A technológiai mamutvállalatok közül a Google, az Apple és a Microsoft nagyot lépett előre a jelszómentes világ felé - írja külföldi források alapján a Nemzeti Kibervédelmi Intézet.
A cégek ugyanis döntöttek arról, hogy platformjaikat (Android és Chrome; iOS, macOS és Safari; Windows és Edge) a jövő év során kompatibilissá teszik az úgynevezett FIDO - jelszómentes - szabványokkal. Mindez azt jelenti a gyakorlatban, hogy nemsokára ezeken a felületeken egyáltalán nem lesz szükség jelszavakra, ehelyett a telefonunkon tárolt FIDO-s jelkulcs szolgál majd nem csupán a telefon feloldására, hanem atomatikusan be is lehet jelentkezni az adott fiókba.
A fenti cégek platformjain eddig is volt már bizonyos fokú FIDO-támogatás, azonban ez új eszközökön nem működött automatikusan, egy hagyományos bejelentkezés után lehetett átváltani egy FIDO-kompatibilis eszközzel történő hitelesítésre.
Miért biztonságosabb a jelszónál a FIDO jelkulcs?
A jelszavakkal az az alapvető probléma, hogy ezeket ellophatják, másrészt sokan a jelszavakat „újrahasznosítják", azaz mindenhol egy jelszót használnak: a SpyCloud felmérése szerint ez a felhasználók 64 százaklékára jellemző. Márpedig ez óriási biztonsági kockázatnak számít.
A FIDO-s jelkulcsok esetében a hitelesítés titkosított API üzeneteken (hívásokon) keresztül történik. Sampath Srinivas, a Google biztonságos hitelesítésért felelős termékfejlesztési vezetője szerint ezt nagyjából úgy kell elképzelni, mint ahogyan a jelszómenedzser programok működnek: az egyik API hívás egy olyan üzenetet tartalmaz, mint például „készíts egy random jelszót”, míg egy másik „add át X felhazsnálónév-jelszó párost Y webhelynek”. Természtesen annak is megvan a pontos módja, hogy a webhely mögötti szerver hogyan bizonyosodjon meg az üzenet hitelességéről, ennek a lefejlesztése, implementálása az, ami időt vesz igénybe a tech cégek részéről.