Vi ved det alle godt – kodeord er ikke det mest sikre, der findes. Mange genbruger dem eller bruger alt for svage kodeord, og alt for få bruger multifaktor-godkendelse, og det er et problem. For når først kodeord er knækket, så falder hele vores digitale verden sammen.
Faktisk er det ret imponerende, at kodeord har holdt så længe, som de har som sikkerhedsforanstaltning, men det skyldes i høj grad mangel på effektive alternativer.
Men det er måske ved at ændre sig, for Google har for nylig annonceret, at de er ved at være klar med en ny teknologi til både personlige og professionelle konti, hvilket for resten også gælder for Apple og Microsoft.
Teknologien kaldes for passkeys og er en industristandard, som de store spillere håber en dag vil erstatte kodeord, multifaktor-godkendelse og brug for password managers, som vi kender dem.
Så hvordan virker passkeys så?
Faktisk gør passkeys brug af kendte og gennemprøvede teknologier, nemlig kryptering via offentlige nøgler eller public key cryptography. En passkey består af et par kryptografiske nøgler, en privat og en offentlig, der hænger sammen, der genereres for sikre brugerens konto på en hjemmeside, en app eller andre online tjenester.
Den private nøgle gemmes på din enhed som en streng af krypterede tegn, mens den korresponderende offentlige nøgle bliver uploadet til serveren på den online tjeneste, den skal bruges med, f.eks. Google eller Apples iCloud nøgle-håndteringssystem.
Når du så forsøger at logge ind, vil du blive bedt om at identificere dig via en pinkode, dit fingeraftryk eller en anden form for skærmlås. Der er intet behov for at huske et kodeord, og det gør loginprocessen let.
I baggrunden sender serveren en kryptografisk udfordring til din enhed, og beder den private nøgle om at løse den og sende svaret tilbage til serveren. Svaret bruges så til at bekræfte, at den offentlige og private nøgle er et par, og derved bekræfte din identitet.
Biometriske data forlader aldrig din enhed, og serveren vil aldrig vide, hvad den private nøgle er, faktisk vil du næppe nogensinde selv se den private nøgle, al magien sker i baggrunden.
Fordele ved passkey-teknologien
Om passkey så er svaret på alle vores kaffebønner, ved jeg ikke. Men den har nogle åbenlyse fordele:
- Modstandsdygtig over for phishing og social engineering: Med passkey er det ikke længere muligt at komme til at dele logininformationer med cyberkriminelle
- Forhindrer datalækage: Hvis et website eller en app bliver kompromitteret, er det kun den offentlige nøgle, der kan stjæles. Din private nøgle bliver aldrig delt med online-tjenesten, og det er ikke muligt at gætte, hvad den private nøgle er. Den offentlige nøgle er ubrugelig uden den private nøgle
- Stopper brute-force-angreb: Fordi passkeys baserer sig på kryptering af offentlige nøgler, kan angriberen ikke gætte dem eller bruge brute-force-angreb for at knække dem
- Ingen multifaktor-forsinkelse: Fordi der ikke bruges en yderligere godkendelsesfaktor, er der ikke nogen risiko for, at angriberen opfanger sms-koder eller lignende
- Baseret på industristandarder: Passkeys er baseret på standarder fra FIDO Alliance og W3C WebAuthn, hvilket betyder, at de burde virke på tværs af operativsystemer, browsere, hjemmesider, apps og mobile økosystemer. Apple, Google og Microsoft understøtter den teknologi, og mange andre løsninger og systemer, såsom f.eks. WordPress og PayPal, er på vej
- Let at gendanne: Passkeys kan gemmes i skyen og kan derfor gendannes, hvis en enhed mistes
- Intet at huske: Brugerne skal ikke længere opfinde, gemme eller gennem store mængder af kodeord
- Virker på tværs af mange enheder: Når en passkey er genereret, kan den bruges på nye enheder uden behov for at gå igennem processen, som f.eks. ved biometrisk godkendelse
Ulemperne ved passkeys
Men træerne vokser dog ikke ind i himlen, der er, her og nu, også ulemper ved passkeys, som vi skal være opmærksomme på:
- Passkeys synkroniserer ikke på tværs af OS’er: Passkeys synkroniserer inden for OS-platforme. Det betyder, at hvis du har en iOS-enhed, men også en Windows-baseret computer, så kan det være en frustrerende oplevelse. Det vil være nødvendigt at scanne en QR-kode og slå bluetooth til for at få din passkey til at fungere på enheder fra forskellige OS’er. Det er mindre brugervenligt end med nuværende kodeord
- Ikke brugt af alle: Selvom nogle af de store navne allerede er med på passkey-teknologien, så er det stadig meget tidligt i livet for passkeys. Det vil tage en rum tid, før vi når en kritisk masse af hjemmesider og apps, der understøtter teknologien. Du kan se, om dine platforme understøtter teknologien, her.
Er passkeys så enden på kodeord? Det er stadig et godt spørgsmål – men det er et rigtig godt bud. Men det vil nok kræve, at det bliver lettere at bruge dem på tværs af operativsystemer.
Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.