Mobilné aplikácie a webstránky odteraz môžu využívať protokol FIDO2 k jednoduchšiemu a bezpečnému prihlasovaniu svojich užívateľov na zariadeniach Android.
Aliancia FIDO v pondelok oznámila, že operačný systém Android od Google získal certifikáciu pre protokol FIDO2. Zariadenia so systémom Android 7.0 a vyššie ho budú mať odteraz predinštalované alebo ho získajú aktualizáciou systému.
Novinka prinesie užívateľom možnosť využiť svoj odtlačok prsta alebo iný bezpečnostný kľúč na prihlásenie do mobilných aplikácií a na webstránky, ktoré tento protokol podporujú. V praxi to znamená, že na prihlásenie do svojich účtov už užívateľ nebude musieť vypisovať heslá. Vďaka tejto funkcii mu postačí, aby si nasnímal odtlačok prsta, tvár alebo zadal PIN na svojom zariadení a aplikácia to vybaví zaňho.
Protokoly FIDO sú navrhnuté tak, aby dokázali odolať a ochrániť užívateľa pred phishingovými útokmi, útokmi typu man-in-the-middle a útokmi využívajúcimi ukradnuté prihlasovacie údaje. Princíp spočíva v asymetrickej kryptografii.
Užívateľ po stiahnutí aplikácie FIDO authenticator využije svoj odtlačok prsta alebo inú metódu na odomknutie aplikácie. Pomocou aplikácie následne vytvorí súkromný a verejný kľúč unikátny pre dané zariadenie, online službu a užívateľov účet. Kým súkromný kľúč ostane uchovaný priamo v zariadení, verejný kľúč sa odošle webstránke a priradí sa k danému používateľovi.
Pri prihlásení vyzve webstránka používateľa, aby overil svoju totožnosť tým, že podpíše túto výzvu správnym súkromným kľúčom. Na to postačí odomknúť aplikáciu pomocou zvolenej metódy a tá následne odošle podpísanú výzvu webstránke, ktorá ju overí pomocou poskytnutého verejného kľúča.
Podľa produktového manažéra Google Christiaana Branda jeho spoločnosť dlho spolupracovala s Alianciou FIDO a konzorciom W3C na štandardizácii protokolu.
„Dnešné oznámenie o certifikácii FIDO2 pre Android pomôže posunúť túto iniciatívu dopredu a poskytne našim partnerom a vývojárom štandardizovaný spôsob, akým možno pristupovať k zabezpečeným úložiskám kľúčov na zariadeniach, ktoré sú už na trhu alebo ešte len budú, tak, aby vybudovali prívetivé kontroly biometrík pre užívateľa,“ dodal.
Okrem Google testujú túto formu autentizácie aj spoločnosti PayPal, Microsoft, Facebook, Ebay alebo Bank of America a Bank of China. Štandard už implementovali prehliadače Chrome, Firefox a Edge.
V rozhovore pre The Verge Brand vyzdvihol „asymetrický model“, na ktorom technológia pracuje.
„Dôležitá, často nepovšimnutá, súčasť tejto technológie spočíva v tom, že vy vlastne nedovolíte používateľovi prihlásiť sa pomocou biometriky, ale posuniete celú autentizáciu od modelu „zdieľaného tajomstva“ – v ktorom musíte vy a aj služba, s ktorou komunikujete, vedieť nejaké „tajomstvo“, ako napríklad heslo – k „asymetrickému“ modelu, v ktorom len potrebujete dokázať, že toto tajomstvo poznáte, ale danej službe ho samotné neprezradíte. Je to lepšie vo viacerých ohľadoch, keďže ani únik vašich dát zo serveru neodhalí nič, čo by mohlo kompromitovať kľúče, s ktorými sa prihlasujete do služby.“