World Wide Web Consortium og Fido Alliance offentliggør WebAuthn: Hvad betyder det?
Normalt får du ikke så mange muligheder, når du opretter en ny online-konto. Du er naturligvis nødt til at oprette en adgangskode, og for de fleste betyder det, at man går ned på en af to ruter - en enkel, let at huske og/eller genbrugt adgangskode, der sætter deres konti i fare; eller en lang, vanskelig at gætte adgangskode, det er en gener at skrive og en smerte at huske. Det skal siger sig selv, at begge muligheder ikke er helt ideelle. Så er der noget, der muligvis kan ændre, hvordan tingene er i øjeblikket? Nå, der er, og det kan faktisk gå et eller andet sted.
WebAuthn - det kodeordløse alternativ
WebAuthn, forkortelse for webgodkendelse, er en ikke-proprietær standard, der letter kommunikationen mellem websteder og en sikkerhedsenhed. To online konsortier, World Wide Web Consortium (WC3) og FIDO Alliance, har arbejdet med det i de sidste par år, men konceptet kan spore sine rødder tilbage til FIDO Alliance's Universal Authentication Factor (UAF) API fra 2014.
Målet med både WebAuthn og UAF er at tilvejebringe en ny, sikker måde at logge ind på online-konti uden at skulle huske eller indtaste adgangskoder. Af forskellige komplicerede grunde gjorde UAF ikke indtryk på vores hverdag, men det ser ud til, at WebAuthn måske bare var anderledes.
Mandag meddelte WC3 og FIDO , at WebAuthn nu er en officiel webstandard. Kort sagt betyder det, at eksperterne er tilstrækkelige til at begynde at rådgive web- og appudviklere om at implementere det i deres produkter. For at forstå, hvordan alt dette vil påvirke os alle, er vi nødt til at undersøge, hvordan WebAuthn fungerer.
Hvordan fungerer WebAuthn?
Fra en brugers perspektiv er tingene temmelig ligetil. Ideen er, i stedet for at indtaste et brugernavn og en adgangskode, bruger du enten de biometriske godkendelsesmekanismer på din computer eller smartphone, eller du bruger en hardware-token, der kan bæres på en nøglering og fungerer med USB, NFC, Bluetooth eller en lignende kommunikationsprotokol. Der er overhovedet ingen loginoplysninger, hvilket lyder som et tiltalende koncept. Men hvad med sikkerhedsaspektet?
Mens processen er enkel på den måde, bag kulisserne, er en WebAuthn-login en temmelig kompleks operation. Det hele er baseret på offentlig nøgle (også kendt som asymmetrisk) kryptografi, hvilket betyder, at der er to nøgler involveret - en offentlig og en privat. Hver eneste af dine konti får et par kryptografiske nøgler, som din computer- eller hardwaretoken genererer ved registrering. Den offentlige nøgle sendes til tjenesteudbyderen, og den private er gemt på din enhed. Når du prøver at logge ind, sender tjenesteudbyderen en udfordring, som din enhed signerer og krypterer med din private nøgle. Den eneste måde at dekryptere udfordringen og se underskriften er med din offentlige nøgle, hvilket er, hvordan tjenesteudbyderen ved, at du er den, du siger, du er.
Der er mere end et par sikkerhedsfordele ved denne ordning. Først og fremmest kræver login, to nøgler, der er gemt to forskellige steder. Selv hvis skurkerne på en eller anden måde formår at stjæle eller opfange din offentlige nøgle, har de ingen måde at logge på uden den private, som som du måske husker aldrig forlader din enhed.
I modsætning til adgangskoder, kan kryptografiske nøgler ikke gætes udstoppet, genbrugt eller phished. Med andre ord er de fleste af de angreb, der traditionelt fungerer på adgangskoder, ikke effektive mod en WebAuthn-ordning.
Den nye webstandard er bemærkelsesværdig, fordi det er et af de få eksempler på en teknologisk innovation, der ikke kun forbedrer anvendeligheden, men også resulterer i bedre sikkerhed.
Så adgangskoden er død, ikke?
Selvom det bestemt er noget at se frem til, regner vi med, at adgangskodens bortgang stadig er langt væk. Der er ingen tvivl i nogensinde om, at teknologien bag WebAuthn er sund, men der er stadig nogle hindringer at overvinde.
For det første er WebAuthn en webstandard, og så fjollet, som det lyder, er ordet "standard" i sin klassiske forstand lidt af et tabu i onlineverdenen. Tag f.eks. Adgangskoder. Vi har brugt dem som vores primære login-mekanisme i ganske lang tid, men selv nu, årtier efter, at de først blev vist, kan vi stadig ikke enes om, hvad der er, og hvad der ikke er et stærkt kodeord. På trods af de samme åbenlyse fordele ser forhandlerne ikke på samme side, når det kommer til, hvor hurtigt WebAuthn skal implementeres.
Googles Chrome var den første browser, der understøttede WebAuthn, men det var først et par måneder senere, at Firefox, et andet stort navn i branchen, implementerede det. Microsoft tog sin søde tid med at integrere WebAuthn i Edge, og Apple eksperimenterer stadig med understøttelsen til Safari. Situationen er ikke meget forskellig i det mobile landskab. I sidste uge meddelte FIDO, at meget snart alle telefoner og tablets, der kører Android 7.0 eller nyere, vil være FIDO-certificeret. WebAuthn er kernen i FIDO2-protokollen, hvilket betyder, at disse enheder effektivt understøtter kodeordløs login. Desværre har vi endnu ikke set nogen oplysninger om, hvornår standarden vil blive integreret i Apples iOS. Og selvom alle leverandører omfavner WebAuthn til deres nyere enheder, kan du ikke ignorere bjergene i ældre systemer, der vil blive efterladt.
Når hardwareleverandører har vedtaget det, skal websteds- og applikationsudviklere naturligvis alle have brug for at implementere det som en login-mekanisme. Med andre ord er det usandsynligt, at WebAuthn snart vil erstatte adgangskoden fuldstændigt. Og indtil det sker, skal du sørge for, at dine konti er så godt beskyttet som muligt.
Brug af et password management applikation som Cyclonis Password Manager er den bedste måde at gøre det på. Med det kan du oprette lange, komplekse adgangskoder uden at bekymre dig om at huske dem. I denne dag og alder er det simpelthen ikke en god ide at stole på, at din hjerne gør det, og det bedste ved at lade Cyclonis Password Manager gøre alt det arbejde for dig er at autofyld- og autologin-funktionerne i browserudvidelsen giver ekstra komfort.
