Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla
Jurij Kristan
7. maj 2022 ob 14:18:37
Informacijski velikani Apple, Google in Microsoft so oznanili, da na osnovi tehnologije združenja FIDO postavljajo platformo za brezgeselno vpisovanje v uporabniške račune na vseh svojih napravah in operacijskih sistemih. To bi lahko pomenilo ključen premik v prodoru tehnologij za strojno avtentikacijo brez klasičnega gesla.
Z nenehno rastjo števila nalinijskih aplikacij, ki za rabo zahtevajo uporabniški račun, znakovna gesla postajajo vse večji varnostni problem. Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel, ljudje bodisi uporabljajo preveč enostavna bodisi jih na različnih platformah reciklirajo in s tem postanejo tarče za potencialne napade z rabo baz kompromitiranih gesel (password spraying). Zato se že več kot desetletje vztrajno krepi težnja po raznoraznih alternativah, med katerimi so bili sprva priljubljeni preprostejši upravljalniki gesel, zadnje čase pa prodirajo naprednejše avtomatizirane platforme, kot sta OpenID in WebAuthn, pri čemer znajo nekatere izkoristiti tudi današnje metode za biometrično identifikacijo, na primer s prepoznavo obraza ali prstnih odtisov na telefonu. Najpomembnejše industrijsko združenje v tem oziru je FIDO Alliance, pri čemer je FIDO kratica za Fast IDentity Online. Na osnovi njihove tehnologije (kamor sodi tudi WebAuthn) so večja podjetja že lansirala tovrstne storitve; tako je mogoče Androidne telefone od leta 2019 uporabljati za dvostopenjsko preverjanje v Googlovih storitvah, iphone pa od lani za avtentikacijo v macOSu.
Za dejansko množično razširitev tehnologij vpisovanja brez gesla pa mora nastati nek krovni standard in poglavitni trije velikani - Apple, Google in Microsoft - so se naposled družno odločili, da je čas, da FIDO razširijo na vse svoje naprave in operacijske sisteme; se pravi Windows, Chrome, macOS, Android in iOS. Pristop bo uporabljal na novo razvit žeton, ki ga imenujejo FIDO passkey, posebnost metode pa je raba Bluetootha, s katerim se bo strojni avtentikator - pametni telefon - povezal z računalnikom, da bo tam uporabnika identificiral pri vpisu v uporabniški račun. Bluetooth ne slovi ravno po svoji varnosti, tu pa bo uporabljen specifično zaradi potrebe po fizični bližini naprave, s katero se odpravi možnost za zlorabo raznih oblik ribarjenja. Dodatna težava zna biti tudi kompatibilnost - medtem ko je BT resda že lep čas privzeta oprema prenosnikov, pa je s starejšimi namiznimi računalniki drugače. V združenju sicer pravijo, da bomo prve rešitve na osnovi najavljene premise videli prihodnje leto; do takrat bodo bolje razložili tudi, kako bo verifikacija potekala na strojni ravni, bržda z izkoriščanjem funkcij najnovejših varnostnih koprocesorjev v sistemskih čipih.
Na ta način bi brezgeselno vpisovanje lahko dejansko postalo univerzalno in osnovni način identifikacije, torej ne zgolj kot drugotni element v dvostopenjskem postopku. Seveda pa se poleg poraja vprašanje, kako dobro bo zaščiten naš telefon, ki bo kot univerzalni menedžer gesel s tem močno pridobil na vrednosti. V primeru izgube naprave naj bi storitev tu omogočala obnovo podatkov na nov telefon iz oblaka, do katerega bomo dostopali ... z geslom? Tisti bolj paranoični uporabniki bodo zato najverjetneje ostali pri neki sorti večstopenjskega preverjanja.