Stadig flere selskaper velger å tilby passnøkler ("passkeys") som autentiseringsmekanisme.
Nylig gikk også Microsoft ut og sa at nye kontoer hos dem ville være "passordløse som standard". De uttalte også at de nå ville gjøre som FIDO-alliansen og døpe om "World Password Day" (1. mai) til "World Passkey Day".
Per Thorsheim er arrangør av PasswordsCon og en av Norges fremste eksperter på sikkerhet og autentisering. For et par år siden uttalte han seg skråsikkert i et leserinnlegg på kode24 der han skrev at han ikke hadde noen tro på at vi ville bli kvitt passord.
– Men NÅ begynner vi vel å nærme oss å få slutt på de plagsomme passordene?
– Nei, punktum. Med referanse til mitt leserinnlegg fra 2023 så er det fortsatt en rekke hindringer for utrulling av både hardware keys eller også passkeys i software, sier Thorsheim til kode24.
Thorsheim er imidlertid ingen motstander av passnøkler, snarere tvert imot.
Sikrere enn passord
Thorsheim mener fortsatt at selv om det er mange bruksområder for passnøkler, så vil de neppe erstatte alle passordene våre med det første.
– Det er hverken noen forretningscase eller risikovurdering som rettferdiggjør å erstatte passord/pinkoder heller i mange tilfeller. Samtidig så er det lett å se, og la seg blende, av reklamen for hvor brukervennlig passkeys kan virke ved første øyekast, sier han.
Thorsheim viser også til at minst én bank i Australia har annonsert at brukerne skal kunne logge seg på nettbanken uten passord.
– Der er de da ikke underlagt like strenge regler for bank og finans slik vi har i Norge og EU. Det blir spennende å se hvilken mottakelse det får hos brukere, regulatoriske myndigheter i Australia – og hos kriminelle, sier Thorsheim.
«Det blir spennende å se hvilken mottakelse det får hos brukere, myndigheter – og hos kriminelle.»
– Men er passnøkler sikrere enn passord?
– Ja, det vil jeg si. Men det er da også mange fallgruver rundt dette, akkurat som vi har med passord/pinkoder og kontosikkerhet forøvrig.
Det er også ifølge Thorsheim diskusjoner om bruk av en passnøkkel i seg selv kan regnes som 2-faktor autentisering, eller om vi er på et slags “1,5”-nivå-autentisering.
– Tilgang til personsensitive opplysninger, samt bank og finans, skal sikres med sterk autentisering i EU, og det er i dag 2-faktor-autentisering og en digital ID på nivå HØY, slik man får med Buypass og BankID her i Norge.
Hemmeligheter i koden: «Dette synes jeg er magisk!»
Grunner til å bruke passnøkler
Til tross for at passnøkler ikke kan erstatte alle passord, mener han det er mange grunner til å se på om dette er noe man vil tilby brukerne sine.
– Er det noen grunner til å ikke bruke passnøkler?
– I utgangspunktet nei. Dog vil jeg si at det er så absolutt verdt å gjøre testimplementering og brukertester for å se om dette virkelig egner seg for dine brukere og kunder.
Thorsheim sier det gjøres mange implementeringer av passnøkler i dag hvor eldre og dårligere autentiseringsløsninger fortsatt er tilgjengelig.
– Da er passkeys-implementeringen kanskje bare litt ekstra brukervennlig, men gir ingen bedre sikkerhet. Heller omvendt: enda en autentiseringsløsning er enda en angrepsvektor!
– Det er først når passkeys er tatt i bruk for ALLE brukere og eldre autentiseringsløsninger er slått av og fjernet at man kan påstå at sikkerheten er blitt bedre mener jeg.
Nå kan du bytte passord i BankID ved å skanne passet
Test det ut skikkelig
Thorsheim har disse anbefalingene til utviklere som vurderer å legge til støtte for passnøkler:
- Gjør testimplementeringer av passkeys og støtte for bruk av hardware keys også.
- Gjør brukertester og grundige evalueringer av brukernes tilbakemeldinger på enkelhet og tillit til løsningen.
- Snakk med designere og testere for å få en mer komplett forståelse av livssyklusen for kontoer, fra de opprettes til de er permanent slettet.
– Det er mange angrepsvektorer, inkludert sosial manipulering, som kan forbigå det meste av sikkerhetskontroller.
Når du tror alt er godt og sikkert, bør du gjøre risikovurderingen enda en gang, ifølge Thorsheim.
–Det er alltid noe man har glemt, oversett eller ikke har tenkt på overhodet.
