Velké technologické společnosti chystají „bezheslovou“ budoucnost

Zpět na blog

Společnosti Apple, Google a Microsoft oznámily, že budou brzy podporovat přístup k ověřování, který se zcela vyhne heslům, a místo toho bude vyžadovat, aby uživatelé pouze odemkli svůj chytrý telefon a přihlásili se na webové stránky nebo do online služeb.

Podle odborníků by tyto změny měly pomoci překonat mnoho typů phishingových útoků a snížit celkovou zátěž uživatelů internetu spojenou s hesly. Na druhou stranu ale upozorňují, že skutečná budoucnost bez hesel může být pro většinu webových stránek ještě několik let vzdálená.

Technologičtí giganti jsou součástí snahy průmyslu nahradit hesla, která se snadno zapomínají, jsou často kradena malwarem a phishingovými programy nebo unikla v důsledku různých úniků dat a prodávají na internetu. Nedávný výzkum ukázal, že lidé stále používají hesla opakovaně nebo je recyklují (mírně upravují stejná hesla), jenže přístup „jedno heslo vládne všem“ je vysoce rizikové. Pokud se útočnici dostanou k „univerzálnímu“ heslu, mohou převzít ne jeden, ale hned několik online účtů oběti. Březnová zpráva společnosti SpyCloud zabývající se kybernetickou bezpečností zjistila, že 64 % uživatelů opakovaně používá hesla pro více účtů a že 70 % přihlašovacích údajů ohrožených při předchozích narušeních se stále používá.

Společnosti Apple, Google a Microsoft patří k nejaktivnějším přispěvatelům do standardu přihlašování bez hesla, který vytvořila aliance FIDO (Fast Identity Online) a konsorcium World Wide Web Consortium (W3C). Tyto skupiny v uplynulém desetiletí spolupracovaly se stovkami technologických společností na vývoji nového standardu přihlašování, který by fungoval stejně ve všech prohlížečích a operačních systémech.

Podle FIDO se uživatelé budou moci přihlašovat k webovým stránkám stejným úkonem, který každý den několikrát provedou při odemykání svých zařízení – včetně zadání kódu PIN zařízení nebo biometrických údajů, jako jsou otisk prstu nebo sken obličeje. Podle aliance tento přístup chrání před phishingem a přihlašování bude mnohem bezpečnější ve srovnání s hesly a staršími vícefaktorovými technologiemi, jako jsou jednorázové přístupové kódy zasílané prostřednictvím SMS.

Sampath Srinivas, ředitel bezpečnostního ověřování ve společnosti Google a prezident aliance FIDO, uvedl, že podle nového systému bude váš telefon uchovávat pověření FIDO nazývané „passkey“, které se používá k odemknutí vašeho online účtu. Díky tomuto klíči je přihlašování bezpečnější, protože je založen na šifrování veřejného klíče a konkrétnímu online účtu se zobrazí až po odemknutí telefonu, jak potvrdil Srinivas.

Pro přihlášení k webové stránce na počítači pak stačí mít telefon poblíž a pro přístup bude uživatel jednoduše vyzván k jeho odemčení. Jakmile tak učiní, telefon už nebude potřebovat a může se přihlásit pouhým odemknutím počítače.

Jak uvedl web ZDNet, společnosti Apple, Google a Microsoft již tyto standardy bez hesla podporují, ale uživatelé se musejí přihlásit na každé webové stránce, aby mohli funkci bez hesla využívat. V rámci tohoto nového systému budou mít uživatelé možnost automaticky přistupovat ke svému přístupovému klíči na mnoha svých zařízeních – aniž by museli znovu přihlašovat každý účet – a používat své mobilní zařízení k přihlášení do aplikace nebo na webovou stránku na blízkém zařízení.

Velkou výhodou tohoto standardu je, že nebude vyžadovat, aby si uživatelé kupovali nové zařízení, ale místo toho mohou k autentizaci používat zařízení, která již vlastní a která umí používat.

Technologičtí giganti uvedli, že nové funkce bez hesla budou na platformách společností Apple, Google a Microsoft zpřístupněny „v průběhu příštího roku“. Podle odborníků však bude pravděpodobně trvat ještě několik let, než tuto technologii přijmou menší webové projekty a zcela se zbaví hesel.

Zdroj: Bleeping Computer

16. 5. 2022