Google Kínában
A Google-fióktulajdonosok hamarosan ujjlenyomatukkal hitelesíthetik fiókjukat, és bejelentkezhetnek Android-hálózathoz kapcsolódó alkalmazásaikba. Az Android OS készítő most elkezdte nyomni a egyszerűsített hitelesítési technika egyre több olyan szolgáltatáshoz, amelyek egy felhasználónevet és jelszót írtak elő a biztonságos hozzáférés érdekében. Az ujjlenyomat-hitelesítésre való törekvés azután következik be, hogy a jelszavak rossz megválasztása miatt több esetben is történt sikeres feltörés.
Miközben megpróbálnak alternatív biztonsági hitelesítési módszereket kidolgozni, úgy tűnik, hogy a vállalatok és az online szolgáltatók megegyeztek a biometrikus vagy pontosabban az ujjlenyomat-hitelesítéssel. A PIN, az ujjlenyomat és még a Face ID is egyre gyakoribb módszer az okostelefon-felhasználók számára, hogy hozzáférjenek eszközeikhez. Most a webalkalmazások és más online platformok is lehetővé teszik az ujjlenyomat-azonosítás hasonló technikáit. A bejelentkezés egyszerűsítése és gyorsítása mellett várhatóan az újonnan elfogadott módszertan is fokozza a biztonságot a biometrikus hitelesítési rendszer egyedisége miatt, amelyet nem lehet könnyen feltörni vagy lemásolni.
A World Wide Web Consortium (W3C) jóváhagyja a WebAuthn API-t:
A World Wide Web Consortium (W3C) és a Fast Identity Online vagy a FIDO Alliance együtt próbálta kidolgozni az online biztonság fokozásának módjait. A több techcégből álló csoportot joggal aggasztja az internetezők által követett rendkívül rossz jelszó-higiénia. Az olyan gyakori hibák, mint például ugyanazok a jelszavak használata több platformon, egyszerű jelszavak használata, a jelszavak megváltoztatása, a kétfaktoros hitelesítés hiánya és más rossz szokások lehetővé tették a hackerek számára, hogy több online platform biztonságába is belemennek.
A jelszavak feltörésének egyre növekvő fenyegetése elleni küzdelem érdekében létrehozták a WebAuthn API-t. Az Amazon, az Apple, az Alibaba, a Mozilla, a PayPal, a Yubico és a Google támogatta a WebAuthnt, amely a FIDO2 hitelesítési specifikáció része. Az API lényegében jelszó nélküli bejelentkezést tesz lehetővé a mobil webszolgáltatásokban. Ennek megvalósítása érdekében a felhasználót, aki bejelentkezik egy adott webhelyre a telefonján, a rendszer kéri, hogy regisztrálja készülékét az adott webhelyen. A sikeres regisztráció után a felhasználó egy korábban konfigurált helyi hitelesítési módszert, például egy képernyőzáras PIN-kódot vagy egy biometrikus mechanizmust használhat a hozzáféréshez.
Az Android-felhasználók ujjlenyomatukkal bejelentkezhetnek egyes Google-szolgáltatásokba https://t.co/IZw6IssukL pic.twitter.com/1UVDSf2AwQ
- Engadget (@engadget) 2019. augusztus 12
A WebAuthn API-nak végül biztonságosabbá kell tennie az online fiókokat azáltal, hogy a lehető legkevesebb akadály nélkül megerősíti a felhasználó személyazonosságát. Sőt, azoknak a felhasználóknak, akik ezt a kényelmes és biztonságos módszert választják, csak egyszer kell regisztrálniuk biometrikus hitelesítő adataikat egy adott platformon. A natív alkalmazások és webalkalmazások ekkor egyszerűen elfogadják az új bejelentkezési módot.
