Sledujte nás na YouTube

Heslům odzvonilo, blíží se sjednocené přihlašování

Hesla jsou v internetovém světe neodmyslitelnou součástí používání většiny webů. Požadavky na zabezpečení se však stále zvyšují a hesla se začínají jevit jako archaické řešení, které není na dnešní dobu připravené.

Tento názor zastává alespoň konsorcium FIDO (Fast IDentity Online), které by rádo prosadilo bezešvé přihlašování pomocí (zejména) biometrických údajů. Přihlašování by v budoucnu mělo být zajišťováno na bázi protokolu Web Authentication Standard, který toto sdružení vytvořilo a dnes je již součástí nejnovějších verzí prohlížečů Firefox a Chrome. Do Edge od Microsoftu zamíří v některém z nadcházejících updatů.

V čem je jednotné přihlašování lepší? Kdo ho bude podporovat? A kdy se ho dočkáme? Nejen tyto otázky se pokusí dnešní článek zodpovědět.

Hesla jsou riziko

Primární myšlenkou stojící za snahou zbavit web hesel je jejich nebezpečnost. Hesla totiž v současnosti představují často jediný způsob zabezpečení účtu a je tedy velmi důležité o ně nepřijít. To však kvůli poměrně častým únikům není úplně jednoduché. Samozřejmě, existuje zde možnost používat dvoufaktorové přihlašování. To je však jen nepraktickým krokem navíc a úniku hesel jako takovému zabránit nedokáže.

Největším problémem je, že většina uživatelů stále používá stejné heslo na více služeb. To je pochopitelné, neboť pamatovat si desítky unikátních hesel prostě nelze. Když ovšem útočníci některou ze služeb napadnou a hesla získají, umožní jim to přístup i ke všem dalším webům se stejným heslem, což je obrovský problém.

Pro zodpovědné používání hesel je tak nutné si pořídit nějakého správce hesel, který si veškerá unikátní hesla pamatuje za vás. Ne každý však důvěřuje jediné službě se svěřením veškerých svých údajů.

Neexistující heslo nelze ukrást

Řešení je přitom poměrně jednoduché. Hesla zkrátka zcela eliminovat. O to se právě snaží konsorcium FIDO ve spolupráci s W3C. Cílem je začít k přihlašování používat „hardwarové“ údaje, jako jsou především biometrická data, ale také třeba USB klíče a podobně.

 

Přihlašování by pak do značné míry připomínalo dvoufázové ověřování. Na webu byste místo vytvoření hesla zaregistrovali například smartphone a tím by bylo vše vyřešeno. Při dalším pokusu o přihlášení z libovolného přístroje by vám na mobilu vyskočila notifikace žádající přiložení prstu na čtečku, pohled do Face ID, či jiný způsob ověření. Webu by pak skrze protokol byla předána šifrovaná informace o úspěšné autorizaci a vy byste byli přihlášeni. V případě využití USB klíče či třeba chytrých hodinek by pak tento proces byl v podstatě okamžitý.

Veškerý přenos dat má být šifrovaný, fungovat pouze přes HTTPS a neměl by obsahovat žádné čitelné osobní údaje. Eliminováno je i riziko fyzického „odkoukání“ hesla, k němuž může dojít třeba v kavárně. Samozřejmostí je pak možnost nastavit si určitou dobu, po níž nebude ověření potřeba vůbec – podobně, jako si lze nyní nastavit zapamatování hesla. Při použití hardwarového přístroje však lze brát v úvahu například i fyzickou blízkost telefonu k zařízení, na němž se snažíte přihlásit.

Kdy se dočkáme?

Otázka zavedení tohoto mechanismu do praxe je složitá. Některé prohlížeče už tento protokol podporují, avšak technologie je pořád v podstatě v experimentální fázi. Hlavním problémem je, že chybí zařízení, jimiž by se dalo přihlašovat. Minimálně bude třeba počkat na to, až se standard dostane do mobilních operačních systémů.

Je třeba vyřešit také určité technické problémy, jako je třeba způsob přenesení autorizační funkce na nové zařízení. Aktuálně také není zcela jasné, jak by bylo řešeno odcizení či ztráta zařízení, které pro přihlašování používáme. U telefonu se tento problém řeší sám, bez vašich biometrických údajů se s ním nikdo nepřihlásí. USB klíč už ale bude třeba nějak na dálku deaktivovat.

