A világ egyik legnagyobb, független felhőalapú jelszókezelő szolgáltatójaként ismert LastPass tavaly vezette be a jelszó nélküli bejelentkezést a LastPass Authenticatoron keresztül magánszemélyek és vállalkozások számára is. A fejlesztés azonnal népszerűvé vált, már a megjelenése pillanatában ezer felhasználó kezdte el használni a funkciót, ezáltal is jelezve: minimális erőfeszítéssel és fokozott biztonsággal szeretnének belépni alkalmazásaikba.

A következő lépésre idén nyáron került sor, amikor a LastPass közölte, hogy a jelszó nélküli bejelentkezés a LastPass-ba mostantól bármilyen FIDO2 kompatibilis eszköz (például Windows Hello, Mac Touch ID szoftverkulcsok, és USB biztonsági kulcsok, mint a YubiKey vagy a Feitian) segítségével elérhető. A több mint 250 fős magyar bázist működtető jelszókezelő szolgáltató korábban azt is bejelentette: aktívan dolgozik rajta, hogy bevezesse a passkey, azaz azonosítókulcs támogatást, mely lehetővé teszi, hogy a felhasználók passkey-eket tudjanak tárolni a jelszókezelő széfjükben, és beléphessenek velük olyan weboldalakra, melyek támogatják ezt az azonosítási lehetőséget.

Összetett feladat egy profi csapatnak

A jelszó nélküli bejelentkezést és a FIDO2 támogatást a LastPass-nál egy tapasztalt front-end, back-end és teszt-automatizáló mérnökökből álló magyar csapat fejlesztette ki, amelyet UX-szakértők és technical writerek támogattak. A fő kihívást az jelentette, hogy a támogatott platformokon a zero knowledge architektúra megtartása mellett kellett eliminálni a mesterjelszót a bejelentkezési folyamatból.

Miután megvalósították a termékbe való jelszómentes bejelentkezést a LastPass Authenticatorral, a következő cél a FIDO2 eszköztámogatás lehetővé tétele volt. Mivel a LastPass fejlesztői úttörők voltak ezen a területen, és korlátozott mennyiségű szakmai dokumentáció állt rendelkezésükre, a fejlesztéssel párhuzamosan kellett kísérletezniük. A megvalósítási fázisban a csapat szorosan együttműködött mobil és desktop fejlesztőkkel, és a munkát a security csapatok is támogatták.

A mérnökök innovatív hozzáállása és szorgalma arra ösztönzi az egész csapatot, hogy mindig találjanak megoldást

-válaszolja Szabó Sándor, a LastPass Magyarország senior managere, szoftverfejlesztő mérnöke arra a kérdésre, hogy szerinte miért tud ennyire jól együtt dolgozni a magyar csapat.

Az üzleti felhasználók számára megvalósították azt is, hogy a rendszergazdák meghatározhassák, mely FIDO2 eszközöket engedélyezik a jelszómentes bejelentkezéshez. Ez segít az adminoknak abban, hogy megkövetelhessék ugyanazon FIDO2 eszközök használatát a LastPassban, mint az IT-infrastruktúrájuk más területein.

Az end-to-end tesztautomatizálás megvalósítása kihívás volt, hiszen nem minden böngészőtípus automatizálható a FIDO2 bejelentkezések szimulálására. Sajnos voltak olyan böngészők, ahol a FIDO2-vel kapcsolatos változásokat manuálisan kellett tesztelni, ami további kapacitást igényelt a csapat részéről.

A nettó fejlesztés hat-nyolc hónapot vett igénybe a tapasztalt szakemberek számára az első iterációig. Fontos elmondani, hogy ez nem a végső állapot: folyamatosan javítják és bővítik a funkciókat az analitikák és a felhasználói felmérések alapján.

A felhasználói igények továbbra is a fókuszban

A FIDO2 támogatás számos kérdés megoldását hozta magával, egyik közülük a platformhitelesítés. Elsősorban annak lehetővé tételét, hogy a felhasználó zökkenőmentesen tudjon bejelentkezni a különböző eszközein és operációs rendszereken (Mac kontra Windows). Valódi kihívást jelentett UX-oldalról, hogy kényelmes megoldást kellett létrehozni a több eszközt/több platformot használók számára. Szintén jelentős kérdés volt a böngészőfüggőség. Mivel a LastPass az összes főbb böngészőt támogatja, a fejlesztőknek meg kellett győződnie arról, hogy az összes FIDO2 felhasználói folyamat megfelelően működik ezeken.

A biztonságosabb online jövőért

Az olyan felhasználóbarát hitelesítési módszerek, mint a FIDO2, javítják a fiókok biztonságát, illetve magát a felhasználói élményt. A LastPass jelszómentes működése biztonságos MFA módszerek használatára épül, extra védelmet biztosít a fiókok számára. A funkciók megvalósítása során a kategóriájában legjobb FIDO2 szabványokat alkalmazták, és ez jelentősen csökkentheti az adathalászat és a social engineering (pszichológiai befolyásolás) lehetőségét és kockázatát.

A világ már most is rohamléptekkel halad abba az irányba, ahol az élet minden területén a jelszó nélküli megoldások kerülnek a középpontba. A magyarországi csapat ennek az izgalmas útnak már a közepén jár, és folyamatosan azon dolgozik, hogy felhasználóinak zökkenőmentes hitelesítési élményt nyújtson rendkívül biztonságos megoldásokkal.

A jövőben a LastPass Magyarországhoz csatlakozó, újításokra elszánt fejlesztő kollégák így olyan izgalmas innovációk megvalósítása által fejlődhetnek tovább, amelyek egy még biztonságosabb online világ megvalósítását teszik lehetővé.

Nézd meg most, milyen nyitott pozíciókkal vár a LastPass!

[A LastPass megbízásából készített, fizetett anyag.]