Sieć bez haseł? Microsoft Edge otrzymuje wsparcie dla Web Authentication

Microsoft ogłosił dziś wprowadzenie wsparcia dla specyfikacji Web Authentication w Microsoft Edge, która zapewnić ma "lepsze, bezpieczniejsze doświadczenie użytkownika i pozbawione haseł doświadczenie sieci". Mówiąc dokładniej, specyfikacja pozwoli użytkownikom przeglądarki logować się za pomocą wizerunku twarzy, odcisku palca, kodu PIN lub przenośnych urządzeń FIDO2, by stosować silne uwierzytelnianie kluczem publicznym zamiast wpisywania haseł.

Pisząc o nowej specyfikacji, Microsoft jak zwykle przekonuje o zaletach rzeczywistości bezhasłowej lub - mówiąc inaczej - takiej, w której to my sami jesteśmy swoim hasłem: "Wszystkie dane chronione są starożytnym modelem bezpieczeństwa - hasłem. Ale hasła są trudne do zapamiętania i z gruntu niebezpieczne - zwykle używane wielokrotnie i podatne na phishing i cracking". Z tego względu Microsoft rozwinął innowacyjny system biometryczny Windows Hello i nawiązał współpracę z FIDO Alliance, by stworzyć otwarty standard uwierzytelniania bezhasłowego - Web Authentication. Począwszy od kompilacji 17723, Microsoft Edge wspiera tę specyfikację w wersji CR (Candidate Release). Jak twierdzi Microsoft, implementacja dostarcza najbardziej aktualnego wsparcia dla Web Authentication, wspierając więcej wystawców uwierzytelnienia niż inne przeglądarki.

Insiderzy mogą na chwilę obecną skorzystać z dwóch opcji. Pierwsza to Windows Hello, zapewniająca uwierzytelnianie biometryczne poprzez rozpoznawanie twarzy i linii papilarnych lub kod PIN. Druga opcja zakłada użycie kluczy bezpieczeństwa FIDO2. Tu uwierzytelnianie odbywa się przy pomocy usuwalnego urządzenia i biometrii użytkownika lub kodu PIN. W przypadku witryn, które nie są gotowe na przejście do modelu całkowicie pozbawionego haseł, wsteczna zgodność z urządzeniami FIDO U2F może zapewnić mocny drugi czynnik uwierzytelniania jako dodatek do tradycyjnego hasła.

Microsoft poinformował też, że pracuje z partnerami z branży nad pierwszymi doświadczeniami webowymi, całkowicie pozbawionymi haseł. Próbkę takiego podejścia firma dała na RSA 2018, pokazując, jak te API mogą zostać użyte w zatwierdzeniu płatności online na podstawie twarzy. "Bezhasłowe doświadczenia uwierzytelniania, takie jak te, są fundamentem świata pozbawionego haseł" - kwituje Microsoft.