Passord har vært en langvarig bekymring. Det er kjent at mange av oss som standard bruker forutsigbare, svake passord, og selv når vi ikke gjør det, blir det en utfordring å huske komplekse.
Det foruroligende faktum er at selv sterke passord med intrikate kombinasjoner ikke er immune mot phishing og svindel. Passordadministratorer var den midlertidige løsningen, men de har sine mangler og sårbarheter.
Men horisonten bringer noe lovende: Etter nesten ti år i produksjon, er passord satt til å revolusjonere vår digitale sikkerhet. Her er en primer om hva de er, hvordan de er satt til å endre det digitale autentiseringslandskapet, og hva dette vil bety for forbrukerappen din.
Innholdsfortegnelse
Forstå adgangsnøkler
I stedet for den tradisjonelle brukernavn-passord-kombinasjonen, gir en passord en sikrere og mer uanstrengt metode for å logge inn på nettplattformer. Det fine med adgangsnøkler ligger i deres avhengighet av offentlig nøkkelkryptering. Uten å dykke for dypt inn i det tekniske – hver gang du logger på, mottar enheten en unik påloggingslegitimasjon.
Denne prosessen minimerer risikoen for at hackere får tak i informasjonen din. Dette gjennombruddet er et resultat av innsats fra FIDO Alliance, et konsortium av teknologigiganter som Apple, Google, Microsoft og mange andre, som anerkjente det presserende behovet for en sikrere autentiseringsmetode.
Hvordan fungerer adgangsnøkler?
Adgangsnøkler kommer under paraplyen Web Authentication (WebAuthn). Dette systemet utnytter kryptografi med offentlig nøkkel, en utprøvd metode som brukes av ulike sikre meldings- og betalingsplattformer.
Her er en kort oversikt:
For brukere forblir denne prosessen stort sett usynlig. En enkel enhet eller nettleserforespørsel om en PIN-kode eller biometrisk bekreftelse, som FaceID eller TouchID, er alt du vil møte.
Adgangsnøkler har et ekstra lag som synkroniserer disse nøklene mellom de respektive store teknologiske (Apple, Google, Microsoft) skytjenester. Dette viktige laget fyller brukeropplevelsesgapet, og muliggjør sømløs veksling mellom enheter uten å registrere nøkler på nytt, noe som har blitt ansett som et betydelig gap til mainstream-adopsjon av FIDO2.
Fordi adgangsnøkler per definisjon omfatter flere faktorer, oppfyller den definisjonen av Multi-factor Authentication (MFA), spesifikt oppfyller følgende:
- Possession Factor (noe du har) – Brukeren besitter enheten som inneholder den private nøkkelen
- Inherensfaktor eller Kunnskapsfaktor – Brukerens biometri (FaceID, Touch ID, Fingerprint) eller enhetens PIN-kode
Disse egenskapene gjør adgangsnøkler til en gyldig eneste autentiseringsfaktor for påloggingsscenarier eller supplerer andre faktorer i scenarier for trinnvis autentisering. Sjekk ut dette Demo av passord for en real-world implementering.
Enhetskompatibilitet
For øyeblikket er funksjonalitet på tvers av plattformer for passord fortsatt et arbeid som pågår. Apples iOS- og macOS-enheter støtter passord, det samme gjør Googles Android-enheter. Microsoft forbedrer også støtten for passord, med betydelige oppdateringer i horisonten.
Her er en oppdatering enhetsstøtteliste.
Hva kan du gjøre for å begynne å implementere passord?
Implementering av passord kan være enkelt, forutsatt at du har den nødvendige infrastrukturen på plass. En kritisk del av arkitekturen din er en WebAuthn-back-end-tjeneste eller -server, som gir back-end API-endepunkter for å administrere hele livssyklusen til adgangsnøkkeladministrasjon.
Når en WebAuthn-tjeneste er etablert, er tilgang til SDK-ene og bibliotekene på klientsiden nødvendig for å utføre registrerings- og verifiseringsseremoniene på klientsiden. Den gode nyheten er at det nå er mange allment tilgjengelige klientsidebiblioteker som kan forenkle prosessen. For eksempel gir Authsignal følger SDK-er her:
- Javascript SDK for passord
- React Native SDK for passord
- iOS SDK for passord
- Android SDK for passord
Det er viktig å merke seg at den tekniske integrasjonen bare er en del av en bredere implementering. Brukeropplevelse og sikkerhetshensyn bør være godt forstått. De hensyn til implementering av passord er forklart i detalj i et blogginnlegg.
Inngangsnøkler, fremtiden er nå.
Vi er nå i det spennende skjæringspunktet mellom den raske modenheten til kodenøkkelteknologi. Moderne nettlesere og enheter, spesielt i Apple- og Android-økosystemene, støtter i stor grad adgangsnøkler, og vanlige forbrukerapper slipper nå passordfunksjoner (f.eks. Kayak, TikTok). Endelig har teknisk integrasjon blitt enklere med out-of-the-box passordløsninger som Authsignal, og tilbyr alle komponentene som en back-end WebAuthn-tjeneste og klient-SDK-er.
Det bør ikke være noen store unnskyldninger eller barrierer for at applikasjonen din skal ta i bruk Passkeys som en kritisk del av hvordan du samhandler med kundene dine, og tilbyr dem en sømløs brukeropplevelse, men enda viktigere, en som er svært sikker.