WebAuthn – standard za avtentikacijo brez gesel

Krovna spletna organizacija W3C (World Wide Web Consortium) je potrdila nov standard WebAuthn za varno prijavo do spletnih storitev brez uporabe gesel. WebAuthn odpravlja glavno pomanjkljivost gesel, ki jih je pogosto zelo enostavno možno prestreči in potvarjati z ribarjenjem (phishing).

WebAuthn deluje v kombinaciji s specifikacijo FIDO 2 (Fast IDentity Online 2.0), kjer uporablja protokol CTAP 2 (Client To Authenticator) za varno prijavo odjemalcev v storitve za avtentikacijo. Namesto gesel WebAuthn uporablja varne module za hrambo identitet Trusted Platform Module (TPM), ki so lahko implementirani v programski ali strojni opremi. Veliko prenosnikov denimo že vsebuje strojne module TPM, ki nudijo domnevno največji možen nivo zaščite.

Tak sistem avtentikacije uporablja varnostne ključe FIDO, ki so unikatni za vsako spletno stran in jih ni možno slediti. Ključi pa so na strani odjemalca lahko povezani z naprednimi mehanizmi v odjemalcih za potrditev identitet, kot so razpoznava prstnih odtisov, obrazov, oči. Pomembno je, da ti uporabnikovi podatki nikoli ne zapustijo uporabnikove naprave, uporabnikom pa omogočajo uporabo spletnih storitev brez uporabe gesel, ki jih ti tipično tudi pogosto pozabljajo.

WebAuthn je sprejela tako rekoč že celotna računalniška industrija. Standard je že podprt v okoljih Windows 10, Android in v brskalnikih Chrome, Firefox, Edge in Safari. S strani odjemalcev je torej že poskrbljeno, da so uporabniki spletnih strani opremljeni z ustrezno programsko opremo.

Gostitelji pa bodo morali svoje spletne storitve opremiti z aplikacijskimi strežniki, ki znajo procesirati FIDO 2 zahtevke za avtentikacijo. Spletne strani pa morajo znati tudi komuncirati z API vmesnikom v spletnem brskalniku odjemalca. Toda to so razmeroma preprosti posegi.