Na implementaci technologie má však zájem celá řada velkých hráčů, takže se dá očekávat zdárný vývoj.

Podpora od vlád, bank, i internetových gigantů

Vypadá to, že protokol Web Authentication Standard bude široce dostupný a používaný opravdu téměř kdekoliv. Jak již bylo řečeno v úvodu, stojí za ním totiž aliance FIDO. A jejími členy jsou v podstatě všechny velké firmy, na jejichž spolupráci osud technologie závisí. Kromě internetových společností, jako je Google, Amazon, Alibaba, Microsoft, Ebay, Mozilla či Yahoo v seznamu členů najdeme i finanční korporace, jako je American Express, Visa, MasterCard, Bank of America, PayPal, ING, Goldman Sachs a Wells Fargo. Nechybí ani výrobci smartphonů či jejich součástí, jako je Huawei, Xiaomi, Samsung, Lenovo, LG, Intel, Synaptics či Qualcomm. Podpory se tato iniciativa dočkala dokonce i od vlád, spolupracuje Austrálie i Německo.

 

Jediní velcí hráči, které na seznamu nenajdeme, jsou v podstatě jen Facebook a Apple. Apple i Facebook jsou členy W3C, které nasazení protokolu doporučuje. Nejsou však přímo ve FIDO a možná tak mají k protokolu nějaké výhrady.

„Demo verze“ již funguje

Web Authentication Standard se stále vyvíjí, avšak již dnes si můžete vyzkoušet, jak bude vypadat. FIDO už totiž dříve představilo jakéhosi předchůdce nazvaného U2F (Universal 2nd Factor). Z názvu je jasné, že tento standard (na rozdíl od toho připravovaného) nahrazení hesel neumožňuje. Slouží k sekundární autorizaci u dvoufázového ověřování.

U2F již dnes můžete vyzkoušet například na Googlu nebo Facebooku. Musíte však vlastnit speciální ověřený USB klíč a technologie je zajímavá spíše jako ochutnávka toho, co přijde.

Web Authentication Standard je prosazovaný pouze jako doporučení, k rozšíření tedy teoreticky nemusí dojít. Vzhledem k obrovské podpoře od všemožných organizací lze však očekávat, že se ho dočkáme spíše dříve než později.

Do té doby se musíme spokojit se starými známými hesly. Doporučujeme proto minimálně na důležitých webech používat unikátní hesla a aktivovat si dvoufázové ověřování. Dobrým pomocníkem mohou být i správci hesel, avšak je třeba vybrat nějaké prověřené jméno.

Tomáš Krompolc

Fanoušek Androidu, Googlu a moderních technologií. Rád si poslechne tvrdší hudbu a mezi jeho nejoblíbenější seriály patří ty z produkce Netflixu. V současné době je spokojeným majitelem telefonu OnePlus 6.

6 komentářů

  1. František Mlejnek (neregistrovaný)

    Už jsem z těch všech novinek ve výpočetní technice na zhroucení. Zrovna jsem koukal, kolik mi nahodila nová verze Windows 10 do počítače zcela zbytečných modulů, které mi akorát obsazují paměti počítače. Stejně jsem se za tři roky nenaučil s Androidem na smartphonu pracovat, je to všechno čím dál složitější,uživatelsky nepřítulné, jak se kdysi říkalo. Dotykové ovládání není ideální…

    • Asdf (neregistrovaný)

      Mně naopak připadá všechno uživatelsky stále jednodušší a přívětivější, někdy bych řekl až primitivnější. Kde jsou ty časy, kdy na počítači mohli pracovat v podstatě jen experti, kteří ovládali příkazový řádek…

      • Co si budeme nalhávat, také často méně pod kontrolou uživatele. Jak systém, tak obsah, viz stupidní principy doporučování obsahu a černá díra jménem „AI“, kam se dnes počítá všechno, co umí spočítat 1+1*1.

      • Uni: a ty to spočítat umíš? 😀

      • lololol (neregistrovaný)

        uni tradicne musi reagovat na kazdy clanok aspon jednym blabolom v diskusii. nevadi, ze je to uplny nezmysel, ale kazdu ciarku si uni pocita. cele dni na forach, realny zivot a venkovsky vzduch ziadny, tak sa dostavuje frustracia a zmatenost.

  2. Arthurdoyk (neregistrovaný)

    může někdo to je zajímavé – https://www.deviceranking.de/phone/12806/umidigi-z2-pro

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *