Vi vet alla att lösenord är inte det säkraste som finns. Många återanvänder dem eller använder alltför svaga lösenord, och alldeles för få använder multifaktorautentisering. Det är ett problem. När ett lösenord väl har knäckts kollapsar hela vår digitala värld.
Faktum är att det är ganska imponerande att lösenord har hållit så länge som de har gjort som säkerhetsåtgärd, men det beror till stor del på bristen på effektiva alternativ.
Men det kan vara på väg att ändras, eftersom Google nyligen har meddelat, att de är redo med en ny teknik för både personliga och professionella konton, vilket även gäller för Apple och Microsoft.
Tekniken kallas för passkeys – lösenordsnycklar – och är en branschstandard som de stora aktörerna hoppas en dag ska ersätta lösenord, multifaktorautentisering och användningen av lösenordshanterare som vi känner dem.
Hur fungerar det?
Lösenordsnycklar använder faktiskt välkända och beprövade tekniker, nämligen kryptering via offentliga nycklar eller offentlig nyckelkryptering. En lösenordsnyckel består av ett par kryptografiska nycklar, en privat och en offentlig, som är sammanlänkade, som genereras för att säkra användarens konto på en webbplats, app eller andra onlinetjänster.
Den privata nyckeln lagras på din enhet som en sträng av krypterade tecken, medan motsvarande offentliga nyckel laddas upp till servern för den onlinetjänst den ska användas med, t.ex. Google eller Apples iCloud-nyckelhanteringssystem.
När du sedan försöker logga in uppmanas du att identifiera dig via en pinkod, ditt fingeravtryck eller annan form av skärmlås. Du behöver inte komma ihåg ett lösenord och det gör inloggningsprocessen enkel.
I bakgrunden skickar servern en kryptografisk utmaning till din enhet och ber den privata nyckeln att lösa den och skicka svaret tillbaka till servern. Svaret används sedan för att bekräfta att den offentliga och den privata nyckeln är ett par, vilket bekräftar din identitet.
Biometriska data lämnar aldrig din enhet och servern kommer aldrig att veta vad den privata nyckeln är. Faktiskt kommer du nästan aldrig att själv se den privata nyckeln; all magi sker i bakgrunden.
Fördelar med passkey-tekniken
Om lösenordsnycklar är svaret på alla våra böner vet jag inte. Men det har några uppenbara fördelar:
- Motståndskraftig mot phishing och s.k. social engineering: Med en lösenordsnyckel är det inte längre möjligt att dela inloggningsinformation med nätbrottslingar.
- Förhindrar dataläckage: Om en webbplats eller app äventyras kan bara den offentliga nyckeln stjälas. Din privata nyckel delas aldrig med onlinetjänsten och det går inte att gissa vad den privata nyckeln är. Den offentliga nyckeln är värdelös utan den privata nyckeln.
- Stoppar brute-force attacker: Eftersom lösenordsnycklar är beroende av kryptering av offentliga nycklar kan angriparen inte gissa dem eller använda brute-force attacker för att knäcka dem.
- Ingen multifaktorfördröjning: Eftersom ingen ytterligare autentiseringsfaktor används finns det ingen risk att angriparen avlyssnar sms-koder eller liknande.
- Baserat på branschstandard: Lösenordsnycklar är baserade på FIDO Alliance och W3C WebAuthn-standard, vilket innebär att de bör fungera över operativsystem, webbläsare, webbplatser, appar och mobila ekosystem. Apple, Google och Microsoft stödjer den tekniken, och många andra lösningar och system, som t.ex. WordPress och PayPal är på väg.
- Lätt att återställa: Nyckeln kan lagras i molnet och kan därför återställas om en enhet tappas bort.
- Inget att komma ihåg: Användarna behöver inte längre hitta på, lagra eller gömma ett stort antal lösenord.
- Fungerar på många enheter: När en lösenordsnyckel väl har genererats kan den användas på nya enheter utan att användaren behöver gå igenom processen igen, som t.ex vid biometrisk autentisering.
Nackdelar med lösenordsnycklar
Men allt är inte rosenrött, det finns också vissa nackdelar med lösenordsnycklar, som vi måste vara medvetna om:
- Lösenordsnycklar synkroniseras inte mellan operativsystem: Lösenordsnycklar synkroniseras inom OS-plattformar. Det betyder att om du har en iOS-enhet men också en Windows-baserad dator kan det upplevas frustrerande. Du kommer att behöva skanna en QR-kod och aktivera Bluetooth för att få din lösenordsnyckel att fungera på enheter från olika operativsystem. Det är mindre användarvänligt än med nuvarande lösenord.
- Används inte av alla: Även om några av de stora namnen redan är involverade i den här tekniken, är det fortfarande mycket tidigt. Det kommer att ta lite tid innan vi når en kritisk massa av webbplatser och appar som stödjer tekniken. Du kan se om dina plattformar stöder tekniken här.
Är lösenordsnycklarna då slutet på lösenorden? Det är fortfarande en bra fråga – men det är ett väldigt bra förslag. Det kommer troligen att krävas att de blir lättare att använda över olika operativsystem.