Jak wkrótce zapomnimy o hasłach – tym razem naprawdę i na dobre

dodał 25 kwietnia 2018 o 07:14 w kategorii Info, Mobilne  z tagami:
Jak wkrótce zapomnimy o hasłach – tym razem naprawdę i na dobre

Wyobraź sobie, że nie musisz już znać na pamięć swoich haseł do wszystkich 115 sklepów internetowych, 4 systemów pocztowych i wielu innych stron internetowych. Kusząca i coraz bardziej realna perspektywa.

Do tej pory jedną z głównych metod uwierzytelnienia było stosowanie hasła, czasem dodawany był także drugi element uwierzytelnienia (token, SMS czy dedykowana aplikacja na telefon).

Nie jest żadnym odkryciem, iż użytkownik, mając wiele haseł, zaczyna popełniać błędy: stosuje jedno hasło w wielu aplikacjach, a zmuszony do dostosowania haseł do wymagań polityki regulującej ich trudność, zaczyna je zapisywać. Z pomocą użytkownikom przyszły programy zarządzające hasłami (tzw. managery haseł, takie jak KeePass, Dashline). By podnieść bezpieczeństwo procesu logowania wprowadzono także wieloskładnikowe uwierzytelnianie (MFA – Multi Factor Authentication) oraz zaczęto wykorzystywać biometrię (np. odcisk linii papilarnych, cechy tęczówki lub rogówki, kontur twarzy). Kolejne zmiany czyniły proces uwierzytelnienia bardziej bezpiecznym, a jednocześnie mniej wygodnym dla użytkownika.

Twórcy web aplikacji i dostawcy usług sieciowych zaczęli pracować nad ograniczeniem ryzyka związanego z użyciem haseł przez swoich klientów (podatność na phishing, man-in-the-middle, kradzież poświadczeń logowania), dając im alternatywne metody uwierzytelniania. Wielość tych rozwiązań wywołała niemałe zamieszanie. A użytkownicy zaczęli tracić orientację, jaka metoda uwierzytelniania jest wykorzystywana, w której aplikacji czy też na jakiej stronie.

Czy możliwe jest logowanie bez hasła

Organizacja W3C opublikowała standard Web Authentication: An API for accessing Public Key Credentials Level 1, który porządkuje metody uwierzytelniania do aplikacji webowych. Web Authentication (w skrócie WebAuthn) określa standard web API, który będzie włączany do przeglądarek internetowych oraz platform aplikacji internetowych. Dzięki temu użytkownicy uzyskają nowe metody bezpiecznego uwierzytelnienia w Internecie poprzez przeglądarkę. Rozwiązanie to umożliwi użytkownikom rejestrowanie w webaplikacji i uwierzytelnianie w niej z użyciem zewnętrznego urządzenia, takiego jak telefon, token sprzętowy (karta SC, OTP), TPM (Trusted Platform Module). Pozwoli to na stosowanie silnych metod uwierzytelniających dostępnych lokalnie przez USB, Bluetooth lub NFC.

źródło: https://www.w3.org/2018/04/pressrelease-webauthn-fido2.html.en

WebAuthn został opracowany w ramach współpracy różnych firm i organizacji FIDO Alliance i jest kluczowym komponentem projektu FIDO2 z użyciem protokołu Client to Authenticator Protocol (CTAP). CTAP umożliwia włączenie do procesu uwierzytelnienia zewnętrznych źródeł, takich jak karty kryptograficzne, tokeny, telefon komórkowy czy urządzenia biometryczne.

Co to oznacza

Zamiast tradycyjnych haseł użytkownik może użyć takich urządzeń jak telefon czy TPM, w których możliwe są do wykorzystania biometryczne metody uwierzytelniania. Dodatkowo, jeżeli ktoś obecnie korzysta z dwuskładnikowego uwierzytelniania zgodnego z modelem U2F (Universal Second Factor), jak na przykład Yubikey, może także stosować WebAuthn. Standard web API poprzez wykorzystanie kryptografii klucza publicznego dla każdej ze stron eliminuje ryzyko kradzieży lub utraty hasła przez dowolną ze stron procesu.

