I april skrev vi om den nye protokollen Web Authentication (WebAuthn), som legger til rette for eliminering av de brysomme passordene. Mozilla Firefox var først ute blant nettleserne med WebAuthn, men nå har turen kommet til den størst nettleseren, nemlig Google Chrome. Det melder ZDNet.
I en oppdatering lagt ut på Googles utviklersider bekreftes det at programmeringsgrensesnittet for WebAuthn er på plass i den seneste versjonen av Googles nettleser, Chrome 67.
Støtten gjør det altså mulig å autentisere seg med et offentlig/privat nøkkelpar generert av en ekstern autentikator-enhet som for eksempel en fysisk sikkerhetsnøkkel ala Yubikey eller en mobiltelefon, PC eller andre enheter.
Lar deg logge inn med fingeravtrykk eller ansiktsskanning
Løsningen fungerer ved å kommunisere brukerens legitimasjon lokalt til enheten man bruker over USB, Bluetooth eller NFC via den eksterne enheten, og lar deg for eksempel bruke fingeravtrykkleseren eller ansiktsskanning på mobilen til å logge deg inn på nettsider som krever innlogging. Akkreditivene og de biometriske dataene blir kun oppbevart lokalt på enheten og sendes aldri til webserveren. I stedet sendes en bekreftelse om at brukeren er autentisert.
WebAuthn har mye felles med Fido 2.0 Web API, som allerede støttes av nettsteder som Google, Facebook, Dropbox og GitHub. Men der hvor Fido 2.0 Web API avhenger av hemmelige adgangstegn lagret i fysiske sikkerhetsnøkler basert på FIDO U2F-standarden, støtter WebAuthn en rekke forskjellige autentiseringssystemer.
I tillegg til å legge til rette for å droppe passordene vil løsningen også gjøre passord-relatert ugagn, som for eksempel nettfiske-angrep, så å si umulig.
At støtten nå er kommet på plass i nettlesere betyr for ordens skyld ikke at passordene vil kunne droppes med én gang, da det også kreves at nettsider integrerer støtte for standarden før man kan benytte teknologien. Det er en del testing og sertifiseringsprosesser som gjenstår før vi kommer dit.
Microsoft har for øvrig også kunngjort at deres nettleser skal få på plass støtte. Mer informasjon om teknologien kan du finne hos W3C, som har utviklet protokollen i samarbeid med FIDO-alliansen.
Les også: Dette er passordene du bør unngå »