Použití hesla je stále méně spolehlivým prostředkem pro zabezpečení dat. Nový standard WebAuthn by měl v tomto směru podniknout radikální krok. Hesla ruší, a přesto data zabezpečí.
Zrušte hesla! To asi napadne každého surfaře, když má na webu větší počet různých účtů. Přestože je už delší dobu možné se do operačního systému přihlásit bez použití hesel pomocí různých jiných metod, v případě webových služeb je pro přihlášení stále běžnou praxí použití kombinace uživatelského jména a hesla. Ochrana heslem už ale většinou nefunguje tak, jak by měla. Hackeři se totiž pravidelně snaží proniknout do serverů provozovatelů služeb a ukrást jim přihlašovací údaje, a to se jim často povede (viz vpravo). Pro uživatele je pak velice obtížné spravovat rostoucí počet hesel. Statistiky vycházející z použití správců hesel, jako je LastPass nebo Dashlane, ukazují, že typický uživatel pomocí nich spravuje přibližně 200 hesel. A to se ještě počet hesel na uživatele každých pět let zdvojnásobuje. Navíc většina surfařů je pohodlná, protože podle průzkumu používá nějaký správce hesel jen 13 % z nich. Dokonce ani další bezpečnostní opatření, jako je využití dvoufaktorové autentizace, není zatím všeobecným zvykem. V tomto směru však existuje určitá naděje: nový standard WebAuthn (Web Authentication) by totiž v dlouhodobějším horizontu mohl hesla nahradit.
Nové využití stávající technologie
Přesněji řečeno, WebAuthn ještě standardem není. Toto rozhraní má zatím jen status doporučeného kandidáta u konsorcia W3C (World Wide Web Consortium). Předběžná verze nového standardu je ale v podstatě dokončena, i když ještě nebyla oficiálně schválena. Nekomerční aliance FIDO (Fast IDentity Online) je organizací, která už od roku 2012 vyvíjí standardy pro autentizaci a je zodpovědná i za WebAuthn. Proto je standard WebAuthn známý i pod označením FIDO 2.0. Ani použitá technologie není nová. Je totiž založena na UAF - Universal Authentication Factor. Myšlenka je jednoduchá: místo toho, abyste si pamatovali něco tajného, tedy v tomto případě heslo, identifikujete se pomocí nějakého předmětu, který vlastníte, například smartphonu nebo bezpečnostního tokenu. Tokeny se pro bezheslové přihlašování používají již delší dobu, a to zejména ve firemním prostředí. Ale například YubiKeys od společnosti Yubico je populární i mezi soukromými uživateli, kteří si hledí své bezpečnosti. Uživatelé v tomto případě získají malý USB klíč, který je potřeba vložit do počítače, a pak se uskuteční automatické přihlášení do Windows. Dokonce i Linux a macOS tyto tokeny podporují. WebAuthn pak přináší tuto technologii do prostředí, kde se přihlašování provádí nejčastěji, tedy do internetových prohlížečů. Není ale nutné používat zrovna rozhraní USB. K ověření totiž mohou být použity i čtečky otisků prstů nebo oční zornice v notebooku nebo smartphonu. Stejně tak se mohou využít NFC čipy nebo spárovaná Bluetooth zařízení. Bezpečný přenos dat z těchto externích zařízení do prohlížečů je spravován speciálně vyvinutým protokolem Client to Authenticator Protocol (CTAP).
Přihlášení bez hesla
Krása WebAuthnu spočívá v tom, že tento standard zajišťuje vyšší zabezpečení než tradiční hesla a je to jednodušší a rychlejší způsob. WebAuthn totiž nevyžaduje další úsilí - není nutné instalovat žádný další software nebo ovladače, ale pouze vložit token a propojit ho s uživatelským účtem nebo aktivovat snímač otisků prstů na smartphonu. Integraci provede poskytovatel služeb na pozadí. Pro každý přístup je vygenerován exkluzivní asymetrický pár klíčů, a proto WebAuthn spoléhá na veřejný klíč. Pro každou službu existuje jeden veřejný a jeden soukromý klíč. Tajný soukromý klíč nikdy neopustí zařízení, na kterém je uložen. Poskytovatel služeb pak ukládá veřejný klíč do zabezpečené databáze.
