A jelszó nem csak úgy üzlet, ha egy hacker elad belőle pármillió darabot. 15 millió dolláros második befektetési kör után próbálja valami biztonságosabbra cserélni a weboldalakra való belépéshez használt régimódi felhasználónév-jelszó párost az Auth0 startup.
A jelszó halott. Ezt olyan sokszor írták le, hogy már majdnem igazzá is vált. Oka van, hogy mindenki ki akarja nyírni a jelszót: nem igazán biztonságos. A felhasználók vacak kódokat használnak (például az 123456 meglepően népszerű), emiatt könnyű feltörni a fiókjaikat. Ha pedig nem vacak a jelszavuk, akkor is ellophatják a szolgáltatást feltörő hackerek, visszafejthetik, és mivel az emberek nem szeretnek sok jelszót megjegyezni, ezért más oldalakra is belépnek vele. Jobbak azok az azonosítók, amelyeket nem lehet egyszerűen ellopni.
A jelszógyilkos módszerekkel egy a baj, mindegyik kényelmetlenebb annál, amit le kell cserélniük. A kétfaktoros (jelszó+sms, jelszó+kódgenerátor) belépés még nem is rossz, de oka van annak, hogy a milliók által használt PayPal nem vezette be. Tartanak attól, hogy kényelmetlenség miatt kevesebben lépnének be az oldalra.
Az Auth0 15 millió dollárt kapott második körös befektetésként, hogy megoldja a fenti problémát. Ezzel a befektetéssel 24 millió dollárra rúgott a cégben lévő kockázati tőke.
Mi a megoldás?
Az Auth0 elszakítaná egymástól az azonosítást és az identitást, amely az utóbbi években nagyon is összeforrott egymással. Ma, ha a Facebookra belépünk, akkor ez a kettő egy és ugyanaz. Ha a Facebook fiókunkat használva egy harmadik oldalra regisztrálunk, akkor is a Facebook kezeli az identitásunkat.
Az a csodálatos és borzasztó az identitásban, hogy nagyon bonyolult, heterogén, határeseti problémákkal teli terület
– mondta a TechCrunchnak Jon Gelsey, a cég vezetője.
Olyan, mint egy portás
A filozofikus megközelítés ellenére a módszer nagyon is érthető. Az Auth0 jelszókiváltó megoldása hasonlóan működik ahhoz, mint amikor Facebook vagy Google azonosítóval lépünk be valahová. Az Auth0 annyiban tér el a fenti két óriáscégtől, hogy jobban meghatározott viszony van közte és az ügyfelei között. A startup nem kapja meg ajándékba a felhasználókat, mint a Facebook, amely amúgy is rendkívül sokat tud rólunk, csak azonosítást végez. A beléptető rendszert több platformon, akár weboldalakba, akár appokba könnyedén integrálni lehet. A szájtok vagy alkalmazások tulajdonosa egy dashboard segítségével kezelheti azt, és a felhasználók beállításait.
A jelszó nélküli beléptetésre többféle megoldás van. A felhasználót azonosíthatja a rendszerben telefonja, amire küldenek egy egyszer használatos belépési kódot SMS-ben, de beléptetheti egy olyan, szintén egyszer használatos link is, amit az email-címére küldenek el. Az Auth0 szoftvere még a drágább mobilok ujjlenyomat-olvasóját is képes kezelni, így ezek is integrálhatók a rendszerbe.
Az Auth0 megoldását több tízezer fős cégek rendszerébe és a startupok oldalaiba is be lehet építeni. Az azonosítási szolgáltatást és a felhasználó fentebb emlegetett identitását az Auth0 kezeli, az oldalak csak azt az információt kapják meg, hogy az érkező felhasználó beléphet-e vagy sem. Emellett természetesen rögzíthetnek adatokat az ügyfeleikről, építhetnek profilt, de a biztonságos azonosítás feladatát kiszervezik a külső cégnek, amely gyakorlatilag portásként működik a webbolt vagy banki oldal előtt.
Szólj hozzá