Lösenordens tid är över – här är FIDO2 och passwordless
Har du någonsin funderat på hur mycket tid vi spenderar på att komma ihåg eller återställa lösenord? Eller hur mycket tid det tar att komma in i alla system igen efter semestern? Tänk om jag sa att vi kan säga adjö till detta återkommande bryderi genom introduktionen av FIDO2 och lösenordsfria lösningar. Låt oss dyka ner i denna teknik och se hur den kan förändra vårt sätt att navigera på nätet – säkrare och mer effektivt än någonsin.
Lösenordsfri inlogging
Lösenordsfri inloggning (passwordless) är inget nytt fenomomen. Det har nu funnits ett bra tag, på exempelvis passerkort eller på telefonen för upplåsning. Vart vi än vänder oss finns det lösenordlös inlogging. Trots detta används lösenord fortfarande för en majoritet av dagens inloggningar. FIDO2 kanske är lösningen på problemet. För fyra år sedan skrev jag ett blogginlägg där jag analyserade styrkan på lösenordsrekommendationer och visade hur man skapar ett säkert lösenord (om du inte har läst det kan du göra det här). Nu, fyra år senare, är det dags för en uppföljning: hur blir man av med ett säkert lösenord? Finns det en värld där vi kan gå från lösnord och MFA-appar med koder och släppa “kontrollen”? Kan vi bli säkrare utan en värld med lösenord? Klart vi kan! Låt mig berätta om hur man blir av med ett säkert lösenord med hjälp av passwordless genom FIDO2 och webauthn.
FIDO2: Den senaste standarden för säker inloggning
FIDO2 representerar den senaste utvecklingen inom lösenordsfri och phishing-resistent multifaktorautentisering (MFA) på internet, utvecklad genom ett samarbete mellan FIDO (Fast IDentity Online) Alliance och World Wide Web Consortium (W3C). Denna standard har utformats för att erbjuda en säkrare och mer användarvänlig inloggningserfarenhet på webben. En nyckelkomponent i FIDO2-standarden är WebAuthn (Web Authentication), en webbstandard för stark autentisering. WebAuthn möjliggör för webbplatser att genomföra stark autentisering via offentliga nyckel-kryptografimetoder. Det innebär att användare kan logga in på sina konton online med föredragna enheter, som smartphones eller fysiska säkerhetsnycklar, utan att ange ett lösenord. Detta bidrar till en högre säkerhetsnivå och en förenklad användarupplevelse.
Tillägget av passkeys i FIDO2 och WebAuthn introducerar en ny metod för autentisering som är både enkel och säker. Passkeys är digitala nycklar som kan lagras säkert på användarens enheter eller i molnet. De erbjuder en lösenordsfri inloggning som är svårare att kompromettera jämfört med traditionella lösenord. Eftersom passkeys är unikt kopplade till användaren och den specifika webbplatsen, motverkar de effektivt phishing genom att skapa en unik kryptografisk nyckel för varje webbplats, vilket gör det omöjligt att återanvända autentiseringsuppgifter på en annan plattform. Dessutom kräver de att användarverifieringen sker lokalt på enheten, vilket säkerställer att känslig information som biometrisk data eller PIN-koder aldrig lämnar enheten.
Var du kan spara din passkey
Generellt finns det två metoder för att spara sin passkey: synkroniserade passkeys (Apple, Microsoft, 1password) eller hårdvarunycklar (yubikey, thales m.m.). Synkroniserade passkeys och hårdvarupasskeys erbjuder moderna, säkra autentiseringsalternativ som båda har sina unika fördelar och användningsscenarier. Synkroniserade passkeys lagras digitalt och kan enkelt synkroniseras mellan enheter via molntjänster, vilket gör dem idealiska för användare som växlar mellan flera enheter och värdesätter en sömlös inloggningsupplevelse. Hårdvarupasskeys däremot medför en hög säkerhetsnivå genom att kräva fysisk närvaro av en enhet oftast via inkoppling av USB för autentisering. Denna metod är mindre bekväm för de som ofta byter mellan enheter eller riskerar att förlora den fysiska nyckeln, men den är idealisk där högsta möjliga säkerhet är nödvändig och när användaren inte behöver den flexibilitet som molnbaserade lösningar erbjuder.
I slutändan väljer man mellan synkroniserade passkeys och hårdvarupasskeys baserat på en balans mellan behovet av bekvämlighet och säkerhet. Synkroniserade passkeys är utmärkta för en flexibel och enhetsöverskridande användning, medan hårdvarupasskeys erbjuder en robust säkerhetslösning för de som prioriterar skydd av känslig information och kan hantera de praktiska aspekterna av en fysisk säkerhetsenhet. Det finns däremot inget som säger att man inte kan köra båda. En synkroniserad passkey är fortfarande bättre än ett lösenord. Särskilt då det oftast redan finns hanterare för MFA (exempelvis microsoft authenticator). Om MFA-applikationen har stöd för passkeys går det utmärkt att byta till detta. Det blir också bra för användaren som är van att använda appen. Sedan kan man sakta men säkert introducera passkeys för mer känsliga inloggningar och använda hårdvarubaserade inloggningar om det så krävs.
FIDO2 och WebAuthn representerar en banbrytande förändring i vår strävan efter en säkrare digital värld. Genom att välja mellan synkroniserade passkeys och hårdvarunycklar kan vi anpassa vår säkerhet efter våra behov. Det är dags att omfamna dessa nya tekniker och göra våra digitala liv säkrare och enklare.