Nowy standard internetowy WebAuthn pozwoli pozbyć się haseł na stronach internetowych

Organizacja W3C w połączeniu z FIDO Alliance przedstawiła 2 lata temu nowy sposób autoryzacji użytkowników. Nowy standard uwierzytelniania WebAuthn oferuje uproszczony i bardziej bezpieczny sposób, aby zalogować się do swojego konta na stronie internetowej. Kilka dni temu, 4 marca 2019 roku ten standard został zatwierdzony

Standard już jest obsługiwany w najnowszej wersji przeglądarki Firefox a w najbliższym czasie wsparcie WebAuthn będzie również dodano do Chrome i Edge. Opera również doda w najbliższym czasie obsługę WebAuth do swojej przeglądarki. Pozostaje jeszcze Safari, ale na razie brak informacji ze strony Apple w tej sprawie.

Technologia pozwoli aktywnie rozwijać nowoczesne metody uwierzytelniania na stronach internetowych. Są to metody wykorzystujące np  cechy biometryczne i klucze USB. Nowy standard również ograniczyć phishing, co jest kolejnym pozytywnym aspektem.

Jak działa nowa technologia?

Rejestracja na stronie

Potrzebny jest smartfon:

• Użytkownik wchodzi na stronę internetową http://example.com i loguje się na swoje konto, przy użyciu tradycyjnych metod (np. hasła), lub tworzy nowe konto.
• Smartfon pokaże wiadomość «czy Chcesz zarejestrować urządzenie na http://example.com». 
• Użytkownik akceptuje wniosek.
• Smartfon prosi użytkownika o potwierdzenie tożsamości za pomocą wstępnie skonfigurowanego sposobu uwierzytelniania (kod PIN, biometryczne znaki, itp.). Użytkownik wykonuje ten krok.
• Na stronie wyświetla się komunikat „rejestracja zakończona”.

Uwierzytelnianie na stronie 

Potrzebny jest  laptop lub komputer PC:

• Użytkownik przechodzi na stronę example.com w przeglądarce i widzi opcję „Zaloguj się za pomocą smartfona”.
• Użytkownik wybiera tą opcję i dostaje wiadomość od przeglądarki „Prosimy o zakończeniu  działania na smartfonie”

Następne kroki dokonywane są na smartfonie :

• Na ekranie smartfona użytkownik widzi wniosek lub zawiadomienie „Wejść na stronę example.com?”.
• Użytkownik wybiera ten wniosek / zgłoszenie.
• Wyświetla się lista wszystkich kont użytkownika dla example.com.
• Użytkownik wybiera konto, po czym smartfon prosi o potwierdzenia tożsamości, wykorzystując zmodyfikowaną metodę uwierzytelniania (kod PIN, biometryczne znaki, itp.). Użytkownik wykonuje tą czynność.

Ponownie wracamy do laptopa lub komputera PC:

• Strona internetowa pokazuje, że użytkownik pomyślnie zalogował się i przekierowuje go na stronę autoryzowanego użytkownika.