WebAuthn „penzioniše“ lozinke?

Međunarodna organizacija za internet standarde i FIDO alijansa su razvili rešenje koje će doneti olakšanje korisnicima, uz veći nivo zaštite. Android već dobio FIDO2!

WebAuthn „penzioniše“ lozinke?

Jedan od najvećih izazova u sajber bezbednosti je balansiranje između zaštite i korisničkog iskustva. Mere bezbednosti su tu da spreče napade, ali ne smeju da otežavaju posao legitimnim korisnicima.

Potreba za novim strategijama bezbednosti koje će se suprotstaviti rastućim pretnjama uvek postoji, ali nove mere donose dodatne izazove za korisnike. Ako su bezbednosne mere previše komplikovane, moguće je da će korisnici potražiti prečice ili ih potpuno zaobići kad im se ukaže prilika. Nekima je čak i najobičnija autentifikacija korisničko ime/lozinka naporna, naročito kada moraju da pamte veći broj kredencijala za nekoliko sistema.

Ali, uspostavljanjem specifikacije Web autentifikacije (WebAuthn), moguće je da smo blizu rešenja za ovaj davnašnji problem. Umesto da se od korisnika traži da pamti na desetine različitih kombinacija kredencijala ili da uradi nekoliko zadataka kako bi dokazao svoj identitet, WebAuthn teži da stvori standardizovan pristup autentifikaciji koji će omogućiti korisnicima da bezbedno pristupe web aplikacijama koristeći svoje jedinstvene autentifikatore (bez potrebe za dodatnim lozinkama). San o autentifikaciji bez lozinki postoji dugo, a čini se da je finalni korak ka tome W3C WebAuthn.

Šta je WebAuthn?

U pitanju je standard za kreiranje i pristup kredencijalima javnog ključa na webu koji omogućava jaku autentifikaciju korisnika. To je zajednički poduhvat W3C, međunarodne organizacije za internet standarde i FIDO alijanse, koju čine kompanije koje rade na poboljšanju online bezbednosti zasnovane na identitetu. Korisnici pomoću WebAuthn mogu da se registruju i autentifikuju na web aplikacije koristeći uređaje poput telefona, hardverskih bezbednosnih ključeva i laptop/desktop računara sa ugrađenim TPM (Trusted Platform Modules).

Praktično, sam uređaj je autentifikator. To znači da se uređaj može koristiti sa drugim faktorima autentifikacije kako bi se postigla multifaktorska autentifikacija (MFA), odnosno u slučaju uređaja sa ugrađenom biometrijom ili PIN mehanizmom, MFA se može postići jednom operacijom, što podiže bezbednost i olakšava upotrebu. WebAuthn je dizajniran da bude otporan na phishing, jer se kredencijali povezuju sa sajtom za koji su kreirani (npr. it-klinika.rs) i neće raditi ukoliko neko pokuša da prevari korisnika da se autentifikuje na phishing sajt (npr. it-klin1ka.rs).

W3C i FIDO alijansa su definisali API koji omogućava developerima da implementiraju WebAuthn za web aplikacije. Iako ćemo verovatno još malo pričekati na masovniju implementaciju, ovaj standard je već naišao na snažnu podršku velikih igrača kao što su Google, Microsoft, Mozilla i Visa. S obzirom na to da ove kompanije imaju zajedno praktično milijarde korisnika, pitanje je vremena kada će WebAuthn postati globalni web standard.

Zašto je WebAuthn korak napred?

WebAuthn ima više svojstava koja mu daju potencijal da postane rešenje koje će uspešno balansirati između bezbednosti i upotrebljivosti. Jedno od najvažnijih je sposobnost da isporuči visok nivo verifikacije identiteta kroz više aplikacija uz minimalni napor za korisnika. Zbog toga što je sam uređaj autentifikator, svaki korisnik čiji uređaj može da obradi biometrijske parametre ili unos PIN-a može da uspostavi proces multi-faktorske autentifikacije izuzetno visokog nivoa bezbednosti, bez potrebe za preduzimanjem dodatnih koraka. Velika rasprostranjenost uređaja koji imaju mogućnost obrade biometrijskih parametara poput otiska prsta, glasa i prepoznavanja lica znači da će ogroman broj korisnika moći da primenjuje WebAuthn standard, odnosno da za primenu nije potrebno investirati u skupe ili specijalizovane uređaje.

Osim jednostavnosti za krajnje korisnike, mogućnost da se višefaktorska autentifikacija obavi jednim klikom daje WebAuthn veliku prednost u odnosu na druge metode autentifikacije. Jedini način da napadač oponaša korisnika je da probije mehanizam za biometrijsku autentifikaciju ili unos PIN-a ili da ima fizički pristup uređaju. Takav napad je moguć, ali zahteva detaljno planiranje i targetiranje žrtve, uz veštine i resurse koji se obično sreću samo kod državno-sponzorisanih hakerskih grupa. Poređenja radi, treba napomenuti da i hakeri sa skromnijim znanjem mogu probiti većinu postojećih rešenja koristeći samo bazu kredencijala i dobro osmišljenu phishing email poruku. WebAuthn je otporan na postojeće phishing tehnike, jer će uređaj obaviti proces autentifikacije samo za domen za koji je registrovan, ne i za lažni sajt sa različitim domenom.

