A Microsoft szakemberei régóta dolgoznak azon, hogy a következő generációs szoftverekben a jelszavak helyett biztonságosabb, könnyebben használható, nehezebben támadható megoldásokat használjanak. Ilyen megoldások a biztonsági kulcsok, amelyeket több weboldal és szolgáltatás támogat már napjainkban is, most pedig a Windows 10 legújabb kiadása, a sok-sok bukdácsolás után újra kiadott October 2018 Update is támogat.
De mégis miaz a FIDO2?
Az U2F nyílt hitelesítési szabvány továbbfejlesztett változata, amely a felhasználónév-jelszó párost egy kulcspárra cseréli, ami egy privát és egy publikus kulcsból áll. A privát kulcsot a felhasználó eszköze tárolja, a publikus kulcsot pedig az adott szolgáltatás szerverei kezelik, így a szerverek feltörésével csak a publikus kulcsot tudja megszerezni a támadó. A FIDO2 a W3C Web Authentication szabvány, a WebAuthn API és a Client to Authentication protocol segítségével működik, elsődleges célja pedig a gyenge felhasználónév-jelszó páros lecserélése egy sokkal biztonságosabb és erősebb megoldásra, egy kriptografikus kulcspárra.
És mi az a hardveres biztonsági kulcs?
Egy olyan hardver, ami USB-n vagy akár NFC-n keresztül kapcsolódik az adott rendszerhez, egy előre beállított PIN kód megadása után pedig egyedi kriptografikus biztonsági kulcsot hoz létre az adott felhasználó azonosításához, így nincs szükség jelszavakra. A pendrive méretű hardveren rendszerint egy kapacitív gomb, illetve egy nyomógomb is található, amivel a felhasználónak jóvá kell hagynia az aktuális folyamatot, csak így jelentkezteti be a rendszer a generált kulccsal az adott szolgáltatásba.
A hardveres felhasználó-azonosítás előnye, hogy nagyon nehéz támadni, plusz az is extra védelmet nyújt, hogy az adott weboldalhoz tartozó azonosítót nem marad benne a webböngésző szövegmezőiben, hiszen minden alkalommal egyedi kulcsot generál a hardver. Az aktuális hardveres kulcsot többféle FIDO2 támogatással ellátott szolgáltatással is használhatjuk, viszont érdemes egy második kulcsot is beszerezni, ami helyettesítheti az elsőt, ha azt elveszítjük, vagy valami miatt éppen meghibásodik.
A FIDO2 támogatással ellátott szolgáltatások esetében további előny, hogy nem tárolnak jelszót a szervereiken, így a jelszó ki sem szivároghat egy esetleges hacker támadás alkalmával. A FIDO2 alapú eszköz minden szolgáltatáshoz egyedi kulcspárt generál, amelyek közül a szolgáltatás csak a publikus kulcsot tárolja, így semmiféle titkos információ kiszivárgásától nem kell félni.
Persze, ahogy a FIDO2 hitelesítést használó szolgáltatások és szoftverek terjednek, előbb-utóbb ezeket is elkezdik támadni a hackerek, például a hardveres kulcs megfertőzésével, vagy éppen az azonosítást végző algoritmusok feltörésével. Hogy mennyibe kerülnek ezek a FIDO2 támogatással rendelkező kulcsok? Innen kiderül.
