Lehet, hogy a jelszavakat hamarabb hagyhatjuk magunk mögött, mint gondolnánk. A Google, az Apple és a Microsoft legalábbis nagyot léptek előre ebben az irányban, ugyanis döntöttek arról, hogy platformjaikat (Android és Chrome; iOS, macOS és Safari; Windows és Edge) a jövő év során kompatibilissá teszik a FIDO jelszómentes szabványokkal. Mindez azt jelenti a gyakorlatban, hogy nemsokára ezeken a felületeken egyáltalán nem lesz szükség jelszavakra, ehelyett a telefonunkon tárolt FIDO jelkulcs szolgál majd nem csupán a telefon feloldására, hanem atomatikusan be is fogunk tudni jelentkezni a fiókjainkba.
Megjegyzendő, hogy a fenti cégek platformjain eddig is volt már bizonyos fokú FIDO támogatás, azonban ez új eszközökön nem működött automatikusan, egy hagyományos bejelentkezés után lehetett átváltani egy FIDO kompatibilis eszközzel történő hitelesítésre.
Miért biztonságosabb a jelszónál a FIDO jelkulcs?
A jelszavakkal az az alapvető probléma, hogy ezeket ellophatják tőlünk, másrészt hajlamosak vagyunk a jelszavak „újrahasznosítására” is, azaz mindenhol egy jelszót használni ─ a SpyCloud felmérése szerint ez a felhasználók 64%-ára jellemző ─, ami óriási biztonsági kockázatnak számít. |
A FIDO jelkulcsok esetében a hitelesítés titkosított API üzeneteken (hívásokon) keresztül történik. Sampath Srinivas, a Google biztonságos hitelesítésért felelős termékfejlesztési vezetője szerint ezt nagyjából úgy kell elképzelni, mint ahogyan a jelszómenedzser programok működnek: az egyik API hívás egy olyan üzenetet tartalmaz, mint például „készíts egy random jelszót”, míg egy másik „add át X felhazsnálónév-jelszó párost Y webhelynek”. Természtesen annak is megvan a pontos módja, hogy a webhely mögötti szerver hogyan bizonyosodjon meg az üzenet hitelességéről, ennek a lefejlesztése, implementálása az, ami időt vesz igénybe a tech cégek részéről.
A szövetség bejelentését számos IT-biztonsági szakember és szervezet is üdvözölte.