Passord har lenge vært et problemområde innen digital sikkerhet. Mange av oss bruker ofte forutsigbare og svake passord som standard, og selv når vi prøver å lage komplekse passord, kan det være vanskelig å huske dem.
Det er urovekkende at selv sterke passord med intrikate kombinasjoner ikke er immune mot phishing og svindel. Passordadministratorer har vært en midlertidig løsning, men de har også sine begrensninger og svakheter.
Men det er lys i tunnelen: Etter nesten ti år med utvikling, er passnøkler klare til å revolusjonere vår digitale sikkerhet. Her er en innføring i hva de er, hvordan de vil endre landskapet for digital autentisering, og hva dette vil bety for din forbrukerapplikasjon.
Forståelse av passnøkler
I stedet for den tradisjonelle kombinasjonen av brukernavn og passord, tilbyr en passnøkkel en sikrere og enklere metode for å logge inn på nettbaserte plattformer. Styrken til passnøkler ligger i deres bruk av offentlig nøkkelkryptering. Uten å gå for dypt inn i de tekniske detaljene, mottar enheten din en unik påloggingslegitimasjon hver gang du logger på.
Denne prosessen reduserer risikoen for at hackere får tak i dine opplysninger. Dette gjennombruddet er et resultat av arbeidet til FIDO Alliance, et samarbeid mellom store teknologiselskaper som Apple, Google, Microsoft og mange andre, som innså behovet for en sikrere autentiseringsmetode.
Hvordan fungerer passnøkler?
Passnøkler faller inn under kategorien Web Authentication (WebAuthn). Dette systemet bruker kryptografi med offentlig nøkkel, en velprøvd metode som brukes av ulike sikre meldings- og betalingsplattformer.
Her er en kort oversikt:
For brukere er denne prosessen som regel skjult. En enkel forespørsel fra enheten eller nettleseren om en PIN-kode eller biometrisk bekreftelse, som FaceID eller TouchID, er alt du vil merke.
Passnøkler har et ekstra lag som synkroniserer disse nøklene mellom de store teknologiske skytjenestene (Apple, Google, Microsoft). Dette viktige laget løser brukeropplevelsesutfordringer og muliggjør sømløs overgang mellom enheter uten å måtte registrere nøklene på nytt. Dette har vært en viktig hindring for bredere bruk av FIDO2.
Siden passnøkler per definisjon omfatter flere faktorer, oppfyller de kravene til Multi-factor Authentication (MFA), og spesifikt følgende:
- Besittelsesfaktor (noe du har) – Brukeren har enheten som inneholder den private nøkkelen
- Arvbarhetsfaktor eller Kunnskapsfaktor – Brukerens biometri (FaceID, Touch ID, Fingeravtrykk) eller enhetens PIN-kode
Disse egenskapene gjør passnøkler til en gyldig enkelt autentiseringsfaktor for påloggingssituasjoner eller et supplement til andre faktorer i situasjoner med trinnvis autentisering. Sjekk ut denne demoen av passnøkler for en praktisk implementering.
Enhetskompatibilitet
For øyeblikket er funksjonalitet på tvers av plattformer for passnøkler fortsatt under utvikling. Apples iOS- og macOS-enheter støtter passnøkler, det samme gjør Googles Android-enheter. Microsoft jobber også med å forbedre sin støtte for passnøkler, med betydelige oppdateringer på vei.
Her er en oppdatert liste over enheter som støttes.
Hva kan du gjøre for å begynne å implementere passnøkler?
Implementering av passnøkler kan være enkelt, forutsatt at du har den nødvendige infrastrukturen på plass. En viktig del av arkitekturen er en WebAuthn-backend-tjeneste eller -server, som gir backend API-endepunkter for å håndtere hele livssyklusen for passnøkkeladministrasjon.
Når en WebAuthn-tjeneste er etablert, er det nødvendig med tilgang til SDK-er og biblioteker på klientsiden for å utføre registrerings- og verifiseringsprosessene på klientsiden. Den gode nyheten er at det nå finnes mange tilgjengelige klientsidebiblioteker som kan forenkle prosessen. For eksempel tilbyr Authsignal følgende SDK-er her:
- Javascript SDK for passnøkler
- React Native SDK for passnøkler
- iOS SDK for passnøkler
- Android SDK for passnøkler
Det er viktig å huske at den tekniske integrasjonen bare er en del av en bredere implementering. Brukeropplevelse og sikkerhetshensyn bør være godt gjennomtenkt. De hensyn ved implementering av passnøkler er forklart i detalj i et blogginnlegg.
Passnøkler: fremtiden er her nå
Vi befinner oss nå i et spennende skjæringspunkt der passnøkkelteknologien raskt modnes. Moderne nettlesere og enheter, spesielt i Apple- og Android-økosystemene, støtter i stor grad passnøkler, og populære forbrukerapper lanserer nå passnøkkelfunksjoner (f.eks. Kayak, TikTok). I tillegg har den tekniske integrasjonen blitt enklere med ferdige passnøkkelløsninger som Authsignal, som tilbyr alle nødvendige komponenter, inkludert en backend WebAuthn-tjeneste og klient-SDK-er.
Det bør ikke være noen store unnskyldninger eller hindringer for at din applikasjon skal ta i bruk passnøkler som en viktig del av hvordan du samhandler med kundene dine. Dette gir dem en sømløs brukeropplevelse, og enda viktigere, en svært sikker en.