Ahelyett, hogy folyamatosan új módszereket fejlesztenének a jelszavak kezelésére, a Big Tech úgy döntött, hogy ideje teljesen kivonni őket a forgalomból. A Microsoft az Apple-lel és a Google-lal együtt bejelentette, hogy növelni kívánja a FIDO Alliance és a World Wide Web Consortium jelszó nélküli bejelentkezési szabványának támogatását.
Így működnek majd a jelszókulcsok
A jelszókulcsok (passkeys), vagyis a több eszközzel használható FIDO hitelesítő adatok egyetlen bejelentkezési lehetőségként fognak működni a különböző eszközökön és platformokon. Az alkalmazásban ez azt jelenti, hogy ha létrehozunk egy egyszer használatos jelszót (ami lehet egy PIN-kód vagy biometrikus azonosító), és bármikor, amikor be akarunk jelentkezni egy alkalmazásba vagy weboldalra, érkezik egy push-kérést, hogy igazoljuk magunkat ezzel a jelszóval. Egy új eszközt egy másik, a közelben lévő eszközzel is hitelesíteni lehetne, amelynek már vannak FIDO hitelesítő adatai. Lényegében az eszköz egy hardveres token lesz, amellyel hitelesíteni lehet a hozzáférést egy másik eszközhöz - írja a SlashGear.
A FIDO szövetség az új hitelesítési rendszer biztonságát egy fehér könyvben garantálja, amelyet a működési módjának megosztására adott ki. Először is közölte, hogy az új FIDO-rendszer Bluetooth-on keresztül működik, nem pedig az interneten, mint egyes push 2FA-rendszerek. A fehér könyv szerint ez azért előnyös, mert a Bluetooth fizikai közelséget kíván, ami azt jelenti, hogy a FIDO hitelesítő adatokkal az adathalászatnak ellenálló módon lehet használni a felhasználó telefonját a hitelesítés során.
A FIDO szövetség rámutat, hogy a Bluetooth csak "a fizikai közelség ellenőrzésére" szolgál, és hogy a tényleges bejelentkezési eljárás "nem függ a Bluetooth biztonsági tulajdonságaitól". Ez persze azt jelenti, hogy a jelkulcsokkal használható eszközöknek Bluetooth-kompatibilisnek kell lenniük, ami a legtöbb okostelefonon és laptopon alapfelszereltség, de a régebbi asztali PC-ken már nehezen beszerezhető. Továbbá, ha esetleg kíváncsiak lennének rá, a jelszókulcsok nem azonosak a kétfaktoros hitelesítéssel, mivel a jelszavak helyettesítésére szolgálnak, nem pedig egy további tényezőt jelentenek.
Mikor jön a jelszó nélküli jövő?
Az új FIDO-szabvány az Apple, a Google és a Microsoft platformjain a következő év folyamán válik elérhetővé. Az Apple már most előnnyel indul az egész passkey trendben, hiszen az iOS 15-ben és a macOS Monterey-ben már működik a rendszer, de más platformokkal még nem kompatibilis. A Google is kínál passkey támogatást az Android Play Services-ben. Ami még hátravan, az a különböző platformok közötti átjárhatóság, ami azt jelenti, hogy a felhasználók például egy Microsoft-eszközön lévő passkey-vel hitelesíteni tudják majd a bejelentkezést egy Apple-eszközön.
A FIDO Szövetségnek még ki kell dolgoznia néhány további részletet, megszüntetni néhány hibát ahhoz, hogy a jelszó nélküli bejelentkezést biztonságossá és működőképessé tegye. Az egyik megoldandó alapkérdés, hogy mi történik, ha valaki elveszíti a készülékét? A FIDO Alliance fehér könyve szerint akkor is visszaállíthatja fiókjait, ha bejelentkezik a fő platformfiókjába. Ez nem probléma, ha a hitelesítő adatokat több eszközön is beállította. De mi történik, ha ezek az eszközök nincsenek a közelben? Amíg erre és a hasonló problémákra a FIDO nem tud választ adni, addig maradnak a jelszavak. De talán már nem túl sokáig.
