A jelszavak zsarnoksága Incognitosis

incognitosis

Maestro Sabina azt szokta mondani - akár alkotott, akár nem, a fickó zseni -, hogy Madrid élhetetlen, de pótolhatatlan. Ugyanez a hasonlat alkalmazható a jelszavakra is, amelyek szinte minden átjárást jelentenek, amely biztonságot igényel, de egyelőre csak így lehet megoldani egy problémát, amely évtizedekig és évtizedekig zúzott minket.

Azt gondolhatnánk, hogy mekkora haladással tudtuk már megoldani a problémát - például az OpenID jó lehetőségnek tűnt -, de nem. Szinte mindenhez továbbra is használunk jelszavakat, bár igaz, hogy az ujjlenyomat-olvasók vagy az arcfelismerő rendszerek egy kis fényt láttak bennünket az alagút végén.

A biometria már régóta nagy reménye ennek a területnek. Valójában ez a három híres hitelesítési tényező egyike, nevezetesen:

  • Valami van (token)
  • Valami, amit tudsz (jelszó)
  • Valami, ami vagy (lábnyomod, arcod, íriszed)

Ha mindegyiket kombinálja, akkor az ideális biztonsági megoldás megvan, de természetesen általában csak a második szakaszra (a tiszta jelszavakra) összpontosítunk, vagy legfeljebb az elsővel vagy a harmadikkal kombináljuk őket. Az olyan dolgok, mint a jelszókezelők - már pár éve használom a KeePass-ot, és általában boldog vagyok - szintén segítenek elkerülni az újrafelhasználás helyét, de ezzel még mindig vannak problémák.

Ezért olyan klassz, amit a FIDO és a W3C ma bejelentett. Ez a WebAuthn protokoll, amelynek célja pontosan az, hogy az áldott biometrikus adatokat hitelesítési rendszerként használhassa minden típusú webhelyen. Eddig nem volt sokkal több lehetőség, mint felhasználónév és jelszó használata mindenféle szolgáltatás eléréséhez, de a WebAuthn segítségével ez nem biztos, hogy igaz.