Flere av de toneangivende teknologiaktørene jobber iherdig med å bli kvitt de tradisjonelle passordene, og den lovende kandidaten som er ment å erstatte dem, heter «passnøkler» (passkeys), som Digi.no har omtalt tidligere.
Overgangen til passnøklene tar sin tid, men nå tar en av hovedaktørene et stort skritt mot den passordfrie hverdagen. På sin offisielle blogg kunngjør nemlig Google at de har begynt å rulle ut «passnøkler» som innloggingsløsning på Google-kontoene.
Bygger på FIDO-teknologi
Dette innebærer altså at du ikke lenger trenger å bruke passord til å logge inn på kontoene dine.
Passnøkler er en ny løsning som primært de tre gigantene Google, Apple og Microsoft offisielt har gått i bresjen for og begynt å implementere i tjenestene sine.
Teknologien, utviklet av FIDO-alliansen, innebærer at brukere kan logge inn på tjenester på nettet ved simpelthen å låse opp mobilen eller andre enheter med de vanlige 2FA-metodene, som fingeravtrykk, PIN-kode eller ansiktsskanning.
Med andre ord: Om man sitter ved PC-en sin og skal logge seg inn på en tjeneste som støtter FIDO-teknologien, vil man få opp en melding om å sjekke mobilen, hvorpå man så autentiserer seg selv ved å benytte mobilens biometriske løsninger eller PIN-kode.
Sikrere og enklere
Metoden fungerer ved at innloggingsdataene, som altså er døpt passnøkler, er lagret lokalt på enheten. Når du logger inn på en konto, genereres det først et privat/offentlig nøkkelpar for nettsiden du skal logge inn på, noe som skjer helt lokalt på enheten du benytter.
Den offentlige nøkkelen sendes til nettsiden hvor den lagres, mens den private nøkkelen lagres sikkert på enheten som brukes til autentiseringen, for eksempel mobilen. Neste gang man logger inn, genererer nettsiden en utfordring som signeres med den private nøkkelen, og deretter sendes den komplette signaturen til nettsiden.
Nettsiden benytter så en kopi av brukerens offentlige nøkkel til å verifisere signaturens autentisitet.
En av fordelene med passnøklene er at de er enklere i bruk, fordi brukeren verken trenger å fylle inn eller huske noe av innloggingsdataene. Løsningen er også sikrere, siden den private nøkkelen aldri deles med nettsiden og begge nøklene trengs for å få tilgang til kontoen.
Effektiv beskyttelse mot phishing
Om en hacker får tak i den offentlige nøkkelen, kan vedkommende altså fremdeles ikke skaffe seg tilgang, ei heller kan den offentlige nøkkelen brukes til å avsløre den private nøkkelen. I motsetning til passord er passnøklene også sterke og unike som standard, da de ikke er generert av brukeren selv.
Ikke minst gir løsningen mer eller mindre idiotsikker beskyttelse mot phishing-forsøk og andre typer svindelforsøk som baserer seg på at brukeren fyller inn sensitive data på falske nettsider.
Google har allerede rullet ut støtte for passnøkler til Chrome og Android (krever abonnement), og blant øvrige tjenester som støtter teknologien er den populære passordtjenesten 1Password – som fikk på plass støtte i februar i år.
En bred bruk av løsningen krever at utviklere og andre aktører bygger inn støtte i tjenestene sine, noe som er en langvarig prosess.
Populær passordtjeneste dropper passordene – nå er det «passnøkler» som gjelder