wide Web organizacja W3C oficjalnie zatwierdziła WebAuthn – internetowy standard uwierzytelniania bez loginu i hasła.

WebAuthn – logowanie bez hasła

Standard WebAuthn (Web Authentication API) jest wykorzystywany przez niektóre usługi internetowe już od dłuższego czasu, ale dopiero teraz został on oficjalnie zatwierdzony przez W3C, które wraz z FIDO Alliance sfinalizowało jego specyfikację. 

Rozwiązanie to pozwala na logowanie się do serwisów bez konieczności wpisywania nazwy użytkownika i hasła – wykorzystując dane biometryczne (na przykład rozpoznawanie twarzy lub sczytywanie odcisku palca) lub przeznaczone do tego urządzenia (klucze USB lub gadżety mobilne).

Wygodniej i bezpieczniej

Nie jest tajemnicą, że zabezpieczenia biometryczne pozwalają na osiągnięcie znacznie większego poziomu ochrony niż hasło (które cyberprzestępca może wykraść lub po prostu odgadnąć). 

WebAuthn dodatkowo wykorzystuje unikalne szyfrowanie danych logowania dla każdej strony internetowej. Efektem jest to, że rozwiązanie jeszcze bardziej zmniejsza ryzyko powodzenia phishingu czy też keyloggingu, a więc ataków, których celem jest zdobycie danych logowania.

Szeroko obsługiwany standard

WebAuthn to oficjalny standard rekomendowany przez W3C. Już teraz jest obsługiwany w systemach Windows 10, Android i Chrome OS oraz w najpopularniejszych przeglądarkach (w tym: Chrome, Edge, Firefox i Safari). 

Z kolei na liście zaangażowanych podmiotów znajdują się już aktualnie między innymi Alibaba, Apple, Dropbox, Facebook, GitHub, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent i Twitter. 

Jedynymi przeszkodami na drodze do popularyzacji tego rozwiązania mogą być zatem: brak zaufania lub niechęć użytkowników oraz opieszałość właścicieli stron internetowych. 

Nadszedł czas, by porzucić hasła

„Nadszedł czas, aby w usługach i firmach internetowych przyjęty został standard WebAuthn, pozwalający pozbyć się podatnych na ataki haseł i pomagający internautom zwiększyć bezpieczeństwo podczas ich cyfrowych doświadczeń” – powiedział Jeff Jaffe, dyrektor generalny konsorcjum. 

„Rekomendacja W3C ustanawia ogólne wskazówki dotyczące interoperacyjności, stawiając na spójne oczekiwania internautów i właścicieli stron, które odwiedzają” – dodał Jaffe.

Źródło: W3C, Engadget, Venture Beat. Ilustracja na wejście: ar130405/Pixabay

Odsłon: 6099 Skomentuj newsa
Komentarze

10

Udostępnij
  1. kokosnh
    Oceń komentarz:

    3    

    Opublikowano: 2019-03-05 10:28

    tylko niech ktoś to dobrze zabezpieczy na serwerach...

    Skomentuj

    1. Eternal1
      Oceń komentarz:

      5    

      Opublikowano: 2019-03-05 10:50

      Doceniam Twój optymizm... jednak realnych szans nie widzę.

      Skomentuj

      1. sebmania
        Oceń komentarz:

        5    

        Opublikowano: 2019-03-05 11:07

        Czyli jedno hasło(palec) na wszystkich kontach, bardzo wygodne mało bezpieczne

        Skomentuj

        1. BrumBrumBrum
          Oceń komentarz:

          -1    

          Opublikowano: 2019-03-06 12:14

          ktoś ci odcina palec, i uzyskuje wszelkie twoje uprawnienia :) chociaż równie dobrze może zrobić jego duplikat z silikonu. wszystko daje się tak oszukać jako nakładka na palec.

          Skomentuj

  2. Nuratar
    Oceń komentarz:

    -5    

    Opublikowano: 2019-03-05 12:17

    Jak to w ogóle ma wyglądać? Gdzie będzie przechowywany "wzorzec" mojego (na przykład) odcisku palca? Kto będzie decydował o tym, kto ma do niego dostęp (każdy, kto będzie tylko chciał)? W jaki sposób będzie to odpytywane?
    Dzisus, jak na razie to wygląda mi to na równie dobry pomysł, jak zostawienie karty kredytowej, dowodu osobistego, numeru PESEL zapisanego na kartce i stosu czeków in-blanco, kluczyków do samochodu, mieszkania itp. w ciemnym zaułku, "bo przecież ludzie tego i tak nie ukradną"...

    Skomentuj

      1. kokosnh
        Oceń komentarz:

        0    

        Opublikowano: 2019-03-06 12:12

        a znasz coś takiego jak porównywanie hashów bruteforce-m, i firmy stosujące przestarzałe techniki hash-owania, jak np ostatnio z morele wyszło.

        Skomentuj

      2. BrumBrumBrum
        Oceń komentarz:

        -1    

        Opublikowano: 2019-03-06 12:18

        odcisk palca użyty bezpośrednio nie ma sensu. odcisk palca powinien jedynie służyć do odszyfrowania klucza asymetrycznego, bo klucz możesz zmienić, a palec co najwyżej możesz odciąć lub w inny sposób zniszczyć linie papilarne, i koniecznie musisz to bezspornie udokumentować kiedy to nastąpiło, np. u notariusza. wtedy autoryzacja odciskiem dokonana po tym terminie będzie o wiele łatwiejsza do podważenia.

        tą całą biometrię to o kant stołu potłuc.

        Skomentuj

  3. odkupiciel375
    Oceń komentarz:

    -1    

    Opublikowano: 2019-03-05 12:38

    Login i hasło wystarczy zapamiętać i... nie zapomnieć a tu nie dość ze potrzebujemy dodatkowego dedykowanego hardware do tego to jeszcze musimy udostępnić jakiejś os trzeciej odcisk naszego palca...
    imo login i silne hasło + uwierzytelnienie wielopoziomowe jest znacznie lepsze i wygodniejsze (oczywiście też nie jest bez wad np zgubienie/zepsucie się urządzenia z apką uwierzytelniająca)
    a tak już przy okazji to co w przypadku np wypadku gdzie stracimy dany palec/dłoń? (wystarczy wysłać sfabrykowany wypis ze szpitala z wykazem urazu?)

    Skomentuj

  4. benutzer
    Oceń komentarz:

    0    

    Opublikowano: 2019-03-05 18:27

    Dokładnie tak jak mówisz. Specjalisty nie mają pojęcia co to szyfrowanie symetryczne, asymetryczne, funkcje skrótu i filozofują o deponowaniu gdzieś odciska palca. Polecam sobie pooglądać na youtube kanału Jarosława Karcewicza. Autor tego kanału ze 3kilkadziesiąt godzin materiału nagrał na temat "elementarnych podstaw" bezpieczeństwa.

    Skomentuj

  5. benutzer
    Oceń komentarz:

    0    

    Opublikowano: 2019-03-05 18:36

    odkupiciel375: jeszcze jedno. Ja mam ze 40-50 haseł. Staram się, żeby każde miało 10-15 znaków. Jak mam je zapamiętać?

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!