Passord har lenge vært en saga blott fordi de vanligvis er kjedelige, tungvinte og fremfor alt usikre. Apple kunngjorde på WWDC 2022 at de ville erstatte dem med “Passkeys”, fra og med iOS 16, som er knyttet til kontoen din og enhetene dine. Les guiden vår for å finne ut om dette er en virkelig sikker metode og hva som skjer hvis du ikke har en Apple-enhet for hånden.
Hvor mye tid bruker du på å huske passordene dine? Oppretter du nye sikkerhetsnøkler hvert eneste år og tar hensyn til sikkerhetsstyrken basert på tegn- og tallsekvensene? Sannsynligvis ikke, fordi sikkerhetsselskaper finner usikre passord altfor ofte i databasene sine hvert år. De fleste passord er for enkle, endres aldri og kan bli knekt i løpet av få minutter.
Så enkelt blir det å bruke Apples adgangsnøkler. / © Apple / Skjermbilde: NextPit
Derfor er det prisverdig at Apple har annonsert en ny autentiseringsmetode kjent som Passkeys for å erstatte passord. På nettet er den nye metoden sterkt knyttet til Apple-økosystemet, noe som er synd. Dette er fordi med adgangsnøkler, presenterte Apple bare sin egen måte å håndtere de nye WebAuthn-legitimasjonene på.
Hvorfor “passnøkler” ikke bare angår Apple-brukere
Du leste riktig. «Passnøkler» er ikke en Apple-eksklusiv oppfinnelse, selv om det hørtes slik ut på WWDC 2022. De er Apples interne merkevarebygging for en ny type påloggingsinformasjon, som ble utviklet av FIDO Alliance. Apple er ikke en del av alliansen, men ifølge dem samarbeidet de med blant annet Google og Android, og følger FIDO-standardene for sine Passkeys. Før eller siden vil nesten alle Internett-brukere dra nytte av bruken av adgangsnøkler.
“Passnøkler” synkroniseres mellom Apple-enheter, men er ikke eksklusive for Apple. / © Apple; Skjermbilde: NextPit
Den grunnleggende ideen er å implementere pålogginger ved hjelp av sikkerhetsnøkler i stedet for passord. Fra brukerens ståsted sikres da pålogginger ved hjelp av biometriske metoder som gjør at sikkerhetsnøklene kan sammenlignes med serveren. Hvis du allerede bruker Face ID og Touch ID for å låse opp iCloud-nøkkelringen, betyr dette at svært lite vil endre seg når det gjelder tilgang til kontoene dine.
Selv om dagens pålogginger på iOS allerede er omtrent like praktiske som den senere perioden da adgangsnøkler blir mainstream, er det én stor ulempe. Foreløpig lar du bare iCloud-nøkkelringen kopiere passordet ditt til påloggingsskjermen. Derfra overføres den til serveroperatøren. Det er fortsatt en risiko for at passordene dine kan hentes via man-in-the-middle (MITM)-angrep eller på annen måte.
Selv phishing, dvs. svindel med passord ved å utgi seg for å være en svært viktig nødtjeneste eller annen sosial ingeniørtaktikk, er fortsatt mulig med denne metoden. For øyeblikket kan du enkelt kopiere passord fra nøkkelringen og lime dem inn i hvilken som helst post hvis du har falt for en svindel.
Dette er grunnen til at adgangsnøkler og Apples håndtering er så sikker
Derfor, på en måte, beskytter bruk av adgangsnøkler deg mot den velkjente faren ved å bare sitte foran skjermen. Helt nederst i den er den basert på to sikkerhetsnøkler – en offentlig og en privat. Den offentlige nøkkelen ligger på serveren etter oppsett, mens den private nøkkelen alltid forblir på enheten som brukes for pålogging. Trikset ligger i den matematiske formelen som brukes som metoden er basert på.
Foreløpig er den beste måten å forhindre MITM-angrep på via VPN-leverandører. / © NextPit
Som Popular Science skrev, var denne designet slik at den private nøkkelen ikke må overføres til serveren under påloggingsforsøk. Dette holder adgangsnøkkelen din sikker selv i tilfelle MITM-angrep eller vellykkede hacks på bedriftens servere. Passnøkler er basert på WebAuthentification-standarden (WebAuthn), som har blitt brukt til passordfrie pålogginger på nettet en stund.
Så hvis alt dette allerede er tilgjengelig, er spørsmålet hvorfor alle oppfører seg som Apple gjenoppfant passordet?
Hvorfor oppfører alle seg som at Apple gjenoppfant passordet?