Při přihlašování server obvykle odesílá do prohlížeče výzvu přes JavaScript, například náhodné číslo. Toto náhodné číslo je podepsáno soukromým číslem a odesláno zpět. Může to znít komplikovaně, ale v praxi to vypadá tak, že vše, co musí uživatel udělat, je umístit prst na biometrickou čtečku notebooku nebo připojit bezpečnostní token. Přitom fantazii se meze nekladou, takže například token je možné kombinovat se zadáním PINu, nebo dokonce lze před ověřením požádat o další heslo. Na konci server ověří podepsanou zprávu pomocí veřejného klíče, který je na něm uložen, a povolí nebo zakáže přístup.
Výhoda technologie WebAuthn spočívá i v tom, že uživatelská jména, hesla nebo jiné tajné údaje neopouštějí prohlížeč, takže v podstatě není nic, co by mohl zloděj ukradnout. Pokusy o phishing, útoky typu Man-in-the-Middle nebo Replay útoky tak nikam nevedou.
Podpora ze strany hardwaru a služeb
Na straně prohlížečů již existuje podpora technologie WebAuthn od verze 67 u Chromu a od verze 60 u Firefoxu. Následovat by měl Microsoft s podporou u Edge. K dispozici jsou také první tokeny s novým bezpečnostním klíčem od společnosti Yubico, které už WebAuthn podporují. WebAuthn již integroval Dropbox, ale ne jako náhradu hesla, ale jako silný druhý faktor. WebAuthn má tedy potenciál zrušit hesla, ale jeho implementace bude nějakou dobu trvat.
Foto popis| Alternativa ke stresujícím heslům Uživatelé jsou zoufalí z vymáhání složitých hesel, ale na dvoufázovou autentizaci jsou zase příliš pohodlní. Mnoho poskytovatelů služeb tak nemůže rozumně zajistit bezpečný přístup. Elegantním řešením těchto problémů a nevýhod je WebAuthn. Dropbox ho již integroval.
Foto popis| Dokonce ani 10 procent uživatelů si neaktivuje dvoufázovou autentizaci, která je dostupná pro všechny služby Googlu.
Foto autor| Zdroj: Google
Foto popis| Největší datové úniky Masivní zcizení hesel není bohužel neobvyklé. V posledních letech byly zcizeny miliardy přihlašovacích údajů k mnoha internetovým službám. Špatným příkladem je Yahoo, kde došlo k úniku prakticky všech typů dat.
Foto autor| Zdroj: Statista
Foto popis| Přihlášení přes WebAuthn Proces probíhá ve více krocích: Uživatel 1 nejprve navštíví web přes HTTPS ve svém browseru 2 a jako přihlašovací metodu má nastavenu autentizaci pomocí tokenu. Důležité: Tento postup funguje pouze v případě, kdy internetový prohlížeč (Firefox, Chrome) službu WebAuthn podporuje. 3 Server poskytovatele služeb reaguje na náhodné číslo, na tzv. výzvu. Následně uživatel podepíše toto náhodné číslo svým soukromým klíčem 4 a odešle výsledek zpět na server. 5 Server ověří podepsaná data pomocí veřejného klíče a povolí nebo zakáže přístup 6 .
Foto popis| Náhrada hesla WebAuthn je ohledně autentizace poměrně flexibilní. Jako náhradu hesel lze totiž použít například biometrické snímače 1 integrované do notebooku (čtečka otisků prstů), smartphony 2 přes NFC nebo Bluetooth nebo speciální bezpečnostní tokeny 3 .
Foto autor| Foto: Hersteller; CHIP Studios (Screen Handy)
O autorovi| jörg geiger, autor@chip.cz