Napjainkban a jelszavak egyre kevésbé számítanak biztonságosnak, azonban a titkos kulcsok használata jó lehetőség a hitelesítéshez. Bár folyamatosan azt hangoztatják mindenhol, hogy az erős és biztonságos jelszavak használata elkerülhetetlen ahhoz, hogy az adatainkhoz illetéktelenek a lehető legkevésbé férjenek hozzá. Azonban a jelszóhasználat lassan mindenki számára egyre kényelmetlenebbé válik. Ugyanis a felhasználóknak vagy jelszókezelőre vagy 60-80 jelszó észben tartására lenne szükség. A szolgáltatók oldalán pedig a tárolás okoz gondot, hiszen időről-időre kiszivárognak adatbázisok, személyes adatokkal.
Bár szakértők szerint a jelszavak felett már eljárt az idő, egyelőre mégis ez a legnépszerűbb azonosítási forma. Ezt pedig nem lehet egyik pillanatról a másikra csak úgy lecserélni. A jelszó működési elve egyébként nagyon egyszerű: belépésnél a szolgáltató elkéri azt, és ha a felhasználó által megadott karaktersor egyezik azzal, amit a szolgáltató tárol, akkor a felhasználó jogosult a hozzáféréshez.
A fent említett problémák viszont nagyon is valósak. Az adatszivárgási botrányok mellett a felhasználók viselkedése miatt is. Ugyanis rengetegen vannak, akik kényelemből minden fiókhoz ugyanazt a jelszót használják.
Titkos kulcsok
Éppen ezért egyre több cég – az Apple, a Google, Microsoft – már jelezték, hogy szeretnének ezzel a helyzettel kezdeni valamit. Több vállalat figyelme is a FIDO2 platform felé terelődött. Ez egy szabványosított, online hitelesítési platform, amely hardveres kulcs segítségével működik. Ebből adódóan fokozott biztonságot nyújt. Azonban hátránya, hogy elég körülményes integrálni a meglévő szolgáltatásokba. Ennek oka akkor válik mindenki számára világossá, ha megértjük hogyan is működik pontosan a hitelesítés.
Vegyük például azt az esetet, amikor böngészőből szeretnénk bejelentkezni a Google-fiókunkba. A weboldal betöltése után nem felhasználói nevet és jelszót kell beírni, hanem a telefont kell megfogni és feloldani ujjlenyomat vagy arcfelismerés segítségével. A FIDO2 aszimmetrikus kriptográfia segítségével működik, vagyis a belépésnél egy véletlenszerűen előállított kulcspár készül. A titkos (privát) kulcs a felhasználó eszközére kerül, a nyilvános kulcs pedig a szolgáltatóhoz. Belépésnél a szolgáltató a titkos kulcsot ellenőrzi úgy, hogy az mindvégig csak és kizárólag a felhasználó eszközén elérhető. A titkos kulcsot tárolhatja telefon, okosóra vagy akár dedikált hardver, például egy USB-s token is.
Vissza a blog cikkekhez