Az utóbbi években egyre gyakrabban olvasni kemény kritikákat biztonsági szakemberektől, akik arra hívják fel a figyelmet, hogy a sok évtizede használt azonosításai mechanizmus, mely elsősorban a jelszavakra épít, ma már messze nem elegendő, elveszítette jogosultságát – legalábbis önmagában mindenképpen.
Szabványosítani
Várható volt, hogy a szórványos ellenkezések után nagyobb volumenű változásokra is sor kerül, és így is történt: a webes szabványokat is kidolgozó World Wide Web Consortium (W3C) bejelentette, hogy új szabványokra és metódusokra van szükség, mivel a jelszavak ma már nem nyújtanak elegendő biztonságot. Egyrészt azért, mert a kampányok ellenére a felhasználók többsége a mai kor technológiájával könnyen feltörhető, gyenge jelszavakat használ, másrészt azért, mivel az erős jelszó sem jelent megoldást akkor, amikor az egyre szaporodó hackelések után a kiberbűnözők ezeket a jelszavakat is megszerzik.
A W3C ezért új szabványok kidolgozását indította el, melynek alapját a fontos iparági szereplők által létrehozott, a biztonsági előírások hatékonyabbá tételét célul kitűző FIDO Alliance által kidolgozott FIDO 2.0 Web API-k képezik. Ennek lényege az lenne, hogy a jelszóra építő biztonsági megoldások helyett komplexebb, többrétegű titkosítási eljárásokat vezessen be.
A W3C vezetőjének nyilatkozata szerint ez a munka kiegészíti majd azt a törekvést, amelyet a szervezet már korábban megindított (Web Cryptography API), és amely egy JavaScript API segítségével igyekszik szabványosítani a böngészőkben alkalmazott titkosítási eljárásokat. Ez a gyakorlatban azt is jelentené, hogy az alkalmazásfejlesztők lehetőségei kibővülnének, illetve tiszta előírásokat kapnának arra, hogy a kódok futtatását úgy szabályozzák, hogy a lehető legkisebb veszélynek tegyék ki a felhasználókat.
Ez mind nagyon szépen hangzik, de lényegében azt jelenti, hogy végre előírássá tennék a kettős vagy többszörös (pl. tokenes) autentikációt. Ezt már sok helyen alkalmazzák, ám a tömeges elterjedésére, illetve szabványosítására addig kellett várni, amíg az okostelefonos penetráció át nem billent egy határon.
Emellett azonban szakértők arra is felhívják a figyelmet, hogy a jelszó nem fog eltűnni, nem is tűnhet el. Ennek egyik legfontosabb oka, hogy nagy a nyomás az állami hatóságok részéről a magánadatokhoz való hozzáférés tekintetében, és ha igen biztonságosan, de csak hardveresen védi a felhasználó az adatait, akkor jelszó nélkül nem maradna esélye arra, hogy ellenálljon egy szerinte jogtalan adatkiadási kérésnek.
