Iako operativni sistemi i kreatori pretraživača veba već podržavaju novi način potvrde identiteta, nije još sasvim jasno kako će veb-sajtovi početi da primenjuju WebAuthn API. WebAuthn je novi metod prijavljivanja na veb-sajtove koji bi konačno mogao da vas poštedi stalnog pamćenja (ili zaboravljanja) lozinki. Umesto toga, lozinka ćete biti vi sami, odnosno, otisak vašeg prsta, vaše lice или hardverski token. WebAuthn API je sada zvanični standard, a standardizaciju je obavila organizacija Konzorcijum WWW или W3C u ponedeljak. Srećom, svojstvo je već ugrađeno u mnoge popularne pretraživače kao i u operativni sistem Windows 10. Sada bi trebalo da ga i veb-sajtovi prihvate i ugrade u svoje stranice. Objasnićemo vam kako će novi proces prijavljivanja funkcionisati.
Zbog čega je WebAuthn bolji?
Verovatno ste čuli za lavinu otkrivanja ličnih i poverljivih podataka u kojoj su milioni korisničkih imena i lozinki, veoma često uparenih, postali javno dostupni na mreži. To se delimično dogodilo i zbog toga što vas veb-sajtovi pitaju, kad se prijavite, da li želite da svoje korisničko ime i lozinku sačuvate na tom sajtu. Ako ti podaci postanu dostupni javnosti na mreži, onda loši momci na internetu mogu da iskoriste te informacije i provere da li ste istu lozinku koristili za još neki nalog. To može dovesti do lančane reakcije u kojoj hakeri dobijaju pristup sve većem broju vaših ličnih podataka.
WebAuthn ne traži da unesete lozinku. U stvari, pošto kreira jedinstveni token za potvrdu identiteta svaki put kad se prijavite, možemo reći da na taj način prati preporučenu bezbednosnu proceduru kreiranja jedinstvene lozinke za svaki veb-sajt. Pri tom, ne primorava vas da bilo šta pamtite.
Ako nam ne treba lozinka, šta nam je potrebno za prijavljivanje?
WebAuthn podržava dve osnovne kategorije potvrde identiteta: biometriju i hardverske bezbednosne tokene. Verovatno već shvatate i koristite biometriju kao što je otisak prsta koga prepoznaju senzori na vašem mobilnom telefonu или računaru; или prepoznavanje lica koje se obavlja pomoću dubinske kamere koja funkcioniše sa aplikacijom Windows Hello na vašem računaru. Hardverski tokeni su malo manje poznati. Jedan od popularnijih primera hardverskog tokena je i Yubico YubiKey. Umesto lozinke или biometrije, jednostavno ubacite Yubikey u USB port na vašem računaru, što je veoma praktično ako ne posedujete dubinsku kameru na uređaju. Yubikey je, u stvari, kompleksna lozinka koju uvek imate uz sebe. Ako ga izgubite, treba da obavestite o tome određeni veb-sajt, deaktivirate ključ i zatim kupite novi i aktivirate ga.
Kako funkcioniše WebAuthn?
Blog pod nazivom Sophos Naked Security ukratko, ali veoma precizno, objašnjava ceo proces. Ako se prijavite na veb-sajt koji podržava WebAuthn, sajt zahteva od vašeg pretraživača da traži od vašeg računara (ili pametnog telefona) da dokaže da ste vi osoba za koju se izdajete. U tom slučaju, pretraživač traži da vaš pouzdani autorizator pruži dokaze o vašem identitetu. Autorizatori mogu biti čitač otiska prsta na telefonu, aplikacija Windows Hello или hardverski token.
