Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.05.2019

Wzmocniony model

Panasonic Toughbook FZ-N1
23.05.2019

Szybsze sieci

D-Link Smart Mesh Wi-Fi AC1900/AC2600/AC3000
23.05.2019

Curved 4K

Samsung LU32R590
14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX

WebAuthn oficjalnym standardem W3C

Data publikacji: 18-04-2019 Autor: Sebastian Kuniszewski

Na początku marca br. organizacja World Wide Web Consortium (W3C) zakończyła prace nad nową metodą autoryzacji – WebAuthn – którą opracowała wspólnie z FIDO Alliance, tworzącą sprzętowe klucze autoryzujące, certyfikującą urządzenia i opracowującą standardy autoryzacji. Czy nowe uniwersalne rozwiązanie zmniejszy popularność stosowania haseł?

 

Słabe lub domyślne hasła są przyczyną ponad 80% przypadków naruszenia bezpieczeństwa danych. Mimo świadomości tego faktu większość osób posługuje się właśnie takimi poświadczeniami. Używany ciąg znaków nie zawsze jest jednak wystarczająco skomplikowany. Co gorsza, wielu użytkowników internetu wykorzystuje jedno hasło podczas logowania do różnych witryn, serwisów, sklepów i usług, ułatwiając w ten sposób pracę hakerom. Od pewnego czasu eksperci od zabezpieczeń powtarzają, że era logowania opartego na haśle zbliża się nieuchronnie do końca. W3C i FIDO Alliance zrobiły w tym kierunku kolejny duży krok.

NIEPRAKTYCZNE NARZĘDZIE

Hasła to nie tylko oczywisty cel działań cyberprzestępców, ale również nieco archaiczne narzędzie, generujące sporo problemów użytkownikom, a co za tym idzie, uciążliwe także dla administratorów systemów informatycznych. Według badań przeprowadzonych przez Yubico, producenta kluczy uwierzytelniania sprzętowego, użytkownicy spędzają przeciętnie niemal 11 godzin rocznie na wprowadzaniu lub resetowaniu wymaganych do logowania haseł. W środowiskach korporacyjnych ma to wg danych tej firmy przekładać się na straty sięgające średnio 5,2 mln dol. rocznie.

Chociaż tradycyjne uwierzytelnianie wieloskładnikowe (Multi-Factor Authentication, MFA) wprowadza kolejną warstwę zabezpieczeń, to istnieją ataki, m.in. phishingowe, będące w stanie poradzić sobie z tego rodzaju zabezpieczeniem. Sytuacja jest jeszcze gorsza z uwagi na stosunkowo niski wskaźnik korzystania z MFA przez użytkowników. W3C jest zdania, że autoryzacja dwuskładnikowa jest zbyt trudna dla przeciętnego użytkownika i za wolna dla firm. Mając powyższe na uwadze, World Wide Web Consortium i FIDO Alliance opracowały standard, który ma przyczynić się do tego, aby hasła stały się przeszłością i zostały zastąpione przez Web Authentication API (w skrócie WebAuthn) – oficjalny standard dla systemów Windows 10, Android i Chrome OS oraz przeglądarek: Mozilla Firefox (pierwsza przeglądarka, w której wprowadzono ten standard), Microsoft Edge, Google Chrome, Opera i Apple Safari. WebAuthn daje użytkownikom możliwość łatwiejszego logowania się do usług i urządzeń za pomocą danych biometrycznych i/lub kluczy bezpieczeństwa FIDO, dzięki czemu zapewnia znacznie wyższy poziom zabezpieczeń w porównaniu z modelem opierającym się na nazwie użytkownika i haśle. Fakt ukończenia prac Bret MacDowell, dyrektor wykonawczy w FIDO Alliance, podsumował bardzo optymistycznie: – Przechodzimy do kolejnej fazy naszej wspólnej misji, która zapewni wszystkim użytkownikom prostsze i pewniejsze uwierzytelnianie w internecie, zarówno dzisiaj, jak i przez wiele kolejnych lat.

BIOMETRIA I KRYPTOGRAFIA

WebAuthn przewiduje, że zamiast hasła będziemy używać odcisku palca na urządzeniach z czytnikiem linii papilarnych (większość nowych smartfonów) lub innych zabezpieczeń biometrycznych. Microsoft Edge może do logowania na stronach WWW wykorzystywać autoryzację Windows Hello, posiadacze iPhone’ów skorzystają z Face ID, a użytkownicy niektórych modeli Samsunga ze skanera tęczówki. To rozwiązania dostępne w popularnych i ogólnie dostępnych urządzeniach. Nowy standard uwzględnia też możliwość logowania za pomocą sprzętowego klucza USB lub innych dodatkowych urządzeń, takich jak np. smart­watche.

 

[...] 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"