Google velí k zásadní bezpečnostní proměně, ostatní se však musí přidat

Google pomalu ale jistě nastavuje vícefázové ověření jako defaultní.

Google velí k zásadní bezpečnostní proměně, ostatní se však musí přidat


V rámci zlepšování bezpečnosti na internetu se Google odhodlal ke kroku, který by měli následovat i ostatní. Z vícefázového ověření dělá defaultní nastavení. Ačkoliv, nenazývá ho dosud běžnou zkratkou MFA (multi-factor authentication), nýbrž 2SV (two-step verification). Ještě zajímavější pak je, že tlačí na využívání svého nového softwaru vyhovujícího autentizačním standardům FIDO.

Pro pořádek: příslušný interní identifikační klíč dle produktového manažera Google Account Security Jonathana Skelkera neslouží k identifikaci uživatele - k tomu je určena biometrie -, software s podporou FIDO je určen k ověření do přístupu nikoliv k telefonu, ale ke službám jako Gmail či Google Drive. Jinými slovy, biometrie (otisk prstu, sken tváře) ověřuje uživatele a následně interní klíč ověřuje zařízení. Otázkou je, zda se ke Googlu přidají i další společnosti. Jelikož však Google připravil verzi svého softwaru také pro systém iOS, lze předpokládat, že ano.

Vše začalo 6. května, kdy Google změnu ohlásil s tím, že jde o zásadní krok směrem k pohřbení neefektivních hesel. Udělat z telefonu, který máme prakticky vždy po ruce, bezpečnostní hardwarový klíč, je dozajista myšlenkou chytrého zabezpečení. Uživateli to dává v otázce zabezpečení jisté pohodlí.

A chytré je též pojmout takové řešení jako defaultní. Jen ať si s nastavením pohrají ti, kteří jej chtějí vypnout, ne naopak. Při pohledu do firemního prostředí však lze vidět jeden podstatný důvod zůstat věrný externím klíčům: konsistence. Zaprvé, firmy těmihle klíči už disponují, takže proč je nepoužívat nadále. Navíc, uživatelé - zaměstnanci, používají různé typy zařízení, takže v rámci standardizace je používání externích klíčů snazší.

Ostatně, Skelker přiznává, že interní klíče Googlu oproti těm externím neskýtají žádnou bezpečnostní výhodu, koneckonců, oba splňují standardy FIDO. Co však platí dnes, nemusí platit zítra a je víc než pravděpodobné, že Google v horizontu pár let bezpečnost svých interních softwarových klíčů vylepší. Až se tak stane, situace bude diametrálně odlišná. V tu chvíli budou k dispozici bezplatné klíče, lepší než ty dosavadní hardwarové.

Nicméně jakkoliv oceňujeme snahu Googlu pohřbít hesla, je tu ještě jeden problém týkající se celého firemního prostředí. Dokud převažující většina firem a výrobců bude vyžadovat hesla, několik málo těch, kteří už je používat nebudou, situaci nezmění. V ideálním světě vyvinou dostatečný tlak uživatelé/spotřebitelé, tím, že hesla odmítnou. Bohužel, většině běžných uživatelů je to buď jedno nebo si rizika související s hesly a PINy neuvědomují.

Úvodní foto: Fotolia © leowolfert










Komentáře