- Det vil være enkelt for utviklere å implementere denne løsningen på sine egne nettsider, sier Per Thorsheim, passordekspert og grunnlegger av PasswordsCon, til kode24.
På Apples utviklerkonferanse WWDC 2022 demonstrerte selskapet blant annet Passkeys, sin nye innloggingsstandard.
Passkeys er basert på Web Authentication API-standarden (WebAuthn). Også Google og Microsoft stiller seg bak standarden, som ble utviklet av FIDO Alliance og World Wide Web Consortium og først presentert 5. mai 2022.
Ifølge Apple er Passkeys unike digitale nøkler som forblir på enheten og aldri lagres på en webserver.
Apple sier at dette gjør at hackere verken kan lekke passord eller lure brukere til å dele passord. De skal også gjøre det enkelt å logge på sikkert ved å bruke Touch ID eller Face ID. I tillegg til å bruke iClouds nøkkelring for å synkronisere på tvers av Mac, iPhone, iPad og Apple TV med ende-til-ende-kryptering.
Nøklene vil også fungere på tvers av apper og internett. Samt at brukerne vil kunne logge seg på nettsider og apper på ikke-Apple-enheter ved hjelp av iPhone.
WWDC 2022: Snart kan du sende push-varsler til Safari på iOS
"Gammel" teknologi
Ifølge Thorsheim går teknologien tilbake i tid, men skjøt fart etter at FIDO Alliance ble startet i 2013 med en målsetning om å lage og promotere standarder for autentisering som ville gjøres oss mindre avhengige av passord.
- Det svenske firmaet Yubico, grunnlagt i 2007, har en stor del av æren for dette. Yubico presenterte faktisk sin løsning på min PasswordsCon-konferanse helt tilbake i juni 2011, sier han.
Thorsheim forteller at FIDO er et rammeverk for en rekke ulike autentiseringsløsninger som iris, fingeravtrykk og stemme- og ansiktsgjenkjenning, bruk av TPM-brikker, kodebrikker, smartkort og NFC-løsninger.
- Tanken er at en tjeneste skal kunne tilby autentisering med FIDO-rammeverket, og så kan du velge hvilken type "dings" du vil bruke. Så brukes det en kryptografisk sikker måte å koble en maskinvare-dings mot din konto, og denne må fysisk benyttes for å logge inn. Da får man en "phishing-sikker" løsning, hvor angriperen må ha tilgang til brukerens hardware for å oppnå uautorisert tilgang, sier passordeksperten.
Enkel å implementere
For utviklere som er nysgjerrige på å prøve ut løsningen, viser Thorsheim til den gratis demosiden webauthn.io. Her finner du kodeeksempler i ulike språk for å implementere støtte i egne nettsider.
Apple har også skrevet en guide for implementering av Passkeys.
- Fordelen med teknologien er at man i prinsippet kan lage løsninger hvor man ikke bruker passord eller PIN-kode, samtidig som man får en kryptografisk binding mot maskinvare for å logge seg inn på en tjeneste som ikke kan phishes, sier han.
Thorsheim understreker at dersom man mister, ødelegger eller er tom for strøm på "maskinvare-dingsen" man bruker for pålogging, så får man ikke tilgang.
- I et slikt scenario vil ikke "Tilbakestill passord" lengre være en funksjon som er tilgjengelig, og det vil kunne medføre at langt flere stenger seg selv ute fra egne kontoer.
Microsoft: - Vi bruker ikke lenger passord
Passordet er ikke dødt
Med Passkeys mener FIDO, Apple, Google og Microsoft å ha løst dette ved at informasjon om pålogging kan synkroniseres mellom dine ulik enheter via en skykonto.
- Det er også utfordringer i form av at alle verdens løsninger må tilpasses denne standarden. Man må kjøpe ny hardware, lære seg å bruke dem, stole på teknologien, og det er scenarier der det verken er praktisk eller ønskelig å bruke dette, sier han.
Til tross for den nye standarden, er det ifølge passordeksperten for tidlig å erklære passordet dødt. Thorsheim sier at det ikke finnes noe forretningsgrunnlag eller risikovurdering som rettferdiggjør å kutte ut passord eller PIN-koder.
- Imidlertid kan vi gjøre mye for å gjøre hverdagen enklere for oss alle, og der kan FIDO-standarden være et viktig bidrag i årene fremover, sier han.
