ในที่สุดมาตรฐานใหม่นี้จะช่วยให้เรากำจัดรหัสผ่านได้หรือไม่?

นำทางเว็บโดยไม่ต้องป้อนรหัสผ่านเดียวนี่คือคำสัญญาของ "webauthn" ซึ่งเป็นเทคโนโลยีการตรวจสอบความถูกต้องซึ่งเพิ่งได้รับสถานะของ"ผู้สมัครคำแนะนำ"จาก W3C ซึ่งทำให้มันเป็นวิธีที่ดีมากในการเป็นสากลเว็บอนาคต

ในความเป็นจริง webauthn ไม่ได้ใหม่อย่างสมบูรณ์ เป็นเว็บ API ที่เป็นผลมาจากไฟล์ความพยายามในการสร้างมาตรฐานที่กว้างขึ้นเรียกว่า FIDOปรากฏในปี 2014 ภายใต้การนำของยักษ์ใหญ่ทางเว็บและนักอุตสาหกรรมไฮเทคบางคน FIDO เป็นเทคโนโลยีการตรวจสอบความถูกต้องโดยมีจุดประสงค์เพื่อกำจัดรหัสผ่านโดยใช้ใบรับรองอิเล็กทรอนิกส์ในขณะที่ลบความซับซ้อนทั้งหมดของผู้ใช้ ข้อได้เปรียบอีกประการหนึ่ง: มันจะช่วยให้คุณพึ่งพาระบบไบโอเมตริกซ์ของสมาร์ทโฟนซึ่งแพร่กระจายอย่างกว้างขวางในวันนี้

Fido เวอร์ชันแรกไม่สามารถฝ่าฟันได้ซึ่งเป็นสาเหตุที่ Fido Alliance Consortium นำเสนออย่างรวดเร็วพอสมควรFIDO2รวมถึงส่วนหนึ่ง - API Webauthn - ถูกส่งไปยัง W3C ในปี 2558 กลยุทธ์ที่ชนะอย่างเห็นได้ชัดเพราะผู้เผยแพร่เบราว์เซอร์ส่วนใหญ่ได้รายงานการสนับสนุนของพวกเขา Webauthn API ได้รวมเข้ากับ Firefox 60 รุ่นกลางคืนแล้วควรจะอยู่ใน Chrome และ Edge ในไม่ช้า เทคโนโลยีนี้ยังเข้ากันได้กับหน้าต่างและ Android Apple เป็นนักแสดงคนเดียวที่ไม่ได้เข้าร่วมการเคลื่อนไหว

กุญแจสาธารณะและกุญแจส่วนตัว

การรับรองความถูกต้องทำงานกับ fido2 และ webauthn ทำงานอย่างไร ผู้ใช้อินเทอร์เน็ตจะต้องเลือก "ระบบความถูกต้อง" ก่อน มันอาจเป็นกุญแจสำคัญYubikeyนาฬิกาที่เชื่อมต่อ, ดองเกิล USB, เครื่องอ่านลายนิ้วมือของสมาร์ทโฟนระบบการจดจำใบหน้าหรือเสียงร้อง ฯลฯ FIDO2 จะพึ่งพา Authenticator ที่เลือกเพื่อสร้างคีย์สาธารณะและคีย์ส่วนตัว ครั้งแรกจะถูกส่งไปยังเว็บไซต์ที่จะเก็บไว้ในฐานข้อมูล ส่วนที่สองยังคงอยู่ในความครอบครองของผู้ใช้อินเทอร์เน็ตและจะไม่ได้รับการสื่อสารกับบุคคลที่สาม

ในอนาคตเมื่อผู้ใช้อินเทอร์เน็ตต้องการบันทึกเขาจะทำหน้าที่เป็นผู้อ่านลายนิ้วมือหรือคีย์ Yubikey ของเขาซึ่งจะมีผลต่อการส่งข้อความการตรวจสอบความถูกต้องของบริการออนไลน์ที่ลงนามกับคีย์ส่วนตัว ลายเซ็นนี้จะได้รับการตรวจสอบด้วยคีย์สาธารณะซึ่งจะช่วยให้สามารถเข้าถึงบริการออนไลน์ได้

ข้อดีของระบบดังกล่าวมีหลายอย่างเริ่มต้นด้วยความปลอดภัย ก่อนอื่นเว็บไซต์ไม่จำเป็นต้องจัดเก็บรหัสผ่านของผู้ใช้อีกต่อไป แต่มีเพียงกุญแจสาธารณะของพวกเขา ดังนั้นจึงไม่มีความเสี่ยงที่จะมีตัวระบุการรั่วไหลอย่างที่เรารู้จักในช่วงไม่กี่ปีที่ผ่านมากับ Yahoo, LinkedIn, Adobe ฯลฯ เทคโนโลยีนี้ยังทนต่อการโจมตีการสกัดกั้นการสกัดกั้นของคนที่อยู่ตรงกลาง เพื่อแย่งชิงตัวตนของผู้ใช้ผู้โจมตีจะต้องมีคีย์ส่วนตัวและระบบ Authenticist มิฉะนั้นเขาจะไม่สามารถส่งลายเซ็นที่ถูกต้องไปยังบริการเว็บ การโจมตีแบบฟิชชิงก็ยากมากที่จะนำไปใช้เนื่องจากชื่อโดเมนของไซต์นั้นเชื่อมโยงกับปุ่มที่สร้างโดย FIDO2 ต้องเผชิญกับไซต์เท็จระบบ Authenticist จะไม่ส่งลายเซ็น

ความสะดวกในการใช้งานด้านข้างมีข้อดีและข้อเสีย เป็นที่ยอมรับว่าผู้ใช้จะไม่ต้องหักหัวเพื่อค้นหารหัสผ่านที่ดีซึ่งเขาจะต้องจำไว้ ในทางกลับกันมันจะขึ้นอยู่กับระบบ Authenticist เพื่อเชื่อมต่อ หากเป็นผู้อ่านสำนักพิมพ์สมาร์ทโฟนของเขาเขาจะต้องมีมันให้เขาเข้าถึงบริการออนไลน์ของเขาเสมอ ดังนั้นเราจึงแทนที่ข้อ จำกัด หนึ่งด้วยอีกข้อหนึ่ง แต่ด้วยการได้รับความปลอดภัยเกมนี้คุ้มค่ากับเทียนอย่างชัดเจน ตอนนี้ลูกบอลอยู่ในค่ายของผู้เผยแพร่ค่ายซึ่งจะต้องใช้เทคโนโลยีนี้เพื่อให้ผู้ใช้อินเทอร์เน็ตสามารถใช้งานได้

🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-