גוגל בסין
בעלי חשבונות Google יוכלו בקרוב להשתמש בטביעות האצבעות שלהם כדי לאמת את חשבונותיהם ולהיכנס לאפליקציות המחוברות לאנדרואיד שלהם. יצרנית מערכת ההפעלה אנדרואיד החלה כעת לדחוף a טכניקת אימות פשוטה לשירותים יותר ויותר שפקדו פעם שם משתמש וסיסמה לגישה מאובטחת. הדחיפה לאימות טביעות אצבע מגיעה לאחר שהיו מספר מקרים של פריצות מוצלחות בגלל בחירה גרועה של סיסמאות.
בעודם מנסים להגיע לשיטות אימות אבטחה חלופיות, נראה כי חברות ונותני שירות מקוונים הסתפקו באימות ביומטרי או ליתר דיוק, אימות טביעות אצבע. PIN, טביעת אצבע ואפילו Face ID הם שיטות נפוצות יותר ויותר שמשתמשי סמארטפונים משתמשים בכדי לקבל גישה למכשירים שלהם. כעת אפליקציות אינטרנט ופלטפורמות מקוונות אחרות יאפשרו גם טכניקות אימות טביעות אצבע דומות. בנוסף לפישוט הכניסה המהיר, צפויה גם המתודולוגיה המקובלת להגביר את האבטחה בשל ייחודה של מערכת האימות הביומטרי שלא ניתן לפרוץ או לשכפל אותה בקלות.
קונסורציום הרשת העולמית (W3C) מאשר את ה- API של WebAuthn:
קונסורציום הרשת העולמית (W3C) ו- Fast Identity Online או FIDO Alliance ניסו יחד למצוא דרכים להגברת האבטחה המקוונת. הקבוצה, המורכבת מכמה חברות טכנולוגיה, דאגה בצדק להיגיינת סיסמאות לקויה ביותר שמשתמשי האינטרנט עוקבים אחריה. טעויות נפוצות כמו שימוש באותן סיסמאות במספר פלטפורמות, שימוש בסיסמאות פשוטות, אי שינוי סיסמאות, אי שימוש באימות דו-גורמי והרגלים רעים אחרים אפשרו להאקרים לחדור לביטחון של מספר פלטפורמות מקוונות.
כדי להילחם באיום המתגבר של פיצוח סיסמאות, API ה- WebAuthn נוצר. חברות כמו אמזון, אפל, עליבאבא, מוזילה, פייפאל, יוביקו וגוגל תמכו ב- WebAuthn, המהווה חלק ממפרט האימות של FIDO2. ממשק ה- API למעשה מאפשר כניסה ללא סיסמה בשירותי אינטרנט סלולריים. כדי להפוך את זה למציאות, משתמש שנכנס לאתר ספציפי בטלפון שלו מתבקש לרשום את המכשיר שלו לאתר זה. לאחר ההרשמה בהצלחה, המשתמש יכול להשתמש בשיטת אימות מקומית שהוגדרה בעבר, כגון קוד PIN לנעילת מסך או מנגנון ביומטרי כדי לקבל גישה.
משתמשי Android יכולים להיכנס לחלק משירותי Google באמצעות טביעת האצבע שלהם https://t.co/IZw6IssukL pic.twitter.com/1UVDSf2AwQ
- Engadget (@engadget) 12 באוגוסט 2019
בסופו של דבר, ממשק ה- API של WebAuthn אמור להפוך לחשבונות מקוונים מאובטחים יותר על ידי אישור זהות המשתמש עם המכשולים הנמוכים ביותר. יתר על כן, משתמשים שיבחרו בשיטה נוחה ובטוחה זו יצטרכו לרשום את האישורים הביומטריים שלהם בפלטפורמה מסוימת פעם אחת בלבד. יישומים מקומיים ויישומי אינטרנט מקבלים פשוט את שיטת הכניסה החדשה.
