Użytkownicy internetu z Androidem mogą się uwierzytelniać za pomocą odcisków palców, gdy konta Google zaczynają zezwalać na dane biometryczne

Google w Chinach

Właściciele kont Google wkrótce będą mogli używać swoich odcisków palców do uwierzytelniania swoich kont i logowania się do aplikacji internetowych na Androida. Producent systemu Android zaczął teraz naciskać plik uproszczona technika uwierzytelniania do coraz większej liczby usług, które kiedyś wymagały nazwy użytkownika i hasła w celu zapewnienia bezpiecznego dostępu. Nacisk na uwierzytelnianie odcisków palców pojawia się po kilku udanych przypadkach włamań z powodu złego wyboru haseł.

Próbując wymyślić alternatywne metody uwierzytelniania bezpieczeństwa, wydaje się, że firmy i dostawcy usług internetowych zdecydowali się na uwierzytelnianie biometryczne, a dokładniej uwierzytelnianie odcisków palców. PIN, odcisk palca, a nawet Face ID to coraz powszechniejsze metody uzyskiwania dostępu do urządzeń przez użytkowników smartfonów. Teraz aplikacje internetowe i inne platformy internetowe umożliwią również stosowanie podobnych technik uwierzytelniania odcisków palców. Oprócz uproszczenia i przyspieszenia logowania oczekuje się również, że nowo przyjęta metodologia ma to zrobić zwiększyć bezpieczeństwo ze względu na wyjątkowość biometrycznego systemu uwierzytelniania, którego nie można łatwo zhakować ani powielić.

Konsorcjum World Wide Web (W3C) zatwierdza interfejs API WebAuthn:

Konsorcjum World Wide Web Consortium (W3C) i Fast Identity Online lub FIDO Alliance wspólnie próbowały znaleźć sposoby na zwiększenie bezpieczeństwa online. Grupa, która składa się z kilku firm technologicznych, słusznie obawia się skrajnie złej higieny haseł, której przestrzegają użytkownicy Internetu. Typowe błędy, takie jak używanie tych samych haseł na wielu platformach, używanie prostych haseł, niezmienianie haseł, niestosowanie uwierzytelniania dwuskładnikowego i inne złe nawyki pozwoliły hakerom na penetrację zabezpieczeń kilku platform internetowych.

Aby zwalczyć rosnące zagrożenie związane z łamaniem haseł, stworzono interfejs API WebAuthn. Firmy takie jak Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico i Google obsługują WebAuthn, który jest częścią specyfikacji uwierzytelniania FIDO2. Interfejs API zasadniczo umożliwia logowanie bez hasła w mobilnych usługach internetowych. Aby to urzeczywistnić, użytkownik logujący się do określonej witryny internetowej na swoim telefonie jest proszony o zarejestrowanie swojego urządzenia w tej witrynie. Po pomyślnej rejestracji użytkownik może skorzystać z wcześniej skonfigurowanej lokalnej metody uwierzytelniania, takiej jak kod PIN blokady ekranu lub mechanizm biometryczny, aby uzyskać dostęp.

Użytkownicy Androida mogą logować się do niektórych usług Google za pomocą odcisku palca https://t.co/IZw6IssukL pic.twitter.com/1UVDSf2AwQ

- Engadget (@engadget) 12 sierpnia 2019 r

Interfejs API WebAuthn powinien ostatecznie zwiększyć bezpieczeństwo kont online, potwierdzając tożsamość użytkownika przy jak najmniejszej liczbie przeszkód. Ponadto użytkownicy, którzy zdecydują się na tę wygodną i bezpieczną metodę, będą musieli zarejestrować swoje dane biometryczne na określonej platformie tylko raz. Aplikacje natywne i aplikacje internetowe po prostu zaakceptowałyby nową metodę logowania.

