Ne apropiem cu pași mici dar siguri de securitatea fără parole
Consorțiul World Wide Web (W3C) și FIDO Alliance au anunțat astăzi că o nouă specificație, WebAuthn („Authentication Web”), a fost promovată în etapa de Candidate Recommendation, penultima etapă a procesului de standardizare Web.
WebAuthn este o specificație care permite browserelor să expună dispozitive de autentificare hardware – USB, Bluetooth sau NFC – pe site-uri de pe Web. Aceste dispozitive hardware permit utilizatorilor să-și demonstreze identitatea pe site-uri fără a fi nevoie de nume de utilizator și parole. Spectrul a fost dezvoltat ca un efort comun între FIDO, un organism din industrie care dezvoltă sisteme de autentificare sigure și W3C, grupul din industrie care supraveghează dezvoltarea standardelor Web.
Cu browsere și site-uri care implementează WebAuthn, utilizatorii se pot conecta utilizând atât echipamente biometrice integrate (cum ar fi sistemele de recunoaștere a amprentelor și de recunoaștere a feței care sunt larg răspândite), cât și sisteme de autentificare externe, cum ar fi hardware-ul popular YubiKey USB. Cu WebAuthn, niciun fel de acreditări de utilizatori nu părăsesc vreodată browserul și nu sunt folosite parole, oferind o protecție puternică împotriva atacurilor de tip phishing și a altor tipuri de amenințări de securitate.
Microsoft, Google și Mozilla s-au angajat să sprijine WebAuthn. Chrome 67 și Firefox 60, ambele urmând să lanseze următoarea versiune stabilă în luna mai, vor avea activat WebAuthn în mod implicit.
WebAuthn se bazează pe o specificație FIDO anterioară numită Universal Authentication Factor (UAF). UAF nu a văzut prea multe preluări în browserele majore, iar specificațiile sale nu erau clare cu privire la modul în care ar trebui să funcționeze cu browserele mobile. WebAuthn are o susținere puternică de la principalii furnizori de browsere și este, de asemenea, proiectat pentru a fi mai versatil. Este capabil să se ocupe de o gamă mai largă de factori de autentificare, care să acopere nu doar biometrice și autentificatoare hardware, ci și PIN-uri sau chiar mai multe teste de bază care doar verifică faptul că un utilizator este prezent, fără nici un indiciu despre cine este acel utilizator.
Odată cu lansarea lui WebAuthn, adoptarea pe scară largă a autentificării fără parole va fi mult mai practică. Cu siguranță nu vom vedea moartea parolei peste noapte, dar acesta este tipul de infrastructură care trebuie să fie pusă la punct înainte de a putea fi înlocuită în mod credibil și eficient.