WebAuthn standardiziran, pot v splet brez gesel odprta

Matej Huš

7. mar 2019 ob 08:35:57

Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne odtise, žetone v USB, drugo biometriko itd. WebAuthn podpira USB, Bluetooth in NFC.

To ne pomeni, da bomo gesla prenehali uporabljati takoj ali sploh kdaj. Daje pa WebAuthn na voljo infrastrukturo, ki bo to omogočala. In morebiti za vse spletni strani res ni potrebno, da si zanje izmišljujemo geslo. Morda je za kakšne nepomembne forume laže imeti eno kartico FIDO, za bančništvo pa čitalnik prstnega odtisa. Ali pa tudi ne, WebAuthn bo namreč le možnost in ne obveza, podpreti pa jo morajo tudi ponudniki storitev na svojih straneh.