W3C odobrio novi standard za logiranje bez lozinki

Konzorcij World Wide Weba (W3C) 4. ožujka odobrio je WebAuthn, novi standard ovjere autentičnosti. Njegov cilj jest ukloniti potrebu za korištenjem lozinki kako bi se zaštitili online korisnički računi.

Punim imenom Web Authentication najavljen je prošle godine, ali već ga podržavaju svi najjači internetski preglednici. Konkretnije, Chrome, Firefox, Edge i Safari. Poanta je u tome da WebAuthn komunicira s uređajem za ovjeru autentičnosti prilikom prijave na korisničke račune, čime se uvelike poboljšava sigurnost.

Uz te se načine prijave onemogućava napade koje izvodi tzv. Man-in-The-Middle (MiTM), ali uz to uklanja i česte ranjive točke u online sigurnosnim uslugama. To pak predstavlja slabe lozinke, koje se može napasti i probiti. Dakle, stigli bismo do situacije u kojoj se uređaju može pristupiti jedino "fizički". I ne samo uređaju već i aplikacijama ili drugim online uslugama, ovisno o postavkama koje korisnik želi, odnosno, postavkama pružatelja usluga. Ukratko, bez prsta ili lica vlasnika proboj zaštite je nemoguć. Naravno, u idealnoj situaciji kojoj se teži.

Osim internetskih preglednika, novom standardu okreće se u Google kroz svoj mobilni operativni sustav Android. Jer, on je verificiran FIDO2 licencijom u kojoj je implementiran WebAuthn, a korisnicima omogućava prijavu na online usluge i aplikacije kroz FIDO sigurnosne ključeve, kao što je YubiKey, ili kroz biometriku koja uključuje senzore za otisak prsta ili kamere. Svi ti načini prijave su potpomognuti sigurnosnim postavkama koje uključuju kriptografiju.

Velik je ovo korak prema naprijed u uklanjanju potrebe za lozinkama i nakon internetskih preglednika, Androida, Microsofta i Dropboxa, na ovaj način zaštite svojih korisnika odlučit će se brojni drugi čije se poslovanje temelji na prijavama kako bi se ostvario pristup raznim uslugama...