UTVIKLING

Android-enheter har fått bedre støtte for passordfri app- og webinnlogging

Gjelder mer enn en milliard enheter.

Behovet for å måtte taste inn passord i mobilapper og webapper på mobilen, kan bli betydelig redusert framover.
Behovet for å måtte taste inn passord i mobilapper og webapper på mobilen, kan bli betydelig redusert framover. Illustrasjonsfoto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
27. feb. 2019 - 10:38

Det er ikke så ofte brukerne av eldre Android-enheter kan juble over ny funksjonalitet, men i mandag denne uken ble det klart at alle «kompatible» enheter med Android 7.0 eller nyere nå har fått offisiell og sertifisert støtte for FIDO2-standarden. Denne støtten kommer som en del av en automatisk oppdatering til Google Play Services, det store biblioteket som følger med de fleste Android-mobiler. 

Nyheten innebærer at utviklere enklere kan legge til applikasjonsstøtte for innlogging med FIDO-kompatible sikkerhetsnøkler eller enhetens innebygde fingeravtrykkleser. Dette gjelder både mobil- og webapplikasjoner. Det hele skal kunne gjøres ved hjelp av et enkelt API-kall, opplyser FIDO Alliance i en pressemelding

Mot phishing

– Google har lenge samarbeidet med FIDO Alliance og W3C for å standardisere FIDO2-protokollene, som gir enhver applikasjon muligheten til å ta skrittet forbi passordautentisering, samtidig som det gis beskyttelse mot phishingangrep, sier Christiaan Brand, produktsjef for identitet og sikkerhet hos Google, i pressemeldingen. 

– Dagens kunngjøring om FIDO2-sertifisering for Android bidrar til å bringe dette initiativet videre. Det gir våre partnere og utviklere en standardisert måte å aksessere sikre nøkkellagre på, på tvers av enheter, for å bygge bekvemme, biometriske kontroller for brukerne, både på eksisterende og kommende enheter, fortsetter Brand.

Til The Verge sier Brand at en viktig, men ofte oversett del av denne teknologien, ikke egentlig handler om at du som bruker kan ta i bruk biometri for å logge deg inn, men at autentiseringen flyttes fra en «delt hemmelighet»-modell – hvor både du og tjenesten må kjenne til en hemmelighet, for eksempel passordet – til en asymmetrisk modell hvor du bare må bevise at du vet en hemmelighet, samtidig som at tjenesten ikke faktisk får vite selve hemmeligheten. 

– Dette er bedre på mange måter, ettersom et innbrudd i dataene dine på serversiden ikke avslører noe som kan kompromittere nøklene du bruker til å aksessere tjenesten, mener Brand.

Saken fortsetter under bildet.

YubiKey 5 NFC, en sikkerhetsnøkkel med NFC-støtte fra Yubico, brukes til autentisering på en Android-mobil. <i>Foto: Yubico</i>
YubiKey 5 NFC, en sikkerhetsnøkkel med NFC-støtte fra Yubico, brukes til autentisering på en Android-mobil. Foto: Yubico

Bred nettleserstøtte

FIDO2 kombinerer W3C-spesifikasjonen WebAuthn med den korresponderende CTAP-protokollen (Client to Authenticator Protocol) fra FIDO Alliance. WebAuthn støttes allerede av nettleserne Chrome, Edge og Firefox. Tilsvarende støtte kommer trolig til Apple Safari senere i år

– FIDO2-valget gir virkelig sterk identitetsbeskyttelse til kontoeiere. Du og jeg kan bli lurt av paypa1.com, men det vil ikke en FIDO-nøkkel bli. Innen sikkerhetsfellesskapet blir WebAuthn, som FIDO2 krysser med, blir ansett som én av de sterkeste kontobeskyttelsene som finnes, sier Kenn White, direktør for Open Crypto Audit Project, i et intervju med Wired.

Ifølge FIDO Alliance er det mer enn 1 milliard enheter som bruker Android 7.0 eller nyere. Dette inkluderer de fleste enheter utgitt i 2016 eller senere.

Les også: Bred enighet om standard for passordfri webinnlogging

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.