Android-webbanvändare kan autentisera sig med hjälp av fingeravtryck när Google-konton börjar möjliggöra biometri
Google-kontoinnehavare kommer snart att kunna använda sina fingeravtryck för att autentisera sina konton och logga in på sina Android-webbanslutna appar. Android OS-tillverkaren har nu börjat pressa en förenklad autentiseringsteknik till allt fler tjänster som en gång krävde ett användarnamn och lösenord för säker åtkomst. Pushen för autentisering av fingeravtryck kommer efter att det fanns flera fall av framgångsrika hack på grund av dåligt val av lösenord.
När de försöker komma på alternativa säkerhetsautentiseringsmetoder verkar företag och online-tjänsteleverantörer ha nöjt sig med biometrisk eller mer specifikt fingeravtrycksautentisering. PIN, fingeravtryck och till och med Face ID är allt vanligare metoder som smarttelefonanvändare använder för att få tillgång till sina enheter. Nu tillåter webbappar och andra onlineplattformar liknande tekniker för autentisering av fingeravtryck. Förutom att förenkla och snabba inloggningen förväntas den nyligen accepterade metoden också öka säkerheten på grund av det unika med det biometriska autentiseringssystemet som inte lätt kan hackas eller dupliceras.
World Wide Web Consortium (W3C) godkänner WebAuthn API:
World Wide Web Consortium (W3C) och Fast Identity Online eller FIDO Alliance hade tillsammans försökt utarbeta sätt att öka online-säkerheten. Gruppen, som består av flera teknikföretag, har med rätta varit oroliga för extremt dålig lösenordshygien som internetanvändare följer. Vanliga misstag som att använda samma lösenord på flera plattformar, använda enkla lösenord, inte ändra lösenord, inte använda tvåfaktorsautentisering och andra dåliga vanor har gjort det möjligt för hackare att tränga igenom säkerheten på flera onlineplattformar.
För att bekämpa den ökande hotet med att knäcka lösenord skapades WebAuthn API. Företag som Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico och Google har stöttat WebAuthn, som ingår i FIDO2-autentiseringsspecifikationen. API: et möjliggör i huvudsak lösenordsfria inloggningar på mobila webbtjänster. För att förverkliga detta uppmanas en användare som loggar in på en specifik webbplats på sin telefon att registrera sin enhet på den webbplatsen. När registreringen väl har registrerats kan användaren använda en tidigare konfigurerad lokal autentiseringsmetod, såsom en PIN-kod för skärmlås eller en biometrisk mekanism för att få åtkomst.
WebAuthn API bör så småningom göra onlinekonton säkrare genom att bekräfta användarens identitet med minst möjliga hinder. Dessutom måste användare som väljer den här bekväma och säkra metoden registrera sina biometriska referenser på en viss plattform bara en gång. Inbyggda appar och webbapplikationer accepterar sedan helt enkelt den nya inloggningsmetoden.
För övrigt har Google redan börjat lansera det WebAuthn API-baserade lösenordsfria autentiseringssystemet för några av sina tjänster. Användare har tillgång till alla sparade lösenord via Passwords.Google.Com utan att behöva ange sina Google-inloggningsuppgifter. Även om detta är den enda arbetsinstansen av den nya lösenordsfria metoden, bör Google inom kort utvidga samma till andra tjänster. Enkelt uttryckt, snart kommer Googles Android-smarttelefonanvändare, som har sparat sina inloggningsuppgifter på de olika Google-plattformarna, att kunna logga in på dem endast med deras biometriska eller fingeravtryck.
Får Google eller andra tjänster faktiska fingeravtryck?
Med den ökande användningen av WebAuthn API och biometrisk autentisering är användare med rätta oroliga om deras biometri skulle kunna nås och lagras online av andra plattformar. För att ta itu med denna oro har Google säkerställt att biometrisk autentisering aldrig lämnar smarttelefonen där de används. Med andra ord får varken Google eller andra företag en kopia av användarnas fingeravtryck. Allt utförs lokalt och endast ett ”bevis” skickas ut. ”Endast ett kryptografiskt bevis på att du har skannat det korrekt skickas till Googles servrar. Detta är en grundläggande del av FIDO2-designen, konstaterade Google.
Google Android-smartphones som kör Android Nougat 7.0 och senare bör snart börja erbjuda användare möjligheten att logga in utan att använda inloggningsuppgifter. Det behöver inte läggas till att användarna måste obligatoriskt logga in på sitt personliga Google-konto på enheten och ställa in en skärmlåskod. Med andra ord kommer osäkra Android-smartphones inte att kunna. Dessutom begränsar Google möjligheten att komma åt webbplattformar med biometri endast via sin Chrome-webbläsare. Det är troligt att sökjätten snart kommer att innehålla andra appar.
WebAuthn API och FIDO2-inloggning för att snart bli standard?
Google hade för länge tillbaka infört tvåfaktorautentiseringen. Företaget fortsätter att uppmana användare att aktivera funktionen för att ytterligare öka säkerheten. Det finns flera skyddsåtgärder för att upptäcka enheter som används regelbundet och varna användare via e-post och SMS om åtkomst från okända enheter. Även om det finns andra inloggningsmetoder är den biometriska autentiseringen den överlägset enklaste, vanligaste och snabbaste. Därför bör dess antagande också vara den snabbaste eftersom de flesta Android-smarttelefonanvändare redan använder samma för att få tillgång till sina enheter.
Intressant är att många bärbara datorer och andra bärbara enheter har en fingeravtrycksläsare. Därför är hårdvarukravet redan på plats. Med Googles push bör många andra företag snabbt börja använda och acceptera användarnas fingeravtryck som inloggning.