Hesla jsou v internetovém světe neodmyslitelnou součástí používání většiny webů. Požadavky na zabezpečení se však stále zvyšují a hesla se začínají jevit jako archaické řešení, které není na dnešní dobu připravené.
Tento názor zastává alespoň konsorcium FIDO (Fast IDentity Online), které by rádo prosadilo bezešvé přihlašování pomocí (zejména) biometrických údajů. Přihlašování by v budoucnu mělo být zajišťováno na bázi protokolu Web Authentication Standard, který toto sdružení vytvořilo a dnes je již součástí nejnovějších verzí prohlížečů Firefox a Chrome. Do Edge od Microsoftu zamíří v některém z nadcházejících updatů.
V čem je jednotné přihlašování lepší? Kdo ho bude podporovat? A kdy se ho dočkáme? Nejen tyto otázky se pokusí dnešní článek zodpovědět.
Hesla jsou riziko
Primární myšlenkou stojící za snahou zbavit web hesel je jejich nebezpečnost. Hesla totiž v současnosti představují často jediný způsob zabezpečení účtu a je tedy velmi důležité o ně nepřijít. To však kvůli poměrně častým únikům není úplně jednoduché. Samozřejmě, existuje zde možnost používat dvoufaktorové přihlašování. To je však jen nepraktickým krokem navíc a úniku hesel jako takovému zabránit nedokáže.
Největším problémem je, že většina uživatelů stále používá stejné heslo na více služeb. To je pochopitelné, neboť pamatovat si desítky unikátních hesel prostě nelze. Když ovšem útočníci některou ze služeb napadnou a hesla získají, umožní jim to přístup i ke všem dalším webům se stejným heslem, což je obrovský problém.
Pro zodpovědné používání hesel je tak nutné si pořídit nějakého správce hesel, který si veškerá unikátní hesla pamatuje za vás. Ne každý však důvěřuje jediné službě se svěřením veškerých svých údajů.
Neexistující heslo nelze ukrást
Řešení je přitom poměrně jednoduché. Hesla zkrátka zcela eliminovat. O to se právě snaží konsorcium FIDO ve spolupráci s W3C. Cílem je začít k přihlašování používat „hardwarové“ údaje, jako jsou především biometrická data, ale také třeba USB klíče a podobně.
Přihlašování by pak do značné míry připomínalo dvoufázové ověřování. Na webu byste místo vytvoření hesla zaregistrovali například smartphone a tím by bylo vše vyřešeno. Při dalším pokusu o přihlášení z libovolného přístroje by vám na mobilu vyskočila notifikace žádající přiložení prstu na čtečku, pohled do Face ID, či jiný způsob ověření. Webu by pak skrze protokol byla předána šifrovaná informace o úspěšné autorizaci a vy byste byli přihlášeni. V případě využití USB klíče či třeba chytrých hodinek by pak tento proces byl v podstatě okamžitý.
Veškerý přenos dat má být šifrovaný, fungovat pouze přes HTTPS a neměl by obsahovat žádné čitelné osobní údaje. Eliminováno je i riziko fyzického „odkoukání“ hesla, k němuž může dojít třeba v kavárně. Samozřejmostí je pak možnost nastavit si určitou dobu, po níž nebude ověření potřeba vůbec – podobně, jako si lze nyní nastavit zapamatování hesla. Při použití hardwarového přístroje však lze brát v úvahu například i fyzickou blízkost telefonu k zařízení, na němž se snažíte přihlásit.
Kdy se dočkáme?
Otázka zavedení tohoto mechanismu do praxe je složitá. Některé prohlížeče už tento protokol podporují, avšak technologie je pořád v podstatě v experimentální fázi. Hlavním problémem je, že chybí zařízení, jimiž by se dalo přihlašovat. Minimálně bude třeba počkat na to, až se standard dostane do mobilních operačních systémů.
Je třeba vyřešit také určité technické problémy, jako je třeba způsob přenesení autorizační funkce na nové zařízení. Aktuálně také není zcela jasné, jak by bylo řešeno odcizení či ztráta zařízení, které pro přihlašování používáme. U telefonu se tento problém řeší sám, bez vašich biometrických údajů se s ním nikdo nepřihlásí. USB klíč už ale bude třeba nějak na dálku deaktivovat.
Na implementaci technologie má však zájem celá řada velkých hráčů, takže se dá očekávat zdárný vývoj.
Podpora od vlád, bank, i internetových gigantů
Vypadá to, že protokol Web Authentication Standard bude široce dostupný a používaný opravdu téměř kdekoliv. Jak již bylo řečeno v úvodu, stojí za ním totiž aliance FIDO. A jejími členy jsou v podstatě všechny velké firmy, na jejichž spolupráci osud technologie závisí. Kromě internetových společností, jako je Google, Amazon, Alibaba, Microsoft, Ebay, Mozilla či Yahoo v seznamu členů najdeme i finanční korporace, jako je American Express, Visa, MasterCard, Bank of America, PayPal, ING, Goldman Sachs a Wells Fargo. Nechybí ani výrobci smartphonů či jejich součástí, jako je Huawei, Xiaomi, Samsung, Lenovo, LG, Intel, Synaptics či Qualcomm. Podpory se tato iniciativa dočkala dokonce i od vlád, spolupracuje Austrálie i Německo.
Jediní velcí hráči, které na seznamu nenajdeme, jsou v podstatě jen Facebook a Apple. Apple i Facebook jsou členy W3C, které nasazení protokolu doporučuje. Nejsou však přímo ve FIDO a možná tak mají k protokolu nějaké výhrady.
„Demo verze“ již funguje
Web Authentication Standard se stále vyvíjí, avšak již dnes si můžete vyzkoušet, jak bude vypadat. FIDO už totiž dříve představilo jakéhosi předchůdce nazvaného U2F (Universal 2nd Factor). Z názvu je jasné, že tento standard (na rozdíl od toho připravovaného) nahrazení hesel neumožňuje. Slouží k sekundární autorizaci u dvoufázového ověřování.
U2F již dnes můžete vyzkoušet například na Googlu nebo Facebooku. Musíte však vlastnit speciální ověřený USB klíč a technologie je zajímavá spíše jako ochutnávka toho, co přijde.
Web Authentication Standard je prosazovaný pouze jako doporučení, k rozšíření tedy teoreticky nemusí dojít. Vzhledem k obrovské podpoře od všemožných organizací lze však očekávat, že se ho dočkáme spíše dříve než později.
Do té doby se musíme spokojit se starými známými hesly. Doporučujeme proto minimálně na důležitých webech používat unikátní hesla a aktivovat si dvoufázové ověřování. Dobrým pomocníkem mohou být i správci hesel, avšak je třeba vybrat nějaké prověřené jméno.
Tomáš Krompolc
Další dnešní články
