Biometryczne metody autoryzacji użytkowników mają zarówno swoich zwolenników, jak i przeciwników. Jednak współcześnie dostępne skanery odcisków palców są tak precyzyjne, że wielu specjalistów uważa je za bezpieczne i godne zaufania rozwiązania. Tego typu metody będą mogły być niedługo użyte do logowania w serwisach internetowych. Organizacja W3C oraz FIDO Alliance pracują właśnie nad standardem Web Authentication, który ma nie tylko zapewnić wygodę, ale również poprawić bezpieczeństwo naszych danych.
Wszyscy dobrze wiemy, że ludzie są leniwi w kwestii wymyślania haseł. Coraz większa ilość stron internetowych wymaga od nas założenia konta, a my nie jesteśmy w stanie zapamiętać różnych haseł do wszystkich naszych serwisów. Mało kto korzysta też z menadżerów haseł. Dlatego dużo osób korzysta z tego samego hasła na wielu stronach internetowcach. Jest to bardzo niebezpieczna praktyka, ponieważ wyciek danych z jednego serwisu pozwala przestępcom na włamanie się na inne strony. Dlatego właśnie FIDO oraz W3C pracują nad standardem, który pozwoli nam logować się na stronach internetowych za pomocą odcisku palca, tokenów czy też systemów rozpoznających twarz użytkownika. Prace nad nowym standardem są już bardzo zaawansowane.
API do Web Authentication zostało już zaimplementowane w przeglądarce Mozilla Firefox
Web AuthenticationZarówno Google, jak i Microsoft zapowiedzieli, że w ciągu kilku miesięcy wprowadzą Web Authentication w swoich przeglądarkach. Opera również zadeklarowała się do implementacji nowego rozwiązania. Być może znajdzie się on również w Safari, ale Apple może być oporne przy integracji Touch ID oraz Face ID z rozwiązaniem opracowanym przez FIDO Alliance.
Na czym polega nowe rozwiązanie? Autoryzacja użytkownika odbywa się za pomocą operacji wykonanych z użyciem pary kluczy. Podczas rejestracji urządzenie autoryzacyjne użytkownika wysyła na serwer swój klucz publiczny. Może on zostać wykradziony przez hakerów, jednak nie stanowi to żadnego zagrożenia. Podczas kolejnego logowania, serwer wysyła zapytanie autoryzujące. Z kolei urządzenie użytkownika generuje odpowiedź, która jest generowana na podstawie klucza prywatnego oraz innych danych (może to być znacznik czasu). Oczywiście najpierw wymagane jest poprawne rozpoznanie właściciela konta (może to być np. odcisk palca). Jak widzicie, rozwiązanie proponowane przez W3C oraz FIDO jest już praktycznie gotowe. Teraz pozostaje nam jedynie czekać na implementacje w poszczególnych przeglądarkach oraz popularnych serwisach internetowych.