WebAuthn

Webové ověřování (WebAuthn) je webový standard (protokol) publikovaný konsorciem W3C (World Wide Web Consortium). ^[1][2][3] Definuje API, které weby používají k ověřování uživatelů pomocí přihlašovacích údajů WebAuthn (takzvané passkeys) a popisuje, co by měly ověřovatelé WebAuthn dělat. Řeší mnoho problémů tradičního ověřování založeného na hesle ověřováním identity uživatele pomocí digitálních podpisů.^[4] Ačkoli je WebAuthn propagován jako kompletní náhrada hesel, většina webových stránek, které normu implementují, hesla do určité míry i nadále používá.^[5]

Pro použití WebAuthn potřebují uživatelé kompatibilní ověřovač klíčů. Nejběžnější je ověřovač platformy, který je zabudován do operačního systému zařízení. Mezi běžné ověřovací platformy patří Android, Apple Keychain a Windows Hello. Ty využívají hardwarové bezpečnostní funkce (jako je TEE a TPM) a pro snadné použití často synchronizují přihlašovací údaje mezi zařízeními. Dalším běžným typem ověřovače je roamingový ověřovač, kde samostatné hardwarové zařízení ověřuje uživatele připojením přes USB, Bluetooth Low Energy nebo Near Field Communications (NFC). Většinu chytrých telefonů lze použít jako roamingové autentizátory a používají se také vyhrazené fyzické bezpečnostní klíče. Jako ověřovače lze také použít správce hesel, často i s cloudovou synchronizací.^[6] Pokud synchronizace přihlašovacích údajů není možná nebo proveditelná, lze hybridní transport WebAuthn použít pro přístup k přihlašovacím údajům uloženým v jiném ověřovači, například v chytrých telefonech.^[7]