Mange toneangivende teknologiaktører har tatt til orde for å bli kvitt passordene, men det er ingen tvil om at prosessen er tidkrevende. Nå har i det minste én ny aktør kastet seg på den passordløse trenden, og denne gangen dreier det seg passende nok om en passordtjeneste.
En av de mest populære tjenestene for passordhåndtering, 1Password, meddelte nylig på bloggen sin at de snart skal bytte ut de tradisjonelle innloggingspassordene sine med de nye «passnøklene» som ble kunngjort i fjor.
Frontes av gigantene
Passnøkler er en ny løsning som de tre gigantene Google, Apple og Microsoft offisielt har gått i bresjen for og begynt å implementere i tjenestene sine (abonnementssak).
Teknologien, utviklet av FIDO-alliansen, innebærer at brukere kan logge inn på tjenester på nettet ved simpelthen å låse opp mobilen eller andre enheter med de vanlige 2FA-metodene, som fingeravtrykk, PIN-kode eller ansiktsskanning.
Som 1Password forklarer på sine hjemmesider, fungerer løsningen ved at det først genereres et privat/offentlig nøkkelpar for nettsiden du skal logge inn på, noe som skjer helt lokalt på enheten man benytter.
Den offentlige nøkkelen sendes til nettsiden hvor den lagres, mens den private nøkkelen lagres sikkert på enheten som brukes til autentiseringen, for eksempel mobilen. Neste gang man logger inn, genererer nettsiden en «utfordring» som signeres med den private nøkkelen, og deretter sendes den komplette signaturen til nettsiden.
Nettsiden benytter så en kopi av brukerens offentlige nøkkel til å verifisere signaturens autentisitet.
Sikkert og enkelt
En av fordelene med passnøklene er at de er enklere i bruk, fordi brukeren verken trenger å fylle inn eller huske noe av innloggingsdataene. Løsningen er også sikrere, siden den private nøkkelen aldri deles med nettsiden og begge nøklene trengs for å få tilgang til kontoen.
Om en hacker får tak i den offentlige nøkkelen, kan vedkommende altså fremdeles ikke skaffe tilgang, ei heller kan den offentlige nøkkelen brukes til å avsløre den private nøkkelen. I motsetning til passord er passnøklene også sterke og unike som standard, da de ikke er generert av brukeren selv.
Ikke minst gir løsningen mer eller mindre idiotsikker beskyttelse mot phishing-forsøk og andre typer svindelforsøk som baserer seg på at brukeren fyller inn sensitive data på falske nettsider.
Passnøkler for innlogging hos 1Password skal komme på plass i sommer, uten at et konkret tidspunkt er angitt ennå. Allerede nå kan man imidlertid sjekke ut en demonstrasjon av funksjonaliteten på tjenestens hjemmesider.
Nå kommer arvtakeren til passordene – Google ruller ut «passnøkler»