Internet

Czas porzucić hasła - standard WebAuthn zatwierdzony przez W3C

opublikowano przez Wojciech Kulik w dniu 2019-03-05

Zamiast wpisywać hasło, przyłóż palec do czytnika ...lub skorzystaj z kilku innych opcji uwierzytelniania. Takie możliwości daje WebAuthn – oficjalny standard zatwierdzony przez W3C.

Zajmująca się nadzorowaniem działania i rozwoju sieci World Wide Web organizacja W3C oficjalnie zatwierdziła WebAuthn – internetowy standard uwierzytelniania bez loginu i hasła.

WebAuthn – logowanie bez hasła

Standard WebAuthn (Web Authentication API) jest wykorzystywany przez niektóre usługi internetowe już od dłuższego czasu, ale dopiero teraz został on oficjalnie zatwierdzony przez W3C, które wraz z FIDO Alliance sfinalizowało jego specyfikację. 

Rozwiązanie to pozwala na logowanie się do serwisów bez konieczności wpisywania nazwy użytkownika i hasła – wykorzystując dane biometryczne (na przykład rozpoznawanie twarzy lub sczytywanie odcisku palca) lub przeznaczone do tego urządzenia (klucze USB lub gadżety mobilne).

Wygodniej i bezpieczniej

Nie jest tajemnicą, że zabezpieczenia biometryczne pozwalają na osiągnięcie znacznie większego poziomu ochrony niż hasło (które cyberprzestępca może wykraść lub po prostu odgadnąć). 

WebAuthn dodatkowo wykorzystuje unikalne szyfrowanie danych logowania dla każdej strony internetowej. Efektem jest to, że rozwiązanie jeszcze bardziej zmniejsza ryzyko powodzenia phishingu czy też keyloggingu, a więc ataków, których celem jest zdobycie danych logowania.

Szeroko obsługiwany standard

WebAuthn to oficjalny standard rekomendowany przez W3C. Już teraz jest obsługiwany w systemach Windows 10, Android i Chrome OS oraz w najpopularniejszych przeglądarkach (w tym: Chrome, Edge, Firefox i Safari). 

Z kolei na liście zaangażowanych podmiotów znajdują się już aktualnie między innymi Alibaba, Apple, Dropbox, Facebook, GitHub, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent i Twitter. 

Jedynymi przeszkodami na drodze do popularyzacji tego rozwiązania mogą być zatem: brak zaufania lub niechęć użytkowników oraz opieszałość właścicieli stron internetowych. 

Nadszedł czas, by porzucić hasła

„Nadszedł czas, aby w usługach i firmach internetowych przyjęty został standard WebAuthn, pozwalający pozbyć się podatnych na ataki haseł i pomagający internautom zwiększyć bezpieczeństwo podczas ich cyfrowych doświadczeń” – powiedział Jeff Jaffe, dyrektor generalny konsorcjum. 

„Rekomendacja W3C ustanawia ogólne wskazówki dotyczące interoperacyjności, stawiając na spójne oczekiwania internautów i właścicieli stron, które odwiedzają” – dodał Jaffe.

Źródło: W3C, Engadget, Venture Beat. Ilustracja na wejście: ar130405/Pixabay

marketplace

Komentarze

14
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    tylko niech ktoś to dobrze zabezpieczy na serwerach...
    Zaloguj się
  • avatar
    Login i hasło wystarczy zapamiętać i... nie zapomnieć a tu nie dość ze potrzebujemy dodatkowego dedykowanego hardware do tego to jeszcze musimy udostępnić jakiejś os trzeciej odcisk naszego palca...
    imo login i silne hasło + uwierzytelnienie wielopoziomowe jest znacznie lepsze i wygodniejsze (oczywiście też nie jest bez wad np zgubienie/zepsucie się urządzenia z apką uwierzytelniająca)
    a tak już przy okazji to co w przypadku np wypadku gdzie stracimy dany palec/dłoń? (wystarczy wysłać sfabrykowany wypis ze szpitala z wykazem urazu?)
    Zaloguj się
    -1
  • avatar
    Jak to w ogóle ma wyglądać? Gdzie będzie przechowywany "wzorzec" mojego (na przykład) odcisku palca? Kto będzie decydował o tym, kto ma do niego dostęp (każdy, kto będzie tylko chciał)? W jaki sposób będzie to odpytywane?
    Dzisus, jak na razie to wygląda mi to na równie dobry pomysł, jak zostawienie karty kredytowej, dowodu osobistego, numeru PESEL zapisanego na kartce i stosu czeków in-blanco, kluczyków do samochodu, mieszkania itp. w ciemnym zaułku, "bo przecież ludzie tego i tak nie ukradną"...
    Zaloguj się
    -5
  • avatar
    Dokładnie tak jak mówisz. Specjalisty nie mają pojęcia co to szyfrowanie symetryczne, asymetryczne, funkcje skrótu i filozofują o deponowaniu gdzieś odciska palca. Polecam sobie pooglądać na youtube kanału Jarosława Karcewicza. Autor tego kanału ze 3kilkadziesiąt godzin materiału nagrał na temat "elementarnych podstaw" bezpieczeństwa.
  • avatar
    odkupiciel375: jeszcze jedno. Ja mam ze 40-50 haseł. Staram się, żeby każde miało 10-15 znaków. Jak mam je zapamiętać?