Mogli ste primijetiti kako je 5. svibnja Google web tražilica izgledala nešto drugačije. Ispod popularne trake za pretraživanje svakom korisniku bila je ponuđena mogućnost sigurnosne provjere svog korisničkog računa. Klikom na sigurnosnu provjeru Google je preporučio što sve morate učiniti kako bi vaš korisnički račun bio što sigurniji, a istodobno ste mogli dobiti informaciju na kojim platformama i uređajima on nije bio korišten duže vrijeme te je zbog toga ponuđena opcija njegovog uklanjanja s njih.
Sve je to zapravo bilo vezano uz obilježavanje Svjetskog dana lozinki (World Password Day) koji svake godine pada na prvi četvrtak u mjesecu svibnju.
Ono što je zanimljivo je činjenica kako ove godine možda zadnji put slavimo taj dan u pravom njegovom značenju. Lozinke su uvijek temelj stvaranja sigurnosnog okruženja za računalo i ostale uređaje koje koristimo, ali ubrzo nas čeka dolazak novog doba u kojem će lozinke polako postati stvar prošlosti.
Možda to u ovom trenutku zvuči kao preuranjena tvrdnja, ali tehnološki divovi Apple, Google i Microsoft definitivno idu u tom smjeru.
U nedavnoj zajedničkoj objavi Apple, Google i Microsoft obvezali su se kako će izgraditi podršku za prijave na korisničke račune bez potrebnih lozinki na svim mobilnim platformama, desktopima i web preglednicima kojima upravljaju. Velika tranzicija dogodit će se tijekom sljedeće godine.
U praksi to znači kako će autentifikacija bez lozinke ubrzo doći na sve glavne platforme: Android i iOS operativne sustave, Chrome, Edge i Safari web preglednike te Windows i macOS radna okruženja.
Proces prijave bez lozinke omogućit će korisnicima odabir njihovog telefona kao uređaja za autentifikaciju kad su u pitanju aplikacije, web stranice i ostali digitalni servisi.
Google je sve objasnio u svojoj objavi na službenom blogu. Kad se budete prijavljivali na, primjerice, aplikaciju ili web stranicu na svom telefonu, jednostavno ćete svoj telefon morati otključati i to će biti cijeli postupak. Unošenje bilo kakvih lozinki bit će potpuno nepotrebno.
Vaš telefon će pohraniti tzv. FIDO autentifikaciju koja se zove „passkey“ i ona se koristi za otključavanje online korisničkih računa. Passkey je kriptografski token koji čini prijavu mnogo sigurnijom i temelji se na kriptografiji javnog ključa te se pokazuje samo na online korisničkom računu kada otključate svoj telefon.
U slučaju prijave na web stranicu na računalu bit će vam potreban telefon u blizini i morat ćete ga otključati kako bi dobili pristup. Jednom kad ovo učinite, telefon vam neće ponovno trebati i moći ćete se prijavljivati putem otključavanja računala. Čak i u slučaju da izgubite telefon, vaš će passkey biti na siguran način sinkroniziran na novi telefon pomoću backupa iz oblaka. Tako ćete samo nastaviti koristiti sadržaje s mjesta gdje ste bili stali na starom telefonu.
Jednostavnim rječnikom, unos PIN-a, uzorka ili otključavanje otiskom prsta na telefonu bit će dovoljni za prijavu na razne oblike servisa jer se passkey dijeli između vašeg telefona i platforme na koju se prijavljujete.
Ideja iza cijele spomenute tranzicije je da se unaprijedi korisničko iskustvo te da ono bude sigurno i jednostavno. Bez korištenja lozinke neće više biti potrebe da se pamte detalji prijava na različitim platformama, a također više neće biti situacija gdje se umanjuje sigurnost korisničkog računa zbog korištenja istih lozinki na različitim mjestima.
Sustav bez lozinki istodobno će otežati hakerima i trećima osobama da s udaljenih mjesta kompromitiraju nečiji korisnički račun pošto će prijava na njega tražiti pristup fizičkom uređaju. Zbog ove promjene će i phishing napadi koji korisnike preusmjeravaju na lažne web stranice radi krađe lozinki biti mnogo teže izvedivi.
Iako su mnoge popularne aplikacije omogućile korištenje FIDO autentifikacije, inicijalna prijava na njih je još uvijek tražila korištenje lozinke pa su korisnici i dalje bili potencijalno izloženi napadima.
Nove procedure koje dolaze sljedeće godine uklonit će inicijalno unošenje lozinke.
Najave nekih od čelnih ljudi Microsofta, Applea i Googlea polako pripremaju korisnike na velike promjene u sljedećoj godini.
Kurt Knight, Appleov direktor marketinga proizvoda na platformama, rekao je kako Apple kontinuirano radi na privatnosti i sigurnosti korisnika, a novi ciljevi uključuju rad na još pouzdanijim metodama prijave koje će eliminirati ranjivost korištenja lozinki s ciljem da osobni podaci korisnika budu sigurni od raznih vrsta napada.
Vasu Jakkal, Microsoftov zamjenik predsjednika za sigurnost, usklađenost, identitet i privatnost naglasio je potrebu o postizanju kompatibilnosti na svim platformama i servisima. Naveo je kako će passkey na mobilnim uređajima omogućiti prijave na aplikacije ili servise na bilo kojem uređaju. Jakkal je dao primjer prijave na Google Chrome web preglednik koji je pokrenut na Microsoft Windows operativnom sustavu, a passkey se koristi na Appleovom uređaju.
Sampath Srinivas, Googleov direktor upravljanja proizvodima za sigurnu autentifikaciju i predsjednik FIDO saveza, spomenuo je kako će produžena podrška za FIDO autentifikaciju po prvi put omogućiti web stranicama, aplikacijama i ostalim servisima iskustvo bez lozinki sa snažnom zaštitom od phishing prijevara. Naveo je kako će internet platforme konačno dobiti toliko željeno iskustvo bez lozinki kada podrška za passkey postane dostupna svima tijekom 2022. i 2023. godine.
Piše: Ervin Mičetić