WebAuthn rešava još jedan bezbednosni propust koji se tiče načina čuvanja podataka. Kod većine postojećih procesa autentifikacije, korisnici poklanjaju poverenje provajderu servisa da će zaštititi njihove kredencijale. Slabost ovog rešenja videli smo mnogo puta u praksi - svaki provajder servisa ima veliku bazu podataka sa informacijama o korisnicima (uključujući i kredencijale) koji posle samo jednog napada mogu biti kompromitovani, odnosno javno dostupni. WebAuthn ovaj problem rešava tako što ključne informacije deli na dva dela. Servis provajder u tom slučaju čuva samo javno dostupne informacije o korisniku, dok se elementi privatnosti (privatni ključ za verifikaciju identiteta) čuva na uređaju korisnika. To praktično znači da i u slučaju Data Breach napada na provajdera određenog servisa korisnici ostaju zaštićeni, jer napadač dobija samo javni ključ koji mu nije dovoljan za krađu identiteta korisnika.

Predstojeći izazovi

Uprkos WebAuthn potencijalu, postoje dva velika izazova koja se moraju prevazići kako bi mogli da kažemo zbogom lozinkama. Prvi je edukacija korisnika. Javnost još uvek nema dovoljno znanja o tehnologiji koja stoji iza biometrije, a uobičajena pretpostavka je da će se podaci transmitovati na isti način kao lozinke, što otvara mogućnost da budu ukradeni ili da ih kompanije zloupotrebe. Servis provajderi i industrija bezbednosti moraju zajedno da rade na edukaciji korisnika o upotrebi biometrije, uključujući i činjenicu da se podaci čuvaju i verifikuju lokalno i da nikad ne napuštaju uređaj.

Drugi izazov je usvajanje tehnologije. Podrška globalnih kompanija kao što su Google i Microsoft jeste značajna, ali potrebno je i da pojedinačni servis provajderi prihvate WebAuthn kako bi to postao opšte prihvaćen standard. Važnu ulogu u tome ima industrija bezbednosti koja može pomoći u razumevanju punog potencijala WebAuthn standarda tako što će kompanijama isporučiti najnovije alate koji su potrebni da bi se WebAuthn inkorporirao u postojeće bezbednosne polise i doneo pozitivno korisničko iskustvo. Kada se ovi izazovi prevaziđu, možemo pričati o slanju lozinki u istoriju, uz istovremeno poboljšanje bezbednosti i pristupačnosti.

Ako vas zanimaju tehnički detalji WebAuthn tehnologije, više o tome možete pročitati na ovom linku.

Android dobija FIDO2 sertifikat!

Dobre vesti za vlasnike Android uređaja. Najnovije ažuriranje Google Play servisa donosi Android uređajima koji imaju 7.0 Nougat ili noviju verziju FIDO2 sertifikat. Šta ovo znači? Pa, umesto unošenja kompleksnih lozinki za online naloge, možete se ulogovati pomoću otiska prsta ili FIDO bezbednosnih ključeva za bezbedan pristup bez lozinki. To je moguće za sve aplikacije i sajtove koji podržavaju FIDO2 protokole.

FIDO2 (Fast Identity Online) protokol nudi snažnu autentifikaciju bez lozinke baziranu na standardnoj kriptografiji javnog ključa koja koristi hardverske FIDO autentifikatore poput bezbednosnih ključeva, mobilnih telefona i drugih built-in uređaja.

Ovaj protokol je kombinacija W3C WebAuthn API koji omogućava developerima da integrišu FIDO autentifikaciju u web browsere i FIDO CTAP (Client to Authenticator Protocol) koji omogućava korisnicima logovanje bez lozinke. FIDO2 sertifikat podržava Mac OS X, Windows, Linux, Chrome OS i sve veće browsere (Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari).

Iako Android već ima podršku za FIDO autentifikaciju za instalirane aplikacije pomoću eksternih hardverskih autentifikatora kao što su YubiKey i Titan Security Key, novo ažuriranje proširuje ovu funkcionalnost na online web servise preko browsera za mobilne uređaje.

Ukoliko vaš Android uređaj nema senzor otiska prsta, možete koristiti druge metode za autentifikaciju, odnosno pristup aplikacijama i online nalozima bez lozinke - vaš PIN ili obrazac za otključavanje telefona.

Prošle godine Google je lansirao FIDO Titan Security Key koji potvrđuje integritet bezbednosnih ključeva na nivou hardvera i pruža najviši nivo zaštite od phishinga.

Izvor: Help Net Security i The Hacker News