A Google, és vele együtt számos meghatározó technológiai vállalat – például az Apple és a Microsoft – határozott lépéseket tesz, hogy a hagyományos jelszavakkal történő bejelentkezés minél előbb a múlté legyen, és helyét az új globális szabványnak megfelelő ujjlenyomat-olvasó és arcfelismerő vegye át.
A Google múlt héten bejelentette, hogy egy újabb lépést tett a jelszómentes jövőért. Ez persze nem azt jelenti, hogy bárki jogosulatlanul beléphet például a Gmail fiókunkba, sőt. A jelszó helyett a FIDO által kifejlesztett szabvány szerinti ujjlenyomat-olvasóval, vagy arcfelismerővel történő belépés biztonságosabb és praktikusabb számunkra mint a bonyolult jelszavak megjegyzése, legalábbis a Google – és még számos nagy technológiai cég – szerint.
Május 3-tól minden Google felhasználó átállhat az úgynevezett passkey-jel történő azonosításra, és teljesen elhagyhatja a jelszavakat és a kétlépcsős ellenőrző kódokat a bejelentkezéskor, jelentette be a techóriás, több másik, hasonlóan meghatározó vállalattal együtt.
A passkey a jelszó biztonságosabb és kényelmesebb alternatívája, amelyet a Google, az Apple, a Microsoft és más, a FIDO Szövetséghez csatlakozott technológiai cégek terjesztenek. Olyan technológiai mamutcégek, mint az Apple, a Google és a Microsoft közös bejelentést tettek május 5-én – stílszerűen a Jelszavak Világnapján – miszerint a hozzájuk tartozó mobil, asztali és böngészőplatformok mindegyikén támogatni fogják a jelszó nélküli bejelentkezést, mégpedig egy éven belül. Ez gyakorlatilag azt jelenti, hogy a jelszó nélküli hitelesítés a nem túl távoli jövőben minden nagyobb platformon használható lesz: Android és iOS mobil operációs rendszereken, Chrome, Edge és Safari böngészőkben, valamint a Windows és macOS asztali gépeken is.
A hagyományos jelszavakat és más bejelentkezési lehetőségeket, például a két lépcsős azonosítást, az SMS-ellenőrzést helyi PIN-kóddal vagy az eszköz saját biometrikus hitelesítését – például ujjlenyomattal vagy Face ID-vel – helyettesítheti az új azonosítási szabvány.
Ezeket a biometrikus adatokat nem tárolja majd sem a Google, sem más harmadik fél, és a passkey-ek csak az eszközökön léteznek, ami nagyobb biztonságot és védelmet nyújt, mivel nincs jelszó, amelyet egy adathalász-támadás során ellophatnak.
A jelszó nélküli azonosítási szabványt a FIDO Alliance fejlesztette ki, ami mára globális hitelesítési eljárássá nőtte ki magát. A nyitott iparági szövetség többek között azzal érvvel a jelszó nélküli azonosítás mellett, hogy az adatlopások 80 százaléka az elavult bejelentkezési módszer miatt történik. Egy átlagos felhasználó több mint 90 online profillal rendelkezik, és az esetek több mint felénél ugyanazt a jelszót használja. Az elfelejtett jelszavak ügyfélszolgálat általi visszaállításának díja pedig átlagosan 70 dollár, vagyis mintegy 23 ezer forint.
A FIDO jelszó nélküli bejelentkezési folyamat lehetővé teszi a felhasználók számára, hogy a telefonjukat válasszák fő hitelesítési eszköznek az alkalmazások, weboldalak és más digitális szolgáltatások esetében – olvasható a Google blogbejegyzésében. Ezután a telefon feloldása az alapértelmezett műveletként beállított módon – PIN-kód beírásával, minta rajzolásával vagy ujjlenyomat-feloldással –
elegendő lesz a webes szolgáltatásokba való bejelentkezéshez anélkül, hogy valaha is jelszót kellene megadni, amit egy egyedi kriptográfiai token, az úgynevezett jelkulcs, vagy passkey tesz lehetővé, amelyet a telefon és a weboldal oszt meg egymással.
Passkey hozzáadása esetén a Google elkezdi kérni azt bejelentkezéskor, vagy amikor olyan potenciálisan gyanús tevékenységet észlel, amely további ellenőrzést igényel. A Google-fiókokhoz tartozó passkey-ek bármely kompatibilis hardveren – például az iOS 16-ot futtató iPhone-okon és az Android 9-et használó Android-eszközökön – tárolhatók, és az operációs rendszerből más eszközökre is megoszthatók olyan szolgáltatások segítségével, mint az iCloud vagy az olyan jelszókezelőkkel, mint a Dashlane.
A felhasználók a Google-fiók beállításaiban azonnal visszavonhatják a passkey-t, ha felmerül a gyanú, hogy jogosulatlan belépés történt, vagy ha elveszítik az egyetlen olyan eszközt, amelyen az ujjlenyomatot, arcfelismerőt, vagy egyéb azonosítási eszközt tárolták. A Google szerint a Google Advanced Protection Programjába – egy ingyenes szolgáltatásba, amely további biztonsági védelmet nyújt az adathalászat és a rosszindulatú alkalmazások ellen – beiratkozott felhasználók a szokásos fizikai biztonsági kulcsok helyett választhatják majd a passkey-ek használatát is.
Nyilvánvalóan eltart egy ideig, amíg a passkey-ek használata széles körben elterjed, így a Google-fiókok továbbra is támogatni fogják a meglévő bejelentkezési módszereket, például a hagyományos jelszavakat. Ez időt ad azoknak, akik jelenleg nem rendelkeznek biometrikus hitelesítést támogató eszközzel, hogy átálljanak az új technológiára. Úgy tűnik azonban, hogy a jövőben a Google teljesen átáll majd a passkey használatára.
Eddig az Apple, a Google és a Microsoft is azt nyilatkozta, hogy az új bejelentkezési eljárás várhatóan a következő évben válik elérhetővé minden platformon, bár pontosabb ütemtervet még nem jelentettek be.
(Borítókép: Getty Images/Epoxydude)