Nawiasem mówiąc, Google rozpoczął już wdrażanie opartego na interfejsie API WebAuthn systemu uwierzytelniania bez hasła dla kilku swoich usług. Użytkownicy będą mieli dostęp do wszystkich swoich zapisanych haseł za pośrednictwem Passwords.Google.Com bez konieczności podawania swoich danych logowania do Google. Chociaż jest to jedyne działające wystąpienie nowej metody bez hasła, Google powinien wkrótce rozszerzyć to samo na inne usługi. Mówiąc najprościej, wkrótce użytkownicy smartfonów Google z Androidem, którzy zapisali swoje dane logowania na różnych platformach Google, będą mogli logować się do nich wyłącznie za pomocą biometrii lub odcisku palca.

Czy Google lub inne usługi otrzymają rzeczywiste odciski palców?

Wraz z rosnącym wykorzystaniem interfejsu API WebAuthn i uwierzytelniania biometrycznego, użytkownicy słusznie obawiają się, czy ich dane biometryczne będą dostępne i przechowywane online przez inne platformy. Aby rozwiązać ten problem, Google zapewnił, że uwierzytelnianie biometryczne nigdy nie opuszcza smartfona, na którym jest używane. Innymi słowy, ani Google, ani inne firmy nie otrzymują kopii odcisków palców użytkowników. Wszystko odbywa się lokalnie i wysyłany jest tylko „dowód”. „Tylko dowód kryptograficzny, że został prawidłowo zeskanowany, jest wysyłany na serwery Google. Jest to podstawowa część projektu FIDO2 ”- zauważył Google.

Jeszcze łatwiejsze uwierzytelnianie dzięki opartej na FIDO2 lokalnej weryfikacji użytkownika dla kont Google | Blog Google na temat bezpieczeństwa w Internecie https://t.co/k5Rqr786Y6

Ta funkcja jest już dostępna na urządzeniach Pixel, a w ciągu najbliższych kilku dni będzie dostępna na wszystkich urządzeniach z Androidem 7+.
#WebAuthn # FIDO2 pic.twitter.com/0XebmtEB3O

- materiał * (@matiere) 13 sierpnia 2019 r

Smartfony z systemem Google Android z systemem Android Nougat 7.0 lub nowszym powinny wkrótce zacząć oferować użytkownikom możliwość logowania bez użycia danych logowania. Nie trzeba dodawać, że użytkownicy będą obowiązkowo logować się na swoje osobiste konto Google na urządzeniu i skonfigurować kod blokady ekranu. Innymi słowy, niezabezpieczone smartfony z Androidem nie zyskają możliwości. Ponadto Google ogranicza możliwość dostępu do platform internetowych za pomocą danych biometrycznych wyłącznie za pośrednictwem przeglądarki Chrome. Jest całkiem prawdopodobne, że gigant wyszukiwania wkrótce dołączy inne aplikacje.

WebAuthn API i FIDO2 Zaloguj się, aby wkrótce stać się standardem?

Google już dawno wprowadziło uwierzytelnianie dwuskładnikowe. Firma nadal zachęca użytkowników do aktywowania tej funkcji w celu dalszego zwiększenia bezpieczeństwa. Istnieje kilka zabezpieczeń służących do wykrywania regularnie używanych urządzeń i ostrzegania użytkowników za pośrednictwem poczty i SMS-ów o dostępie z nieznanych urządzeń. Chociaż istnieją inne metody logowania, uwierzytelnianie biometryczne jest zdecydowanie najprostsze, najczęściej używane i najszybsze. Dlatego też jego przyjęcie powinno być najszybsze, ponieważ większość użytkowników smartfonów z Androidem już korzysta z tego samego, aby uzyskać dostęp do swoich urządzeń.

Co ciekawe, wiele laptopów i innych urządzeń przenośnych jest wyposażonych w skaner linii papilarnych. Stąd wymagania sprzętowe są już na miejscu. Dzięki naciskom Google wiele innych firm powinno szybko zacząć przyjmować i akceptować odcisk palca użytkowników jako login.