Jak to działa

Krok 1. Rejestracja

Najbardziej popularny scenariusz wygląda tak, że użytkownik, wchodząc na stronę np. zaufanafajnastrona.pl na swoim laptopie, przechodzi do formularza rejestracji. W trakcie procesu rejestracji jest proszony o podanie swojego numeru telefonu, po czym otrzymuje na aparat powiadomienie „Rejestracja z serwisu zaufanafajnastrona.pl”. Po zaakceptowaniu żądania użytkownik zostanie poproszony o wybranie metody uwierzytelnienia, np. potwierdzenie PIN-em lub za pomocą cechy biometrycznej dostępnej na urządzeniu. Wybrana metoda zostanie powiązana z kontem, do którego została użyta. Po zakończeniu procesu rejestracji na laptopie zostanie wyświetlone potwierdzenie zakończenia rejestracji. W ten oto sposób powstało konto skojarzone z urządzeniem i wybraną metodą uwierzytelniania, a sam serwis WWW nie wymaga hasła swojego użytkownika. Od tego momentu użytkownik może logować się do serwisu zaufanafajnastrona.pl z wykorzystaniem swojego telefonu i wskazanej metody akceptacji logowania na telefonie.

źródło: https://duo.com/blog/web-authentication-what-it-is-and-what-it-means-for-passwords

Krok 2. Logowanie

Logowanie to proces uwierzytelniania, w którym użytkownik potwierdza, że jest właścicielem loginu i hasła, których użyto podczas procesu rejestracji do danego serwisu. Serwis, wykorzystując WebAuthn, wysyła do zaufanego urządzenia dane w celu weryfikacji osoby. Jeżeli użytkownik jest tym, za kogo się podaje, to jego urządzenie podpisze te dane kluczem prywatnym i odeśle z powrotem do serwisu. Serwis zweryfikuje poprawność podpisu i na tej podstawie dokona uwierzytelnienia użytkownika.

Jeżeli użytkownik w danym serwisie posiada więcej niż jedno konto połączone z tym samym urządzeniem, to w trakcie uwierzytelnienia telefon wyświetli zapytanie o to, z którego konta użytkownik chce skorzystać (lista skojarzonych kont). Po dokonaniu wyboru i potwierdzeniu (przy pomocy PIN-u lub cechy biometrycznej) użytkownik zostanie zalogowany do właściwego konta.

Korzyści

  1. Łatwiejsze logowanie:
    • użycie urządzeń uwierzytelniających (biometria: odcisk palca, rozpoznawanie twarzy) wbudowanych w PC, laptopy czy urządzenia mobilne;
    • użycie wygodnych zewnętrznych urządzeń/metod uwierzytelniania, takich jak tokeny sprzętowe oraz urządzenia mobilne (telefony).
  2. Silniejsze uwierzytelnianie:
    • hasła użytkownika czy cechy biometryczne nigdy nie opuszczają urządzania użytkownika (nie są przechowywane na serwerze);
    • konta są chronione przed wykradaniem haseł przy pomocy phishingu, man-in-the-middle czy ataków metodą powtórzenia (replay attacks).

Wdrożenie standardu WebAuthn API z pewnością wpłynie na zmniejszenie użycia tradycyjnych haseł w web aplikacjach. Być może już niedługo hasła, jakimi teraz się posługujemy, przestaną funkcjonować. Jednakże chwilowo warto się jeszcze wstrzymać z kasowaniem swoich haseł. Rozwiązanie to jest bowiem dopiero implementowane w przeglądarkach i potrzeba jeszcze trochę czasu, by aplikacje zaczęły wykorzystywać tę metodę w skuteczny sposób.