FIDO Alliance včera zveřejnila novou bílou knihu popisující budoucí autentizační technologie. Ve spolupráci s pracovní skupinou W3C WebAuthn přinese dvě funkce, které my měly odbourat závislost na klasických heslech.
Organizace chce standardizovat použití smartphonu jako bezpečnostního klíče, který přes Bluetooth schválí přihlášení na počítači či jiném zařízení.
Zároveň pak umožní uložené údaje synchronizovat, takže se snadno budou přenášet mezi zařízeními. FIDO přímo počítá s tím, že k synchronizaci bude docházet na úrovni nějakého vyššího účtu (Apple/Google/Microsoft ID), případně se využije univerzální Bluetooth, aby bylo možné údaje přenést i mezi platformami různých firem.
Podobné funkce už dnes máme. Android může sloužit přenosný klíč pro přihlášení ke googlovskému účtu. Pověření předá prostřednictvím Bluetooth do počítače s Chromem či jiným kompatibilním prohlížečem. A pokud jde o synchronizaci, tam zase udělal krok směrem kupředu Apple, který skrz iCloud umí přenášet uložené údaje mezi iOS 15 a macOS Monterey.
Bezpečné a zároveň jednoduché
Cílem FIDO Alliance je tedy spojit bezpečnost hardwarových tokenů (USB/NFC klíče jako Yubikey či GoTrust Idem) s „přívětivostí“, jakou mají klasická hesla. Smartphone je přitom ideální prostředek, protože jej vlastní skoro každý.
Bude odolný vůči phishingu, protože se nepřenášejí hesla ani jednorázové kódy, které by bylo nutné někam zapisovat, s počítačem navíc komunikuje přes Bluetooth, který už z principu téměř vylučuje cílený útok na dálku.
Pro jednoduchost ale bylo třeba přidat i onu synchronizaci. Klasická hesla či celou databázi uloženou v nějakém správci jako 1Password či LastPass snadno přenesete mezi zařízeními. U tzv. FIDO Credentials založených na kryptografii to ale dosud nebylo prakticky možné (Apple je výjimkou), protože uložené údaje byly pevně svázaný s klíčem, tedy mobilem. Kdybyste jej ztratili, byl by to průšvih. A kdybyste si koupili nový, tak komplikovaná práce navíc.
Jakmile se nové technologie FIDO Alliance začnou využívat, současná omezení padnou. Mobil i bez nějaké zvláštní aplikace využijete k bezheslovému přihlášení ke Googlu, Facebooku či třeba státní správě skrz mojeID, které standardy FIDO rovněž implementuje. A když si koupíte nový nebo budete využívat dva současně, služba v operačním systému vše sladí tak, abyste nemuseli druhý mobil ručně přidávat jako další klíče na všechna místa (tedy onen Google, Facebook a mojeID).