Slo-Tech - O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn in sprejetju tehnoloških velikanov, a na ključni preboj še čakamo. Morda bo odločilen korak, ki ga je danes napravil Google z začetkom velikega testiranja ključev (passkey), v katerem sodeluje 9 milijonov organizacij. Od danes lahko omogočijo prijavo svojim zaposlenim v Google Workspace al Google Cloud s ključem.

To je nova tehnologija preverjanje istovetnosti, ki ne uporablja gesel in jo razvija Združenje FIDO, v katerem sodelujejo tudi Google, Apple in Microsoft. Ključi omogočajo prijavo v storitve s potrjevanjem istovetnosti na nivoju naprave, torej s prstnim odtisom na telefonu, Windows Hello ali Face ID v iPhonu. S tem odpade potreba po geslih in dvostopenjski avtentikaciji ali smsih. Ključev ni možno ukrasti, ker ne vsebujejo nobenega nespremenljivega zaporedja znakov (kot je geslo), ki bi ga bilo možno prekopirati.

Uporabo ključev bodo morali odobriti lokalni administratorji v organizacijah. Poleg...

FIDO Alliance - Informacijski velikani Apple, Google in Microsoft so oznanili, da na osnovi tehnologije združenja FIDO postavljajo platformo za brezgeselno vpisovanje v uporabniške račune na vseh svojih napravah in operacijskih sistemih. To bi lahko pomenilo ključen premik v prodoru tehnologij za strojno avtentikacijo brez klasičnega gesla.

Z nenehno rastjo števila nalinijskih aplikacij, ki za rabo zahtevajo uporabniški račun, znakovna gesla postajajo vse večji varnostni problem. Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel, ljudje bodisi uporabljajo preveč enostavna bodisi jih na različnih platformah reciklirajo in s tem postanejo tarče za potencialne napade z rabo baz kompromitiranih gesel (password spraying). Zato se že več kot desetletje vztrajno krepi težnja po raznoraznih alternativah, med katerimi so bili sprva priljubljeni preprostejši upravljalniki gesel, zadnje čase pa prodirajo naprednejše avtomatizirane platforme, kot sta OpenID in WebAuthn, pri...

Slo-Tech - Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne...

Slo-Tech - Google je pred časom razkril, kako imajo v podjetju poskrbljeno za obrambo zaposlenih pred phishing napadi na njihove uporabniške račune. Zdaj je Titan Security Key prišel tudi v prosto prodajo, te dni ga je moč za 50 dolarjev naročiti v ZDA, kmalu pa naj bi bil na voljo globalno.

Gre za ključek, izdelan po odprtih FIDO standardih, sestavljen je iz dveh fizičnih delov - USB enote in Bluetooth enote, ki skupaj omogočata dvostopenjsko avtentikacijo. Taka metoda U2F (Universal 2nd Factor) velja za precej bolj zanesljivo, kot pa denimo tista s potrditvenim SMSom, ki ga je moč prestreči. Ima pa seveda tudi to slabo lastnost, da gre za fizično napravo, ki jo imetnik lahko izgubi.

Oba dela ključka se med sabo namesto s statično kodo, seznanjata s pomočjo...

Slo-Tech - Mozilla, Google in Microsoft podpirajo prihajajoč spletni standard WebAuthentication (WebAuthn), ki prinaša enotni način preverjanja pristnosti na internetu in utegne zamenjati prijavo z gesli. WebAuthn podpira več načinov potrjevanja identitete, denimo prstne odtise, USB-žetone, biometriko ipd., uporabil pa bi, kar bi imel uporabnik na zalogi. Gre za tehnologijo, ki prinaša podporo za USB, Bluetooth in NFC v brskalnik. WebAuthn pripravljata FIDO Alliance in Konzorcij W3C (World Wide Web Consoritum), trenutno pa je v stadiju CR (Candidate Recommendation). Delovna skupna, ki pripravlja standard, je torej v glavnem že zbrala in definirala funkcionalnosti...

Slo-Tech - Zaradi naraščajočega števila vdorov v poštne predale Gmail in druge Google storitve, ki so posledica neprevidnega ravnanja uporabnikov in napadov z ribarjenjem, s katerimi napadalci pridobijo prijavne podatke uporabnika, je Google pripravil bistveno bolj zaščiteno verzijo svojih računov. Kot smo napovedovali že v začetku meseca, lahko sedaj svoj račun zaklenete tako, da bo dostopen le s fizičnim ključkom. Storitev se imenuje Advanced Protection in je namenjena strankam, ki potrebujejo najvišjo stopnjo zaščite, tudi kadar ta posega na področje enostavnosti uporabe - denimo novinarjem, direktorjem, aktivistom...

Ars Technica - Kakorkoli obrnemo, gesla ostajajo najpogostejša možnost za ugotavljanje istovetnosti uporabnikov računalniških sistemov. Lokalno je sicer mogoče uporabljati biometrijo, recimo prepoznavanje glasu, prstnih odtisov ali šarenice, na internetu pa nam do neke mere na pomoč priskočijo certifikati, a brez gesel ne gre. In ker je storitev, za katere potrebujemo geslo, čedalje več, ljudi pa nismo čedalje pametnejši, gesla recikliramo, uporabljamo ista gesla, si jih pišemo na listke itn. Zato vsake toliko časa vznikne kakšna zamisel, kako bi z gesli opravili enkrat za vselej. Sedaj imajo tako idejo v Paypalu.

Kot pojasnjuje Paypalov vodja računalniške varnosti Michael Barrett, želijo v prihodnjih letih doseči odpravo gesel, številk PIN in...