I april skrev vi om den nye protokollen Web Authentication (WebAuthn), som legger til rette for eliminering av de brysomme passordene til fordel både enklere og sikrere pålogginger. Nå er støtten på plass i alle fall i én nettleser.
Mozilla melder nemlig på bloggen sin at de har bygget inn WebAuthn-støtten i Firefox-nettleseren sin, og dermed er nettleseren førstemann ut. Selskapet kunngjorde støtten allerede i januar i år.
WebAuthn gjør det blant annet mulig å bruke selve enheten man bruker til å koble seg på nettet med, som for eksempel en PC eller en mobiltelefon, til å autentisere brukeren. Måten dette fungerer er ved å kommunisere brukerens legitimasjon lokalt til enheten man bruker over USB, Bluetooth eller NFC via en ekstern enhet, som for eksempel en fysisk sikkerhetsnøkkel ala Yubikey eller en mobiltelefon.
Kan bruke biometriske data
I praksis kan dette fungere ved at man kan registrere mobilen sin som autentikator, og når man besøker en nettside som krever pålogging kan man så for eksempel bruke fingeravtrykkleseren eller ansiktsskanning på mobilen til å logge seg inn på nettsiden.
Akkreditivene og de biometriske dataene blir kun oppbevart lokalt på enheten. De sendes aldri til webserveren. I stedet sendes en bekreftelse om at brukeren er autentisert.
WebAuthn har mye felles med Fido 2.0 Web API, som allerede støttes av nettsteder som Google, Facebook, Dropbox og GitHub. Men der hvor Fido 2.0 Web API avhenger av hemmelige adgangstegn lagret i fysiske sikkerhetsnøkler basert på FIDO U2F-standarden, støtter WebAuthn en rekke forskjellige autentiseringssystemer.
I tillegg til å legge til rette for å droppe passordene vil løsningen også gjøre passord-relatert ugagn, som for eksempel nettfiske-angrep, så å si umulig.
At støtten nå er kommet på plass i nettlesere betyr for ordens skyld ikke at passordene vil kunne droppes med én gang, da det også kreves at nettsider integrerer støtte for standarden før man kan benytte teknologien. Det er en del testing og sertifiseringsprosesser som gjenstår før vi kommer dit.
Både Microsoft og Google har for øvrig kunngjort WebAuthn-støtte for sine respektive nettlesere. Mer informasjon om teknologien kan du finne hos W3C, som har utviklet protokollen i samarbeid med FIDO-alliansen.
Google avholdt nylig en stor konferanse: Her er høydepunktene fra I/O »