U zajedničkim naporima, tehnološki divovi Apple, Google i Microsoft objavili su u četvrtak ujutro da su se obvezali izgraditi podršku za prijavu bez zaporke na svim mobilnim i desktop platformama te platformama preglednika koje kontroliraju, u narednoj godini.
To zapravo znači da će autentifikacija bez lozinke doći na sve glavne platforme uređaja u ne tako dalekoj budućnosti: Android i iOS mobilni operativnim sustavima; preglednicima Chrome, Edge i Safari; te Windows i macOS desktop okruženjima.
Baš kao što dizajniramo naše proizvode da budu intuitivni i sposobni, također ih dizajniramo tako da budu privatni i sigurni. Suradnja s industrijom na uspostavljanju novih, sigurnijih metoda prijave koje nude bolju zaštitu i eliminiraju ranjivosti lozinki je središnja za našu predanost izgradnji proizvoda koji nude maksimalnu sigurnost i transparentno korisničko iskustvo, sve s ciljem zadržavanja osobnih podataka korisnika sigurnima, rekao je Kurt Knight, viši direktor marketinga platformskih proizvoda u Appleu.
Proces prijave bez zaporke omogućit će korisnicima da odaberu svoje telefone kao glavni uređaj za autentifikaciju za aplikacije, web stranice i druge digitalne usluge, kao što je Google detaljno naveo u blogu objavljenom u četvrtak.
Otključavanje telefona bilo čime što je postavljeno kao zadana radnja - unos PIN-a, crtanje uzorka ili otključavanje otiskom prsta - tada će biti dovoljno za prijavu na web usluge bez potrebe za unosom zaporke, što je omogućeno upotrebom jedinstvenog kriptografskog tokena nazvanog pristupni, ključ koji se dijeli između telefona i web stranice.
Postavljanjem prijava uvjetovanim fizičkim uređajem, ideja je da će korisnici istovremeno imati koristi od jednostavnosti i sigurnosti. Bez zaporke neće biti obveze pamćenja podataka za prijavu na sve usluge ili ugrožavanja sigurnosti ponovnim korištenjem iste zaporke na više mjesta. Jednako tako, sustav bez zaporke znatno će otežati hakerima daljinsko kompromitiranje podataka za prijavu, budući da prijava zahtijeva pristup fizičkom uređaju.
Isto tako, to bi teoretski trebalo spriječiti i phishing napade, gdje se korisnici usmjeravaju na lažnu web stranicu radi hvatanja zaporke.
Vasu Jakkal, Microsoftov potpredsjednik za sigurnost, usklađenost, identitet i privatnost, naglasio je stupanj kompatibilnosti među platformama.
S pristupnim ključevima na svom mobilnom uređaju, možete se prijaviti u aplikaciju ili uslugu na gotovo bilo kojem uređaju, bez obzira na platformu ili preglednik na kojem uređaj radi. Na primjer, korisnici se mogu prijaviti na Chrome preglednik koji radi u Windowsima - pomoću zaporke na Apple uređaju, pojasnio je Jakkal.
Višeplatformska funkcionalnost omogućena je standardom zvanim FIDO, koji koristi principe kriptografije javnog ključa kako bi omogućio autentifikaciju bez lozinke i višefaktorsku provjeru autentičnosti u nizu konteksta.
Korisnički telefon može pohraniti jedinstveni pristupni ključ kompatibilan s FIDO standardom i podijelit će ga s web stranicom radi provjere autentičnosti samo kada je telefon otključan. Prema Googleovoj objavi, pristupni ključevi se također mogu lako sinkronizirati s novim uređajem iz sigurnosne kopije u oblaku, u slučaju da se telefon izgubi.
Iako su mnoge popularne aplikacije već uključivale podršku za FIDO autentifikaciju, početna prijava zahtijevala je korištenje zaporke prije konfiguracije FIDO-a, što znači da su korisnici još uvijek bili ranjivi na phishing napade koji usputno kradu zaporke.
Međutim, nove procedure će ukinuti početni zahtjev za zaporkom, kao što je Sampath Srinivas, direktor upravljanja proizvodima za sigurnu autentifikaciju u Googleu i predsjednik FIDO Alliancea, rekao u izjavi za The Verge.
Ova proširena podrška za FIDO koja je najavljena danas omogućit će web stranicama da implementiraju, po prvi put, end-to-end iskustvo bez zaporke sa sigurnošću otpornom na krađu identiteta. Ovo uključuje i prvu prijavu na web stranicu i ponovne prijave. Kada podrška za pristupne ključeve postane dostupna u cijeloj industriji 2022. i 2023., konačno ćemo imati internetsku platformu za budućnost uistinu bez zaporke, rekao je Srinivas.
Do sada su iz Applea, Googlea i Microsofta rekli da očekuju da će nove mogućnosti prijave postati dostupne na svim platformama u sljedećoj godini, no konkretnijih najava od tih zapravo nema.
Izvor: The Verge
