Organizacja W3C w połączeniu z FIDO Alliance przedstawiła 2 lata temu nowy sposób autoryzacji użytkowników. Nowy standard uwierzytelniania WebAuthn oferuje uproszczony i bardziej bezpieczny sposób, aby zalogować się do swojego konta na stronie internetowej. Kilka dni temu, 4 marca 2019 roku ten standard został zatwierdzony
Standard już jest obsługiwany w najnowszej wersji przeglądarki Firefox a w najbliższym czasie wsparcie WebAuthn będzie również dodano do Chrome i Edge. Opera również doda w najbliższym czasie obsługę WebAuth do swojej przeglądarki. Pozostaje jeszcze Safari, ale na razie brak informacji ze strony Apple w tej sprawie.
Technologia pozwoli aktywnie rozwijać nowoczesne metody uwierzytelniania na stronach internetowych. Są to metody wykorzystujące np cechy biometryczne i klucze USB. Nowy standard również ograniczyć phishing, co jest kolejnym pozytywnym aspektem.
Jak działa nowa technologia?
Rejestracja na stronie
Potrzebny jest smartfon:
- Użytkownik wchodzi na stronę internetową http://example.com i loguje się na swoje konto, przy użyciu tradycyjnych metod (np. hasła), lub tworzy nowe konto.
- Smartfon pokaże wiadomość «czy Chcesz zarejestrować urządzenie na http://example.com».
- Użytkownik akceptuje wniosek.
- Smartfon prosi użytkownika o potwierdzenie tożsamości za pomocą wstępnie skonfigurowanego sposobu uwierzytelniania (kod PIN, biometryczne znaki, itp.). Użytkownik wykonuje ten krok.
- Na stronie wyświetla się komunikat „rejestracja zakończona”.
Uwierzytelnianie na stronie
Potrzebny jest laptop lub komputer PC:
- Użytkownik przechodzi na stronę example.com w przeglądarce i widzi opcję „Zaloguj się za pomocą smartfona”.
- Użytkownik wybiera tą opcję i dostaje wiadomość od przeglądarki „Prosimy o zakończeniu działania na smartfonie”
Następne kroki dokonywane są na smartfonie :
- Na ekranie smartfona użytkownik widzi wniosek lub zawiadomienie „Wejść na stronę example.com?”.
- Użytkownik wybiera ten wniosek / zgłoszenie.
- Wyświetla się lista wszystkich kont użytkownika dla example.com.
- Użytkownik wybiera konto, po czym smartfon prosi o potwierdzenia tożsamości, wykorzystując zmodyfikowaną metodę uwierzytelniania (kod PIN, biometryczne znaki, itp.). Użytkownik wykonuje tą czynność.
Ponownie wracamy do laptopa lub komputera PC:
- Strona internetowa pokazuje, że użytkownik pomyślnie zalogował się i przekierowuje go na stronę autoryzowanego użytkownika.
Zostaw komentarz