WebAuthn

Kaavio tyypillisestä Web Authentication -tunnistautumisesta, jossa käyttäjä syöttää PIN-numeron varmistautumiseksi.

Web Authentication (WebAuthn) on World Wide Web Consortiumin (W3C) standardi verkossa tapahtuvalle käyttäjän tunnistautumiselle.[1][2] WebAuthn ei käytä salasanaa vaan antaa pääsyn laitteistotason tunnistautumiseen (esimerkiksi USB-, Bluetooth tai NFC-laite).[3] WebAuthn on FIDO2-projektin määrittely, jossa on määritelty myös CTAP-protokolla (Client-to-Authenticator Protocol).[4] FIDO- ja WebAuthn-standardien tavoitteena on edullinen ja luotettava tunnistautuminen, sekä toimivuus ilman tarvetta sirukortille. Älypuhelinta voi käyttää tunnistatutumisessa, mutta myös se voi olla altis verkkourkinnalle. Jotkin yritykset kutsuvat FIDO-tunnuksia nimityksellä "passkey" (erotuksena salasanaa tarkoittavalle "password" nimitykselle).[5] "Passkey"-tekniikan ongelmaksi on muodostunut, että eri tahot haluavat käyttää omia tallennusmenetelmiään ja tietojen synkronointi paikasta toiseen ei ole tuettu, joka vaikeuttaa käyttöä.[6]

Lähteet

  1. Web Authentication: An API for accessing Public Key Credentials Level 1 w3.org. Viitattu 1.1.2025. (englanniksi)
  2. W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins w3.org. 4.3.2019. Viitattu 1.1.2025. (englanniksi)
  3. Practical passwordless authentication comes a step closer with WebAuthn arstechnica.com. 10.4.2018. Viitattu 1.1.2025. (englanniksi)
  4. FIDO Authentication fidoalliance.org. Viitattu 1.1.2025. (englanniksi)
  5. How FIDO Addresses a Full Range of Use Cases (PDF) fidoalliance.org. maaliskuu 2022. Viitattu 1.1.2025. (englanniksi)
  6. Dan Goodin: Passkey technology is elegant, but it’s most definitely not usable security arstechnica.com. 30.12.2024. Viitattu 1.1.2025. (englanniksi)