Uživatelská jména a hesla mohou být za pár let minulostí. Technologie Web Authentication (WebAuthn) otevře webovým prohlížečům nebo aplikacím možnost registrovat se a přihlašovat pomocí otisků prstu, hlasu, skenu očí/obličeje, ale také připojením či přiblížením konkrétního zařízení.

Za návrhem stojí World Wide Web Consortium spravující webové standardy a FIDO Alliance vyvíjející nové autentizační metody. Členové obou skupin se prolínají, najdeme mezi nimi Google, Microsoft, Samsung a další. FIDO už má dnes technologie UAF a U2F, které nahrazují hesla nebo přidávají nové možnosti dvoufaktorového ověřování. Například k účtu Googlu nebo Facebooku se můžete přihlásit heslem a následně speciální USB klíčenkou s podporou U2F.

FIDO samotné ale nikdy své protokoly nedokázalo globálně rozšířit. To by se mohlo změnit s podporou W3C. Rozhraní WebAuthn se nyní čerstvě posunulo do stádia Candidate Recommendation, je tedy posledním krokem před tím, aby se stalo webovým standardem. A asi tomu už nic nezabrání. Má podporu ze strany Googlu, Microsoftu, Mozilly a brzy se WebAuthn objeví v jejich prohlížečích. Stranou se bohužel drží Apple.

Díky WebAuthn se k webu přihlásíte bez hesla
Díky WebAuthn se k webu přihlásíte bez hesla

WebAuthn zvýší bezpečí uživatelů. Bez hesel nehrozí phishing ani útoky typu man-in-the-middle. Pověřovací data k přihlášení zůstávají na zařízení a nikdy se neposílají na server. WebAuthn dokáže k ověření uživatele používat interní i externí hardware připojený pomocí USB, Bluetooth LE/Smart nebo NFC. Typickým příkladem bude přihlašování pomocí mobilu, využít ale půjde také chytré hodinky, NFC štítky, USB klíčenky typu Yubikey apod.

Jak by to mohlo vypadat v praxi? W3C uvádí příklad.

  • Na mobilu navštívíte stránku example.com a na ní se buď přihlásíte stávajícím uživatelským jménem a heslem, nebo zvolíte novou registraci.
  • V obou případech na vás vyskočí výzva, jestli toto zařízení chcete registrovat na example.com.
  • Odsouhlasíte. Na telefon ověříte identitu pomocí otisku, skenu očí/obličeje nebo třeba PINu. Registrace je hotová.
  • Na počítači navštívíte example.com, tam kliknete na Přihlásit se pomocí mobilu.
  • Na spárovaném mobilu se objeví výzva/notifikace, jestli se chcete přihlásit na example.com a pod jakým účtem (pokud jich tam máte víc).
  • Jeden vyberete a přihlášení schválíte otiskem, skenem, PINem…
  • Na počítači jste rázem přihlášeni.

Tohle je zrovna jeden z těch komplikovanějších příkladů kombinujících dvě chytrá zařízení. Počítače mohou mít vlastní čtečky otisků, kamery, mikrofony apod., takže uživatel nebude muset sledovat instrukce na dvou displejích. Na reálné zkušenosti si ale budeme muset počkat, až se WebAuthn objeví v prohlížečích a online účtech.

Napsat komentář