Egyébként a Google néhány szolgáltatásához már megkezdte a WebAuthn API-alapú, jelszó nélküli hitelesítési rendszer bevezetését. A felhasználók az összes mentett jelszavukhoz hozzáférhetnek Jelszavak.Google.Com anélkül, hogy meg kellene adniuk Google bejelentkezési adataikat. Bár ez az egyetlen jelszó nélküli módszer működő példánya, a Google-nek rövid időn belül ki kell terjesztenie ugyanezt más szolgáltatásokra is. Egyszerűen fogalmazva: hamarosan a Google Android okostelefon-felhasználói, akik a különböző Google platformokon mentették a bejelentkezési adataikat, csak biometrikus vagy ujjlenyomatukkal jelentkezhetnek be.
Megkapja a Google vagy más szolgáltatások a tényleges ujjlenyomatokat?
A WebAuthn API és a biometrikus hitelesítés egyre növekvő használata miatt a felhasználók joggal aggódnak, ha más platformok online elérnék és tárolnák biometrikus adataikat. Ennek a problémának a kezelésére a Google biztosította, hogy a biometrikus hitelesítés soha ne hagyja el azt az okostelefont, amelyen használják. Más szóval, sem a Google, sem más vállalatok nem kapják meg a felhasználók ujjlenyomatainak másolatát. Mindent helyben hajtanak végre, és csak egy „igazolást” küldenek ki. „Csak egy kriptográfiai igazolást küldünk a Google szervereire, hogy helyesen beolvasta. Ez a FIDO2 tervezésének alapvető része ”- jegyezte meg a Google.
Még könnyebbé teszi a hitelesítést a FIDO2-alapú helyi felhasználói ellenőrzéssel a Google-fiókokhoz Google Online biztonsági blog https://t.co/k5Rqr786Y6
A funkció ma elérhető a Pixel eszközökön, és a következő napokban minden Android 7+ eszközre elérhető.
#WebAuthn # FIDO2 pic.twitter.com/0XebmtEB3O- anyag * (@matiere) 2019. augusztus 13
Az Android Nougat 7.0 vagy újabb verziót futtató Google Android okostelefonoknak hamarosan el kell kezdenie a felhasználók számára a bejelentkezési adatok használata nélküli bejelentkezés lehetőségét. Felesleges hozzáfűzni, hogy a felhasználóknak kötelezően be kell jelentkezniük az eszközön lévő személyes Google-fiókjukba, és be kell állítaniuk a képernyőzár kódját. Más szavakkal, a nem védett Android okostelefonok nem fognak képességeket szerezni. Sőt, a Google korlátozza annak lehetőségét, hogy biometrikus adatokkal rendelkező webplatformokat csak Chrome böngészőjén keresztül érjen el. Nagyon valószínű, hogy a keresőóriás hamarosan más alkalmazásokat is tartalmaz.
WebAuthn API és FIDO2 bejelentkezés, hogy hamarosan szabványossá válhasson?
A Google már régen bevezette a kétfaktoros hitelesítést. A vállalat továbbra is arra ösztönzi a felhasználókat, hogy aktiválják a funkciót a biztonság további növelése érdekében. Számos biztosíték létezik a rendszeresen használt eszközök észlelésére, és levélben vagy SMS-ben figyelmezteti a felhasználókat az ismeretlen eszközökről való hozzáférésre. Bár vannak más bejelentkezési módszerek, a biometrikus hitelesítés messze a legegyszerűbb, leggyakrabban használt és leggyorsabb. Ezért ennek az elfogadásnak is a leggyorsabbnak kell lennie, mivel a legtöbb androidos okostelefon-felhasználó már ugyanazt használja az eszközökhöz való hozzáféréshez.
Érdekes módon sok laptop és más hordozható eszköz sportol egy ujjlenyomat-leolvasóval. Ezért a hardver követelmény már megvan. A Google nyomásával sok más vállalatnak gyorsan el kell kezdenie elfogadni és elfogadni a felhasználók ujjlenyomatát bejelentkezésként.
Címkék android Google