אגב, גוגל כבר החלה לפרוס את מערכת האימות נטולת הסיסמה מבוססת ה- WebAuthn API עבור כמה משירותיה. למשתמשים תהיה גישה לכל הסיסמאות השמורות שלהם דרך סיסמאות. Google.Com מבלי להזין את פרטי הכניסה שלהם ל- Google. למרות שזהו מקרה העבודה היחיד של השיטה החדשה ללא סיסמה, גוגל אמורה להרחיב את זה לשירותים אחרים בקרוב. במילים פשוטות, בקרוב משתמשי סמארטפון אנדרואיד של גוגל, ששמרו את אישורי הכניסה שלהם בפלטפורמות גוגל השונות, יוכלו להיכנס אליהם באמצעות הביומטריה או טביעת האצבע שלהם בלבד.
האם גוגל או שירותים אחרים יקבלו טביעות אצבע בפועל?
עם השימוש הגובר ב- WebAuthn API ובאימות ביומטרי, המשתמשים מודאגים בצדק אם פלטפורמות אחרות ייגשו ויאוחסנו באופן מקוון על הביומטריה שלהם. כדי לטפל בדאגה זו, גוגל הבטיחה כי אימות ביומטרי לעולם לא יעזוב את הסמארטפון שעליו משתמשים בו. במילים אחרות, לא גוגל וגם חברות אחרות לא מקבלות עותק של טביעות האצבע של המשתמשים. הכל מתבצע באופן מקומי ורק 'הוכחה' נשלחת. 'רק הוכחה קריפטוגרפית שסרקת אותה כהלכה נשלחת לשרתי גוגל. זהו חלק מהותי בתכנון FIDO2, 'ציינה גוגל.
הפיכת האימות לקלה עוד יותר באמצעות אימות משתמשים מקומי מבוסס FIDO2 לחשבונות Google בלוג אבטחה מקוון של גוגל https://t.co/k5Rqr786Y6
התכונה זמינה היום במכשירי Pixel ומגיעה לכל מכשירי Android 7+ בימים הקרובים.
#WebAuthn # FIDO2 pic.twitter.com/0XebmtEB3O- חומר * (@matiere) 13 באוגוסט 2019
בקרוב, טלפונים חכמים של Android עם אנדרואיד נוגט 7.0 ומעלה אמורים להתחיל בקרוב להציע למשתמשים אפשרות להתחבר ללא אישורי כניסה. מיותר להוסיף, המשתמשים יידרשו להיכנס לחשבון Google האישי שלהם במכשיר ולהגדיר קוד נעילת מסך. במילים אחרות, סמארטפונים אנדרואיד שאינם מאובטחים לא יזכו ליכולת. יתר על כן, גוגל מגבילה את האפשרות לגשת לפלטפורמות אינטרנט עם ביומטריה באמצעות דפדפן Chrome בלבד. סביר להניח שענקית החיפוש תכלול בקרוב אפליקציות אחרות.
WebAuthn API ו- FIDO2 מתחברים להיות בקרוב סטנדרטיים?
גוגל כבר מזמן הציגה את האימות הדו-גורמי. החברה ממשיכה לקרוא למשתמשים להפעיל את התכונה כדי להגביר את האבטחה. ישנם מספר אמצעי אבטחה לאיתור מכשירים המשמשים באופן קבוע ולהזהיר משתמשים באמצעות דואר ו- SMS בנוגע לגישה ממכשירים לא מוכרים. למרות שישנן שיטות כניסה אחרות, האימות הביומטרי הוא ללא ספק הפשוט ביותר, הנפוץ ביותר והמהיר ביותר. מכאן שגם האימוץ שלה צריך להיות המהיר ביותר מכיוון שרוב משתמשי הסמארטפונים של אנדרואיד כבר משתמשים בו כדי להשיג גישה למכשירים שלהם.
מעניין כי מחשבים ניידים רבים ומכשירים ניידים אחרים מציגים סורק טביעות אצבע. מכאן שדרישת החומרה כבר קיימת. בדחיפה של גוגל, חברות רבות אחרות צריכות להתחיל לאמץ ולקבל את טביעת האצבע של המשתמשים ככניסה במהירות.
תגים דְמוּי אָדָם גוגל
