Sommeren juni 2011 sto Simon Josefsson fra Yubico i et lite auditorium på universitet i Bergen og fortalte om noe ganske så nytt og ukjent den gang: Yubikey.
På min internasjonale konferanse om passord og digital autentisering, PasswordsCon, lærte knappe 40 personer om Yubikey og ideen bak. Kort tid etter var jeg i gang med min første Yubikey for å lære og teste.
I februar 2013 ble FIDO Alliance startet, en åpen industriallianse som skal utvikle og promotere standarder som skal "bidra til å redusere verdens avhengighet til passord", i følge deres egne utsagn.
Siden første runde med PasswordsCon i desember 2010 har jeg fulgt med på utviklingen gjennom årene, og proaktivt invitert foredragsholdere fra akademia, standardiseringsorganisasjoner og kommersielle bedrifter for å snakke om digital autentisering av alle slag.
«Min påstand er at jeg foreløpig ligger godt an til å vinne. Dessverre.»
Vedda på passord
Da jeg holdt konferansen som eget spor på de svenske Internetdagarna i November 2018 stilte Google opp for å snakke om WebAuthn og fysiske sikkerhetsnøkler, som Yubikey og Googles egen Titan Key.
Det er verdt å nevne at Apple også stilte opp med presentasjon, den gang for å vise hvordan iOS bidrar til å sikre folks passord bedre.
Det var også her jeg inngikk veddemål med Christiaan Brand, produktansvarlig for FIDO/WebAuthn med mer i Google, om hva vi fortsatt ville ha 10 år senere: WebAuthn eller passord. En øl til vinneren. Jeg sa passord, Christiaan sa at passord skulle være dødt innen den tid.
Det er altså november 2028, og min påstand er at jeg foreløpig ligger godt an til å vinne. Dessverre.
OK, så nå kan skurker *høre* passord
Tre store problemer
Da det var full Covid-lockdown arrangerte jeg PasswordsCon virtuelt. Først i 2020, hvor Jim Fenton snakket om hvorvidt fremtiden faktisk er passordløs.
Jim er en av forfatterne på amerikanske NIST sin SP800-63B-standard for digitale identiteter. Den forrige utgaven av standarden var den som i praksis bestemte at et passord måtte være 8 tegn, og inneholde minst 3 av 4 tegngrupper (store og små bokstaver, tall og spesialtegn), og som "alle" over hele verden forholdt seg til i mange, mange år.
Året etter, i 2021, stilte Christiaan Brand fra Google opp igjen på video fra California med mer informasjon om hva som var på vei fra FIDO alliansen. Blant annet fortalte han om at de ville lage software-nøkler som ble lagret sikkert i hardware i din telefon, istedenfor å bruke dedikert hardware.
Her listet han også tre store problemer som fortsatt gjenstod å finne gode løsninger på:
- Hva om du bytter telefon, siden lagrede nøkler ikke kan eksporteres?
- Hva om du har nøkkel for en tjeneste på telefonen, men ønsker å logge inn fra for eksempel PC?
- Hvordan skal en webtjeneste finne ut at du har en FIDO nøkkel tilgjengelig for bruk?
«Bill Gates i sin keynote på RSA-konferansen i februar 2004 spådde at passordet ville dø ganske snart.»
Bill Gates sin spådom
Så kom mai 2022, hvor FIDO Alliance overrasket mange med annonseringen av PASSKEYS, som fikk vanvittig pressedekning over hele verden. Endelig skulle hele verden snart slippe å forholde seg til passord igjen noensinne.
Av historisk referanse kan det nevnes at Bill Gates i sin keynote på RSA-konferansen i februar 2004 spådde at passordet ville dø ganske snart, uten at han sa noe eksakt årstall. Jeg fikk aldri inngått noe veddemål med ham, dessverre.
Da jeg endelig kjørte PasswordsCon fysisk igjen på BSides Las Vegas i august 2022, så var det med ett innlegg fra Christiaan Brand i Google om hvor de startet og hvor de er på vei med Passkeys.
Deretter hadde vi en paneldiskusjon med adm.dir i FIDO Alliance, Christiaan Brand fra Google og Tim Cappalli fra Microsoft, hvor jeg rimelige fleipete kunne si at jeg hadde holdt på med Yubikey siden 2011, og lurte på hva det var som tar så uendelig lang tid for å få dette ut til alle i hele verden.
Vi hater denne passord-spøken
Derfor vil passord overleve
Der har dere altså den veldig korte historikken, og en rekke videoer for å gi mer kjøtt på beinet.
Så tilbake til temaet mitt med spørsmålet: Har vi en passordløs fremtid foran oss? Svaret er nei.
Her er noen argumenter for hvorfor:
- Det er ingen risikoanalyse som rettferdiggjør fjerning av passord eller innføring av "passordløs" i alle tilfeller
- Det er heller ikke noe forretningscase som tilsier at det er verdt å innføre "passordløs" i alle løsninger, utenom tech gigantene i USA som selger dette
- Skal du bli ekte "passordløs" så må du i prinsippet fjerne all kode som håndterer passord, pinkoder, API-nøkler og tilsvarende. Lykke til med det!
- Det er nok av programvare og hardware hvor det simpelthen ikke lar seg gjøre å implementere "passordløs"
«Jeg tror overhodet ikke at de vil erstatte vår daglige bruk av passord og pinkoder.»
Skjuler, ikke fjerner
Gjennom nesten 25 år med en rimelig heftig interesse for passord og digital autentisering generelt, så har jeg sett utallige forslag til hvordan vi skal bli kvitt passord.
Mange av de løsningene har egentlig bare forsøkt å skjule eller redusere behovet for å taste inn passord og pinkoder så veldig ofte. Det er ikke helt "passordløs", for å si det slik.
Det er mange bruksområder for hardware nøkler som Yubikey og softwarenøkler i form av passkeys, men jeg tror overhodet ikke at de vil erstatte vår daglige bruk av passord og pinkoder.
Kom gjerne med motargumenter og hvordan du mener vi skal kunne bli kvitt passord og pinkoder. Jeg synes diskusjonen er like interessant nå som i juni 2011 med Simon fra Yubico.
PS: Visste du at en passkey er bundet mot et domenenavn? Det betyr at dersom domenenavnet byttes, så må alle brukere registrere nye passkeys for det nye domenet. For de av oss som husker hvor "gøy" det var å administrere PGP-nøkler, tenk hvor gøy det blir når hele familien din skal gjøre det samme med passkeys. Lykke til.
