Apple, Google i Microsoft su objavili da planiraju da prošire podršku za standard bez lozinki, koji su razvili FIDO Alliance i World Wide Web Consortium
Apple, Google i Microsoft planiraju da implementiraju logovanje bez lozinki u više svojih proizvoda tokom predstojećih godina, a to bi trebalo da dovede do poboljšanja bezbjednosti onlajn naloga.
Sistem za kreiranje lozinki potiče iz vremena prije interneta, a smislio ih je Fernando Corbato još šezdesetih godina prošlog vijeka. On je u to vrijeme razvio Compatible Time-Sharing System (CTSS), koji je korisnicima omogućavao da dijele neki računar i istovremeno štite svoje privatne fajlove.
Corbato je kasnije i sam priznao da su lozinke postale problematične, te istakao da je taj sistem napravljen za neko prošlo vrijeme – doba prije interneta.
Tako lozinke nisu napravljene da se koriste u okviru mreže, što znači da je neophodno da se načini za čuvanje privatnosti promjene što prije. I sam tvorac lozinki poziva na njihovo ukidanje, budući da skoro nijedno ljudsko biće ne može da upamti sve lozinke koje koristi. Zbog toga se pribjegava upotrebi istih passworda, ili pak nekom programu za upravljanje lozinkama, što je već samo po sebi bezbjednosni propust.
Sistemi autentifikacije bez lozinki
Microsoft, Google, Apple i drugi IT giganti već neko vrijeme rade na sistemima autentifikacije bez lozinki, a u okviru Fast Identity Online (FIDO) alijanse. Tako je još početkom 2018. najavljeno da bi internet pretraživači uskoro mogli da omoguće drugačiji način za logovanje, a preko novog standarda WebAuthn, koji se još tada našao u novoj verziji Firefoxa, a kasnije i drugih pregledača.
Početkom maja, budući da je prvi četvrtak u ovom mjesecu označen kao Svjetski dan lozinki, Microsoft, Google i Apple su još jednom podsjetili na svoje udružene napore da lozinke ukinu jednom za svagda, te na FIDO standard. To znači da bi korisnici uskoro mogli da se oslobode lozinki, te krenu prema sigurnijim login metodama, koje bi uključivale biometrijske parametre i USB tokene.
Opcija se već koristi na platformama kao što su Google i Facebook, gdje korisnici pored tradicionalnog načina logovanja na svoje profile mogu da koriste i Yubikey token koji je kreiran prema FIDO standardu.
„Potpuni prelazak na svijet bez lozinki počeće tako što će ga potrošači učiniti prirodnim dijelom svog života. Svako održivo rješenje mora biti bezbjednije, lakše i brže od lozinki i zastarjelih metoda višefaktorske autentifikacije koje se danas koriste. Radeći zajedno kao zajednica na različitim platformama, konačno možemo da ostvarimo ovu viziju i ostvarimo značajan napredak ka eliminisanju lozinki. Vidimo svijetlu budućnost za akreditive zasnovane na FIDO-u kako u potrošačkim tako iu poslovnim scenarijima i nastavićemo da gradimo podršku za sve Microsoft aplikacije i usluge“, istakao je Aleks Simons – korporativni potpredsjednik Microsofta.
FIDO standard
Sa najnovijom objavom, kompanije se obavezuju da će korisnicima omogućiti da automatski pristupaju FIDO kredencijalima za logovanje na njihovim uređajima, bez potrebe da ponovo registruju svaki nalog.
Pored toga, oni koji koriste FIDO verifikaciju za logovanje na aplikacije ili sajtove će moći to da čine preko obližnjih mobilnih uređaja, nevezano za operativni sistem ili pregledač.
FIDO standard se zasniva na “dokazu nultog znanja” (zero-knowledge proof), koji u kriptografiji predstavlja metodu zahvaljujući kojoj jedna strana može da dokaže drugoj da zna neku vrijednost X, a da ne pruža dodatne informacije, sem činjenice da joj je poznata pomenuta vrijednost X.
Budući da u okviru te metode ne postoji niz slova i brojeva, koji nazivamo lozinkom, već se nalogu pristupa samo preko „dokaza nultog znanja,“ konvencionalni fišing, te drugi napadi, biće praktično nemogući. Ovakav način logovanja se dugo izbjegavao, čak i na servisima na kojima je dostupan, ali je sigurno da pruža pouzdan način za obezbjeđivanje privatnih i poslovnih naloga.