Pošto se autorizatoru može nesumnjivo verovati, ne morate da sačuvate otisak prsta niti bilo šta drugo na veb-sajtu – što se razlikuje od trenutne procedure, pri kojoj se lozinke čuvaju na sajtu. U suštini, autorizator je posrednik, dobar prijatelj koji može da garantuje za vas kad sretnete neku nepoznatu osobu, kao nepogrešivi procenitelj vaše ličnosti. Kad vas veb-sajt zamoli da se prijavite, pretraživač traži od vašeg autorizatora da vas zamoli da dokažete da ste to vi tako što ćete, na primer, očitati otisak prsta. Autorizator tada potvrđuje da ste to zaista vi, a pretraživač prenosi tu šifrovanu potvrdu nazad do mrežnog servera.
Postoji još nekoliko dodatnih elemenata uključujući šifrovanje važnih podataka pomoću javnog ključa i izazov koji je povezan sa vašim privatnim ključem koji ga otključava. Zapravo, svoju „tajnu“ (otisak, prsta, lice или token) ne iznosite „napolje“; ona ostaje u okvirima vašeg računara. Ceo taj proces možete posmatrati i sa drugog stanovišta. Recimo, vaš lični bankar se vozi do vaše kuće da bi vam isporučio određenu svotu novca, a vi treba da dokažete ko ste. Mogli biste da uzvikujete svoje lične podatke i lozinku vozaču da biste potvrdili svoj identitet i tad bi vas čuo ceo komšiluk. Ipak, mnogo je bolje pouzdanog saradnika uvesti u svoj dom, dokazati svoj identitet i na kraju ga ispratiti uz pozdrav.
Postoji li demo verzija WebAuthn?
Postoji demo verzija koju možete pogledati. Iako je prilično spora i izgleda da zapravo ne kreira javni ključ, Webauthn.org vam pokazuje kako će funkcionisati konačna verzija.
Kako se WebAuthn razlikuje od dvofaktorne autentifikacije?
U suštini WebAuthn je jednofaktorna identifikacija: prilično strogo utvrđeni metod potvrde vašeg identiteta i to je sve. Ako umrete, može li neko da uzme vaš prst i da se prijavi na vaš nalog u banci? Ako je to jedini način potvrde identiteta (dakle, ako nema lozinke), odgovor je potvrdan. Da li će novi metod identifikacije funkcionisati zajedno sa dvofaktornim metodom? Videćemo. Dvofaktorna autentifikacija generalno kombinuje dva od tri elementa: nešto što znate (lozinku) sa nečim što imate (pametnu kartu или token) или sa nečim što ste vi – u stvari sa vama. Drugim rečima, vaša banka vam može tražiti da uz biometrijsku identifikaciju koristite i lozinku zbog unapređivanja bezbednosti.
Šta je potrebno da WebAuthn postane široko rasprostranjen i korišćen?
Osnova za korišćenje novog metoda potvrde identiteta je već postavljena. Operativni sistemi Windows 10 i Android, a već ga podržavaju pretraživači Chrome, Mozilla, Edge, Safari. Sad je došao red na veb-sajtove da počnu sa primenom podrške za WebAuthn, što može podrazumevati malo složeniju proceduru od jednostavnog prepravljanja koda koji bi prihvatio prijavljivanje pomoću nove procedure. Nije još sasvim jasno da li će, na primer, sajt koji podržava WebAuthn morati da se okrene manje bezbednom metodu potvrde identiteta pomoću lozinke ako vas, iz nekog razloga, Windows Hello ne prepozna или ako čitač otiska prsta zakaže. Sajtovi bi trebalo da ukažu korisnicima na prednosti korišćenja novog načina prijavljivanja i promene svoje stranice za prijavljivanje i sve ostalo što uz to ide. Da li će primorati korisnike koji imaju nešto starije računare da kupe hardverske tokene? Verovatno neće, ali o svemu tome treba razmišljati.
Ipak, sve što se dogodilo ove nedelje predstavlja značajan korak napred. W3C je organizacija koja se bavi standardizacijom tehnologija koje se koriste na mreži. Pošto je WebAuthn dobio zeleno svetlo, sad je došao red na sajtove da prošire njegovu upotrebu.