O krok bliżej przyszłości bez haseł

W dzisiejszych czasach hasła mają zasadnicze znaczenie dla bezpieczeństwa w internecie, ale zagrożenia, takie jak phishing, oszustwa i niska cyber świadomość użytkowników, którzy często używają tego samego hasła w wielu miejscach, nadal stanowią dla nich zagrożenie. Google od dawna ma świadomość tych problemów, dlatego stworzyliśmy zabezpieczenia takie jak weryfikacja dwuetapowa i Menedżer haseł Google.Jednak, aby naprawdę rozwiązać problemy z hasłami, musimy całkowicie wyjść poza nie, dlatego od ponad dekady przygotowujemy grunt pod przyszłość bez haseł.Dziś, z okazji Światowego Dnia Hasła, ogłaszamy ważne osiągnięcie na tej drodze: planujemy wdrożyć bezhasłową obsługę standardów logowania FIDO w Chrome, ChromeOS i na Androidzie. Apple i Microsoft również ogłosiły, że zaoferują wsparcie dla swoich platform. Dzięki temu logowanie na różnych urządzeniach, stronach i w aplikacjach będzie łatwiejsze – niezależnie od platformy – i nie będzie wymagało wpisywania hasła. 

Jak będzie wyglądała przyszłość bez haseł? 
Logowanie na stronie lub w aplikacji na telefonie będzie wymagało tylko odblokowania telefonu – nie będzie już trzeba podawać hasła do konta. 
Zamiast tego na telefonie zostanie zapisany klucz uwierzytelniający FIDO, który będzie służył do odblokowywania konta. Logowanie za pomocą takiego zaszyfrowanego klucza jest o wiele bezpieczniejsze, ponieważ informacje potrzebne do uwierzytelnienia są przekazywane tylko do konta online danego użytkownika w momencie odblokowania telefonu. 
Z kolei aby zalogować się na stronie na komputerze, wystarczy mieć pod ręką telefon i odblokować go, gdy system o to poprosi. Kiedy już użytkownik to zrobi, kolejnym razem telefon nie będzie mu potrzebny – logowanie będzie się odbywało automatycznie po odblokowaniu komputera. Nawet jeśli stracisz lub zgubisz telefon, klucze uwierzytelniające bezpiecznie zsynchronizują się z nowym urządzeniem, korzystając z kopii zapasowej w chmurze, dzięki czemu nowy telefon będzie od razu działał tak jak poprzedni.

Przygotowujemy się na przyszłość bez haseł od wielu lat 

Wprowadzenie kluczy przybliża nas do bezhasłowej przyszłości, o której myślimy od ponad dekady. Oto podsumowanie innowacji, dzięki którym wprowadzenie tego rozwiązania będzie możliwe.

• Menedżer haseł Google: W 2008 roku udostępniliśmy pierwszą wersję naszego menedżera haseł, który umożliwia proste i bezpieczne logowanie bez konieczności pamiętania i wpisywania hasła. 
• Weryfikacja dwuetapowa: W 2011 roku Google był pierwszą firmą, która wprowadziła weryfikację dwuetapową, zapewniając w ten sposób użytkownikom bezpieczeństwo i łatwość logowania. 
• Klucz bezpieczeństwa dla pracowników Google: W 2012 roku stworzyliśmy kompleksowe rozwiązanie nazwane “Kluczem Bezpieczeństwa”, uniemożliwiające ataki phishingowe na pracowników Google. Po naszej stronie było stworzenie wsparcia dla Chrome, nasz partner Yubico dostarczył urządzenie, a NXP dostarczył chip. Wszyscy stworzyliśmy protokół dla klucza bezpieczeństwa. 
• Dołączenie do organizacji FIDO Alliance: W 2013 roku firma Google wraz z partnerami rozwojowymi dołączyła do FIDO Alliance – stworzonej kilka miesięcy wcześniej organizacji, której celem jest wprowadzenie otwartego standardu bezhasłowego. 
• Klucze bezpieczeństwa dla wszystkich: W 2014 roku zaczęliśmy oferować wszystkim użytkownikom klucze bezpieczeństwa oparte na otwartym standardzie FIDO. Tym samym, po raz pierwszy w historii, użytkownicy kont konsumenckich mogli zacząć korzystać z odpornej na phishing metody logowania. 
• Odporne na phishing konta firmowe: Na początku 2017 roku wprowadziliśmy na kontach firmowych ustawienia umożliwiające administratorowi wymuszenie na kontach użytkowników korzystania z klucza bezpieczeństwa i wyłączenie innych opcji logowania narażonych na ataki phishingowe, takich jak hasła tradycyjne lub jednorazowe (OTP). 
• Program ochrony zaawansowanej (APP): W kolejnych miesiącach 2017 roku wdrożyliśmy program APP, w ramach którego oferujemy zaawansowane zabezpieczenia, w tym klucze bezpieczeństwa, osobom zajmującym eksponowane stanowiska lub bardziej narażonym na cyberataki. 
• Klucz bezpieczeństwa Titan: W 2018 roku udostępniliśmy w sklepie Google Store klucz bezpieczeństwa Titan. Produkt jest odpowiedzią na otrzymywane przez nas prośby od osób biorących udział w programie APP i od innych użytkowników Google o stworzenie rozwiązania od początku do końca opracowanego przez Google. Klucze bezpieczeństwa Titan są zgodne ze standardami FIDO i można z nich korzystać na każdej stronie obsługującej logowanie za pomocą klucza bezpieczeństwa. 
• Wbudowane klucze bezpieczeństwa na urządzenia mobilne: W 2019 roku wprowadziliśmy w Androidzie funkcję wbudowanego klucza bezpieczeństwa. W 2020 roku udostępniliśmy ją także na iPhone’ach. 
• Ponowne uwierzytelnienie bez podawania hasła: W 2019 roku rozszerzyliśmy obsługę standardu FIDO na Androidzie, aby na każdej stronie było możliwe ponowne zalogowanie się za pomocą PIN-u lub danych biometrycznych, bez podawania hasła. 
• Przygotowania do przyszłości bez haseł: Rozszerzona obsługa standardu FIDO, którą dziś ogłaszamy, umożliwi wdrożenie na stronach internetowych kluczy uwierzytelniających, o których wspomnieliśmy wcześniej. Udostępnienie obsługi takich kluczy w całej branży w 2022 i 2023 roku pozwoli na stworzenie platformy internetowej, na której w przyszłości nie będzie konieczne korzystanie z haseł. 

Nie możemy się doczekać przyszłości, w której do logowania będziemy używać kluczy uwierzytelniających. Zdajemy sobie sprawę, że musi upłynąć trochę czasu, zanim ta technologia będzie dostępna na wszystkich urządzeniach, tak aby programiści stron i aplikacji mogli ją powszechnie wykorzystywać. W międzyczasie nadal będziemy używać tradycyjnych haseł, dlatego zamierzamy cały czas wprowadzać innowacje w istniejących usługach i pracować nad tym, aby konwencjonalne metody logowania stawały się coraz bezpieczniejsze i łatwiejsze w użyciu.