«Passnøkler» er navnet på løsningen som flere av de toneangivende teknologiaktørene mener skal erstatte den aldrende passordløsningen. En del har allerede begynt å adoptere passnøklene, og nå har også en av de store passordtjenestene meldt seg på.
1Password, den nest største passordhåndteringstjenesten i markedsandel, melder på bloggen sin at de nå har fått på plass støtte for passnøkler – etter først å ha kunngjort nyheten i februar i år.
Frontes av gigantene
Støtten, som ennå er i en betafase, innebærer at brukere nå kan opprette og lagre passnøkler hos 1Password og benytte disse på alle nettsider og tjenester som allerede støtter teknologien.
Når det gjelder 1Password-tjenesten selv, må man enn så lenge logge inn med passord. Tjenesten opplyser imidlertid at de jobber med saken, og at brukere vil kunne logge inn hos 1Password med passnøkler senere i sommer.
Passnøkler er en ny løsning som de tre gigantene Google, Apple og Microsoft offisielt har gått i bresjen for og begynt å implementere i tjenestene sine (abonnementssak).
Teknologien, utviklet av FIDO-alliansen, innebærer at brukere kan logge inn på tjenester på nettet ved simpelthen å låse opp mobilen eller andre enheter med de vanlige 2FA-metodene, som fingeravtrykk, PIN-kode eller ansiktsskanning.
Enklere og sikrere
Som 1Password forklarer på sine hjemmesider, fungerer løsningen ved at det først genereres et privat/offentlig nøkkelpar for nettsiden du skal logge inn på, noe som skjer helt lokalt på enheten man benytter.
Den offentlige nøkkelen sendes til nettsiden hvor den lagres, mens den private nøkkelen lagres sikkert på enheten som brukes til autentiseringen, for eksempel mobilen. Neste gang man logger inn, genererer nettsiden en «utfordring» som signeres med den private nøkkelen, og deretter sendes den komplette signaturen til nettsiden.
Nettsiden benytter så en kopi av brukerens offentlige nøkkel til å verifisere signaturens autentisitet.
En av fordelene med passnøklene er at de er enklere i bruk, fordi brukeren verken trenger å fylle inn eller huske noe av innloggingsdataene. Løsningen er også sikrere, siden den private nøkkelen aldri deles med nettsiden og begge nøklene trengs for å få tilgang til kontoen.
Ennå noe begrenset støtte
Om en hacker får tak i den offentlige nøkkelen, kan vedkommende altså fremdeles ikke skaffe tilgang, ei heller kan den offentlige nøkkelen brukes til å avsløre den private nøkkelen. I motsetning til passord er passnøklene også sterke og unike som standard, da de ikke er generert av brukeren selv.
Ikke minst gir løsningen mer eller mindre idiotsikker beskyttelse mot phishing-forsøk og andre typer svindelforsøk som baserer seg på at brukeren fyller inn sensitive data på falske nettsider.
Videre utbredelse av passnøkkel-løsningen betinges selvsagt av at flest mulig tjenester tar i bruk teknologien, og her er det ennå et stykke igjen. 1Password har lagt ut en brukergenerert liste over tjenester som allerede støtter passnøkler, og foreløpig er denne noe mangelfull.
Microsoft og Google, to av pådriverne bak løsningen, er imidlertid på listen. Google har rullet ut passnøkler som innloggingsløsning på Google-kontoene, som Digi.no har fortalt, og løsningen finnes nå også til Chrome og Android (krever abonnement).
Nå faser Google ut passordene: Lar deg bruke «passnøkler» til å logge inn på kontoen