Hva er en adgangsnøkkel, og hva betyr dette for forbrukerappen din?

by
Tweet
Share
Share
Pin
0 Shares

Passord har vært en langvarig bekymring. Det er kjent at mange av oss som standard bruker forutsigbare, svake passord, og selv når vi ikke gjør det, blir det en utfordring å huske komplekse.

Det foruroligende faktum er at selv sterke passord med intrikate kombinasjoner ikke er immune mot phishing og svindel. Passordadministratorer var den midlertidige løsningen, men de har sine mangler og sårbarheter.

Men horisonten bringer noe lovende: Etter nesten ti år i produksjon, er passord satt til å revolusjonere vår digitale sikkerhet. Her er en primer om hva de er, hvordan de er satt til å endre det digitale autentiseringslandskapet, og hva dette vil bety for forbrukerappen din.

Forstå adgangsnøkler

I stedet for den tradisjonelle brukernavn-passord-kombinasjonen, gir en passord en sikrere og mer uanstrengt metode for å logge inn på nettplattformer. Det fine med adgangsnøkler ligger i deres avhengighet av offentlig nøkkelkryptering. Uten å dykke for dypt inn i det tekniske – hver gang du logger på, mottar enheten en unik påloggingslegitimasjon.

  Slik sjekker og sletter du Spotify-lytteloggen din

Denne prosessen minimerer risikoen for at hackere får tak i informasjonen din. Dette gjennombruddet er et resultat av innsats fra FIDO Alliance, et konsortium av teknologigiganter som Apple, Google, Microsoft og mange andre, som anerkjente det presserende behovet for en sikrere autentiseringsmetode.

Hvordan fungerer adgangsnøkler?

Adgangsnøkler kommer under paraplyen Web Authentication (WebAuthn). Dette systemet utnytter kryptografi med offentlig nøkkel, en utprøvd metode som brukes av ulike sikre meldings- og betalingsplattformer.

Her er en kort oversikt:

  • Offentlige og private nøkler: Ved opprettelse av konto genereres to nøkler. Den offentlige nøkkelen, som er lagret på tjenestens servere, trenger ikke være konfidensiell. Derimot forblir den private nøkkelen beskyttet på enheten din.
  • Autentiseringsprosess: Når du logger på, bruker tjenesten din offentlige nøkkel for å utfordre enheten din. Den private nøkkelen på enheten din møter denne utfordringen uten å avsløre noen sensitive detaljer. Dette sikrer sikker, hackersikker autentisering.

    • For brukere forblir denne prosessen stort sett usynlig. En enkel enhet eller nettleserforespørsel om en PIN-kode eller biometrisk bekreftelse, som FaceID eller TouchID, er alt du vil møte.

    Adgangsnøkler har et ekstra lag som synkroniserer disse nøklene mellom de respektive store teknologiske (Apple, Google, Microsoft) skytjenester. Dette viktige laget fyller brukeropplevelsesgapet, og muliggjør sømløs veksling mellom enheter uten å registrere nøkler på nytt, noe som har blitt ansett som et betydelig gap til mainstream-adopsjon av FIDO2.

      Avast One – Er det verdt det?

    Fordi adgangsnøkler per definisjon omfatter flere faktorer, oppfyller den definisjonen av Multi-factor Authentication (MFA), spesifikt oppfyller følgende:

    • Possession Factor (noe du har) – Brukeren besitter enheten som inneholder den private nøkkelen
    • Inherensfaktor eller Kunnskapsfaktor – Brukerens biometri (FaceID, Touch ID, Fingerprint) eller enhetens PIN-kode

    Disse egenskapene gjør adgangsnøkler til en gyldig eneste autentiseringsfaktor for påloggingsscenarier eller supplerer andre faktorer i scenarier for trinnvis autentisering. Sjekk ut dette Demo av passord for en real-world implementering.

    Enhetskompatibilitet

    For øyeblikket er funksjonalitet på tvers av plattformer for passord fortsatt et arbeid som pågår. Apples iOS- og macOS-enheter støtter passord, det samme gjør Googles Android-enheter. Microsoft forbedrer også støtten for passord, med betydelige oppdateringer i horisonten.

    Her er en oppdatering enhetsstøtteliste.

    Hva kan du gjøre for å begynne å implementere passord?

    Implementering av passord kan være enkelt, forutsatt at du har den nødvendige infrastrukturen på plass. En kritisk del av arkitekturen din er en WebAuthn-back-end-tjeneste eller -server, som gir back-end API-endepunkter for å administrere hele livssyklusen til adgangsnøkkeladministrasjon.

      Hvordan få Cox WiFi Hotspot gratis prøvekode

    Når en WebAuthn-tjeneste er etablert, er tilgang til SDK-ene og bibliotekene på klientsiden nødvendig for å utføre registrerings- og verifiseringsseremoniene på klientsiden. Den gode nyheten er at det nå er mange allment tilgjengelige klientsidebiblioteker som kan forenkle prosessen. For eksempel gir Authsignal følger SDK-er her:

    • Javascript SDK for passord
    • React Native SDK for passord
    • iOS SDK for passord
    • Android SDK for passord

    Det er viktig å merke seg at den tekniske integrasjonen bare er en del av en bredere implementering. Brukeropplevelse og sikkerhetshensyn bør være godt forstått. De hensyn til implementering av passord er forklart i detalj i et blogginnlegg.

    Inngangsnøkler, fremtiden er nå.

    Vi er nå i det spennende skjæringspunktet mellom den raske modenheten til kodenøkkelteknologi. Moderne nettlesere og enheter, spesielt i Apple- og Android-økosystemene, støtter i stor grad adgangsnøkler, og vanlige forbrukerapper slipper nå passordfunksjoner (f.eks. Kayak, TikTok). Endelig har teknisk integrasjon blitt enklere med out-of-the-box passordløsninger som Authsignal, og tilbyr alle komponentene som en back-end WebAuthn-tjeneste og klient-SDK-er.

    Det bør ikke være noen store unnskyldninger eller barrierer for at applikasjonen din skal ta i bruk Passkeys som en kritisk del av hvordan du samhandler med kundene dine, og tilbyr dem en sømløs brukeropplevelse, men enda viktigere, en som er svært sikker.