Το login με βιομετρικά στοιχεία μάς οδηγεί σε έναν κόσμο όπου το ηλεκτρονικό «ψάρεμα» ανύποπτων χρηστών θα είναι αδύνατο.
Η FIDO Alliance, υπεύθυνη για το μεγαλύτερο οικοσύστημα παγκοσμίως για πρότυπα ελέγχου ταυτότητας, και το World Wide Web Consortium (W3C), η κοινοπραξία που φροντίζει για τα web standards που χρησιμοποιούνται στο διαδίκτυο, έχουν επιτύχει ένα σημαντικό ορόσημο στην παγκόσμια προσπάθεια να φέρουν απλούστερους, αλλά ισχυρότερους, ελέγχους ταυτότητας στους χρήστες του διαδικτύου σε όλο τον κόσμο.
Το W3C ανακοίνωσε ότι οι Google, Microsoft και Mozilla συμφώνησαν να ενσωματώσουν το νέο πρότυπo WebAuthn στα προγράμματα περιήγησης τους, έτσι ώστε σύντομα να αντικατασταθούν τα passwords από έλεγχο βιομετρικών στοιχείων.
Το νέο πρότυπο WebAuthn υποστηρίζεται αυτήν την περίοδο στην τελευταία έκδοση του Firefox και σύντομα θα υπάρχει και στις επερχόμενες εκδόσεις του Chrome και του Εdge, οι οποίες θα κυκλοφορήσουν μέσα στους επόμενους μήνες.
Το WebAuthn ορίζει ένα τυπικό web API, το οποίο μπορεί να ενσωματωθεί σε προγράμματα περιήγησης ώστε να παρέχει στους χρήστες νέες μεθόδους για ασφαλή πιστοποίηση στον ιστό, στο πρόγραμμα περιήγησης, σε ιστότοπους ή άλλες ηλεκτρονικές συσκευές. Το WebAuthn αναπτύχθηκε σε συντονισμό με την FIDO Alliance και αποτελεί βασικό στοιχείο του έργου FIDO2, το οποίο υποστηρίζει το πρωτόκολλο Client Protocol to Authenticator Protocol (CTAP) της FIDO.
Το πιο ιδιαίτερο χαρακτηριστικό του πρωτοκόλλου CTAP είναι ότι επιτρέπει σε έναν εξωτερικό ελεγκτή ταυτότητας, όπως ένα κινητό τηλέφωνο με αισθητήρα δακτυλικών αποτυπωμάτων για παράδειγμα, να μεταδίδει ισχυρά διαπιστευτήρια πιστοποίησης (τοπικά μέσω USB, Bluetooth ή Near Field Communication) σε έναν επιτραπέζιο υπολογιστή ο οποίος δεν διαθέτει βιομετρικούς αισθητήρες. Οι προδιαγραφές του FIDO2 θα επιτρέπουν στους χρήστες να ελέγχουν εύκολα τις ηλεκτρονικές υπηρεσίες από επιτραπέζιες ή κινητές συσκευές, με απόλυτη προστασία από κάθε είδους ηλεκτρονικό «ψάρεμα».
Επειδή το πρότυπο FIDO βασίζεται σε αποδεικτικά πρωτόκολλα μηδενικής γνώσης, αυτό σημαίνει ότι δεν υπάρχει καμία σειρά χαρακτήρων ή αριθμών που να δείχνει την «πρόσβαση» σε έναν λογαριασμό, γεγονός που καθιστά πάρα πολύ δύσκολο να τραβήξει μια συμβατική επίθεση phishing. Φυσικά, οι συνδέσεις αυτές εξακολουθούν να είναι σπάνιες, ακόμη και σε υπηρεσίες όπου πιθανόν είναι διαθέσιμες, αλλά παρέχουν ένα σημαντικό τρόπο στους χρήστες και τις επιχειρήσεις να διατηρήσουν μια καλή και συνειδητή ασφάλεια γύρω από τα δεδομένα τους.
Αλλά με τον Chrome της Google, τον Firefox της Mozilla και τον Edge της Microsoft να μπαίνουν δυναμικά στο παιχνίδι της ενσωμάτωσης των νέων πρωτοκόλλων, όλα δείχνουν ότι σύντομα οι χρήστες θα πραγματοποιούν login στους ηλεκτρονικούς λογαριασμούς τους χρησιμοποιώντας αισθητήρες δακτυλικών αποτυπωμάτων, αναγνώριση φωνής ή προσώπου, και χωρίς να απαιτείται η εγκατάσταση ξεχωριστού λογισμικού, μόνο με ένα κινητό ή tablet που θα μπορεί να «διαβάζει» τα μοναδικά βιομετρικά στοιχεία του κάθε χρήστη.
Αν και απομένουν αρκετά σημαντικά ερωτήματα ασφαλείας που πρέπει να απαντηθούν, έχουμε μπροστά μας μια πολύ σοβαρή λύση για την κατάργηση των passwords που μια μέρα (ευχόμαστε σύντομα), θα μας οδηγήσει σε έναν κόσμο χωρίς ηλεκτρονικό «ψάρεμα».
σχόλια