Vissza

2022. augusztus 23.

Jelszavak nélküli jövő FIDO-kompatibilis jelkulcsokkal (passkeys)

Úgy tűnik, az Apple Passkeys bevezetése még gyorsabbá teszi a jelszó nélküli hitelesítést. FIDO-kompatibilis és biztonságos. Olvassa el, miért.

Az Apple komoly változtatásra készül: az otthoni Safari böngészőben használt jelszavakat hamarosan jelkulcsokkal (passkeys) váltja fel. Ezek a jelkulcsok elsősorban a WebAuthn iparági szabványon alapuló privát és nyilvános kulcspárokból állnak és segítségükkel a felhasználóknak többé nem lesz szükségük jelszavakra a bejelentkezéshez. Elég lesz kizárólag a biometriai jellemzőiket (pl. az arcukat vagy az ujjlenyomatukat) használniuk majd a hitelesítéshez, a jelkulcsokat pedig az adott eszköz és az iCloud Keychain tárolja. A változtatást az teszi igazán jelentőségteljessé, hogy az Apple nem egyedül áll át a jelszó nélküli bejelentkezésre, hanem egy olyan – technológiai vállalatokból álló szövetség részeként, amelyhez más iparági nagyágyúk is csatlakoztak, mint például a Google és a Microsoft. Az alábbi cikkben röviden bemutatjuk, hogy a jelkulcsok miként tesznek lehetővé biztonságos hitelesítést, ezáltal kényelmesebbé téve az online böngészést és vásárlást.

A jelszavakat évek óta az informatikai biztonság Achilles-sarkának tekintik. Ha a jelszavak rövidek és könnyen megjegyezhetőek, akkor nem biztonságosak. Ha azonban hosszúak (legalább 12 karakter), speciális karaktereket és számokat is tartalmaznak, akkor szinte lehetetlen megjegyezni őket. Ráadásul a jelszavak fontos célpontot jelentenek a kiberbűnözők számára, akik adathalász támadásokkal (phishing) hamis vállalati weboldalakra irányítják áldozataikat, vagy telefonhívások során cégvezetőknek adják ki magukat – mindezt azért, hogy rávegyék a felhasználókat bizalmas belépési adataik felfedésére. Mire a megtévesztett személyek vagy az érintett vállalat informatikai vezetői észlelik a támadást, általában már túl késő – a bűnözőknek tipikusan csak néhány percre van szükségük, hogy értékes belső vállalati adatokat szerezzenek meg a szerverekről, vagy hogy online vásárolgassanak áldozatuk kárára.

A jelkulcsok használatára nem csak az Apple fog átállni

A jelkulcsok célja, hogy egyszer és mindenkorra kiküszöböljék ezt a sebezhetőséget, amely az online szolgáltatókat és üzleteket éppúgy érinti, mint a végfelhasználókat. Ez az új jelszó nélküli hitelesítési megoldás a gyakorlatba ülteti mindazt, amin az Apple a többi nagy technológiai vállalattal (Alphabet [Google], Amazon, Meta [Facebook] és a Microsoft), valamint a különböző hardvergyártókkal (az Inteltől egészen a Qualcommig) karöltve a FIDO Alliance szövetség égisze alatt már 2012 óta dolgozik. A szervezet célja, hogy az embereknek kisebb mértékben kelljen jelszavakra támaszkodniuk, továbbá hogy (ki)fejlessze a hitelesítési szabványokat az asztali és mobil eszközökön egyaránt.

Következésképpen az Apple jelkulcsa nem egy saját fejlesztésű, a saját termékeik ökoszisztémájára korlátozódó megoldás, hanem egy FIDO2 kompatibilis fejlesztés. Más szóval a jelkulcsok bevezetése megfelel a FIDO Alliance által kifejlesztett és szabványosított “bejelentkezési hitelesítő adatok” követelményeinek. Mivel a FIDO Alliance más tagjai -például a Microsoft és a Google – is támogatják a jelkulcsok használatát, a módszer az elkövetkező években valószínűleg gyorsan elterjed majd és a jelszavak elhagyása mellett további előnyöket is kínál. Egyrészt független a használt eszköztől, az operációs rendszertől és a böngészőtől. Másrészt lehetővé teszi a digitális kulcs különböző eszközök közötti biztonságos megosztását. A felhasználók így anélkül férhetnek hozzá személyes jelkulcsaikhoz, hogy minden egyes eszközükön újra be kellene jelentkezniük; ez a megoldás így magasabb szintű felhasználói élményt eredményez.

Annak érdekében, hogy az új rendszer a jövőben is zökkenőmentesen működjön, nem csak a technológiai óriásoknak kell összefogniuk, hanem az online szolgáltatóknak és boltoknak is hozzá kell járulniuk a sikerhez azáltal, hogy alkalmazásaikat és weboldalaikat felkészítik a jelszó nélküli jövőre. A FIDO Alliance tagjai már most is kínálnak erre a célra szolgáló technikai interfészeket.

A webshopok (és további hasonló szolgáltatások) fejlődése

A weboldal-üzemeltetők maguk is integrálhatják az ilyen típusú API-kat szoftverarchitektúrájukba, vagy olyan harmadik féltől származó hitelesítési megoldásokhoz fordulhatnak, mint például a Nevis, amely már teljes mértékben alkalmazza ezt a megoldást. Ezek a megoldások többnyire felhőben érhetőek el, ami azt jelenti, hogy a vállalatoknak nem kell azzal foglalkozniuk, hogy naprakészen tartsák a bejelentkezési komponenseket, mert ezt a (központi) szolgáltató megteszi helyettük.

Valószínűleg még eltart egy ideig, amíg a jelkulcsok ténylegesen mindenhol használatra készek lesznek, de a hardver- és szoftvergyártók széles körű támogatása miatt egy dolog teljesen biztos: semmi sem állhat egy olyan innováció útjába, amely sokkal biztonságosabbá teszi az online szörfözést és vásárlást.

Eredeti cikk a Nevis Security honlapján

Vissza