Hei, godt spørsmål! Hva du virkelig kan gi Apple kreditt for: De er de første som bruker adgangsnøkler på tvers av enheter. Samtidig tilbyr de et applikasjonsprogrammeringsgrensesnitt, eller API, for sine adgangsnøkler. For å muliggjøre innlogging via Passkeys, må nettsider og tjenester først opprette forutsetningene, selvfølgelig. Siden Apple tilbyr sine nye operativsystemer iOS 16, watchOS 9, iPadOS 16 og macOS 13 som utviklerbetaer et halvt år før lansering, kan tilgjengelighet ved lansering allerede forventes på tvers av mange apper og enheter. I alle fall har Apple allerede introdusert sin egen WebAuthn-legitimasjon for WWDC 2021.
Adgangsnøkler er også fast knyttet til iCloud-nøkkelringen. Du kan få tilgang til dette fra hvilken som helst Apple-enhet du har registrert deg på, ved å bruke Apple-ID-en din. Siden Apple bruker ende-til-ende-kryptering for nøkkelringen sin og ikke kjenner sikkerhetsnøklene, hevder støttesiden at dette er et trygt sted for adgangsnøklene å oppholde seg.
Systemet er også beskyttet ved hjelp av tofaktorautentisering. Så hvis du vil registrere deg for en ny adgangsnøkkel, må du bekrefte denne prosessen igjen på en Apple-enhet eller via nettleseren ved å skrive inn en sekssifret kode.
Apple har ikke (gjen)oppfunnet den passordløse påloggingen, men implementerte den ganske enkelt på en smart og sikker måte. I tillegg er Apple-enheter så mye brukt at Cupertinos fremmarsj vil være et godt insentiv for tjenester og nettsider til å endelig oppgradere til WebAuthn.
Vil adgangsnøkler gjøre det umulig å bytte til Android og Windows?
Apples bevegelse mot Passkeys bekymret meg fortsatt litt under direktesendingen. Det virket sterkt som om Apple nok en gang ville støtte opp sin “ingjerde hage” med metylen. Gjør ikke introduksjonen av Passkeys det nesten umulig å bruke ikke-Apple-enheter eller på annen måte unnslippe Apples kosmos?
Selv om det ennå ikke er helt klart hvor lukket Apples Passkeys-integrasjon vil være, og det er tre argumenter mot frykten min.
I fremtiden vil du også kunne logge på Windows-enheter via QR-koder ved hjelp av passord. / © Apple / Skjermbilde: NextPit
1: Under utviklerkonferansen viste Apple kort hvordan pålogginger vil bli muliggjort på ikke-Apple-enheter. På displayet til en Windows-notebook kan du se en QR-kode hvor den må skannes med en Apple-enhet for å logge inn. Så det vil være mulig å logge på også på Windows og Android, men du må ha din iPhone eller iPad med deg.
2: Du har allerede tilgang til iCloud-nøkkelringen på Windows. Alt du trenger å gjøre er installer iCloud-appen og du vil se et tilsvarende program på din PC. Opplåsing fungerer via Windows sin egen autentiseringstjeneste kjent som Windows Hello, og dermed også via en biometrisk påloggingsmetode. Jeg tviler imidlertid på at dette systemet er sikkert nok for Apples Passkeys. Dette er fordi Windows er avhengig av en PIN-kode som en reserve, som kun består av fire sifre i verste fall.
3:: Standard WebAuthn er, som allerede nevnt, ikke Apples egen og vil helt sikkert være naturlig brukbar med Android, Windows og andre operativsystemer i fremtiden. Dette betyr at du kan tildele nye sikkerhetsnøkler for pålogginger for å få tilgang til nettsider. Selv om de skiller seg fra Apples synkroniserte nøkler, utgjør det ingen forskjell for håndteringen etter oppsettet. Du logger tross alt bare på med fingeravtrykksensoren eller ansiktsgjenkjenning uansett.
Konklusjon: Passnøkler er revolusjonerende, bare ikke fra Apple.
La oss oppsummere utviklingen en gang til. Uansett Apple vil WebAuthn gjøre pålogginger på nettet sikrere. Etter altfor lang tid er dataene våre ikke lenger avhengig av hvor mye tid eller hjernekraft vi investerer i å vedlikeholde passordene våre. I tillegg gir standarden pålitelig beskyttelse mot phishing, hacking og til og med den typen selskaper vi velger å logge på.
Apple tar et stort skritt i denne forbindelse, og blir det første selskapet som ruller ut tjenesten på tvers av enheter. Samtidig utnytter selskapet sitt lukkede økosystem for å gjøre pålogginger via Passkeys til en sikker og praktisk innsats.
Apples beslutning om å introdusere Passkeys som et viktig tema under utviklerkonferansen sin, uten å bruke sitt eget navn, er også et strålende trekk. På en måte høster Apple laurbærene som FIDO-alliansen har sådd og vokst i samarbeid.
Tross alt, hvis Android eller Windows kunngjør passordstøtte når som helst snart, vil publikum garantert forbinde det med Apple som opphavsmann.
Touché, Apple. Touché!
Kilder:
Leave a Reply
You must be logged in to post a comment.