Konsorcium, které se skládá kromě jiných společností iz Lenova a PayPalu, zahájilo novou kampaň, zaměřenou proti heslům. Aliance promuje nové technologické standardy, které by měly zvýšit bezpečnost uživatelských účtů.
Společnosti se sdružili pod hlavičkou organizace FIDO Alliance a prezentují názor, že zařízení, které uživatel využije pro přihlášení do svého účtu, by mělo hrát významnější roli z hlediska autentizace. Takový přístup by značně omezil možnosti hackerů, kterým se v posledních měsících často daří krást uživatelská hesla.
Michael Barrett ze společnosti PayPal poukazuje na skutečnost, že útočníci získají heslo uživatele využitím různých rozšířených technik, ať už jde o hádání hesla, nebo o krádež přihlašovacích údajů. Standardy, které se FIDO Alliance snaží prosadit, přiřadí přihlašovací údaje ke konkrétnímu zařízení – technologie pro ověření zařízení využije čip TPM, který se nachází v mnoha počítačích, případně bude od uživatele vyžadovat využití čtečky otisků prstů. Pokud se společnost rozhodne využít nové standardy, může od uživatele vyžadovat autentizaci ve dvou krocích, tedy ověření pomocí hesla a hardwarovou autentizaci zařízením.
Takzvaná verifikace ve dvou krocích není dnes nic neobvyklého – takovou formu zabezpečení využívají zejména banky a velké společnosti, běžní spotřebitelé se s ní mohli setkat při využívání služeb Google, Dropbox nebo Facebook. No jen zlomek uživatelů si touto formou chrání své účty.
Mnohé desktopové počítače a notebooky jsou vybaveny čipem TPM, který se dá využít na verifikaci zařízení. Tento čip se dnes používá převážně při šifrování disku. Podobnou technologii chtějí společnosti ARM a Intel integrovat do tabletů a telefonů.
Kdyby nějaká společnost chtěla využít technologii, kterou FIDO prezentuje, třeba nainstalovat speciální software na servery společnosti i přinutit spotřebitele, aby si nainstalovali software do telefonu a počítače. Taková metoda by však měla zajistit i verifikaci pomocí hesla – pokud se uživatel přihlásí do svého účtu, zašifrované heslo se odešle na server, kde se verifikuje. Během této komunikace však útočníci mohou heslo potenciálně odchytit a dešifrovat. V případě technologie FIDO se o ověření hesla postará software, nainstalovaný v zařízení, který následně odešle na server šifrované ověřovací data.
zdroj:technologyreview.com