World Wide Web Consortium og Fido Alliance kunngjør WebAuthn: Hva betyr det?

Vanligvis blir du ikke presentert for så mange alternativer når du oppretter en ny online-konto. Du må åpenbart lage et passord, og for de fleste betyr det at du går ned en av to ruter - et enkelt, lett å huske og/eller gjenbrukt passord som setter deres kontoer i fare; eller et langt, vanskelig å gjette passord, det er en plage å skrive og en vond å huske. Det må være en selvfølge at begge alternativene ikke akkurat er ideelle. Så er det noe som kan endre måten ting er for øyeblikket? Det er det, og det kan faktisk gå et sted.

WebAuthn - det passordløse alternativet

WebAuthn, forkortelse for nettgodkjenning, er en ikke-proprietær standard som letter kommunikasjonen mellom nettsteder og et sikkerhetsenhet. To online konsortier, World Wide Web Consortium (WC3) og FIDO Alliance, har jobbet med det de siste årene, men konseptet kan spore sine røtter tilbake til FIDO Alliansens API for Universal Authentication Factor (UAF) fra 2014.

Målet med både WebAuthn og UAF er å tilby en ny, sikker måte å logge på online kontoer uten å måtte huske eller oppgi passord. Av en rekke kompliserte årsaker klarte ikke UAF å gjøre inntrykk i hverdagen vår, men det ser ut til at WebAuthn bare kan være annerledes.

Mandag kunngjorde WC3 og FIDO at WebAuthn nå er en offisiell nettstandard. Enkelt sagt betyr dette at ekspertene er trygge nok til å begynne å råde web- og apputviklere til å implementere det i produktene sine. For å forstå hvordan alt dette kommer til å påvirke oss alle, må vi se nærmere på hvordan WebAuthn fungerer.

Hvordan fungerer WebAuthn?

Fra brukerens perspektiv er ting ganske greit. Ideen er, i stedet for å oppgi et brukernavn og et passord, bruker du enten de biometriske autentiseringsmekanismene på datamaskinen eller smarttelefonen, eller bruker du et maskinvaretoken som kan bæres på en nøkkelring og fungerer med USB, NFC, Bluetooth eller en lignende kommunikasjonsprotokoll. Det er ingen påloggingsinformasjon, noe som høres ut som et tiltalende konsept. Men hva med sikkerhetsaspektet?

Mens prosessen er enkel å se, bak kulissene, er en WebAuthn-pålogging en ganske komplisert operasjon. Det hele er basert på offentlig nøkkel (også kjent som asymmetrisk) kryptografi, noe som betyr at to nøkler er involvert - en offentlig og en privat. Hver enkelt av kontoene dine får et par kryptografiske nøkler som datamaskin- eller maskinvaretokenet ditt genererer ved registrering. Den offentlige nøkkelen blir sendt til tjenesteleverandøren, og den private er lagret på enheten din. Når du prøver å logge på, sender tjenesteleverandøren en utfordring som enheten signerer og krypterer med din private nøkkel. Den eneste måten å dekryptere utfordringen og se signaturen er med den offentlige nøkkelen, som er hvordan tjenesteleverandøren vet at du er den du sier du er.

Det er mer enn noen få sikkerhetsfordeler med denne ordningen. Først av alt, pålogging krever to nøkler som er lagret på to forskjellige steder. Selv om kjeltringene på en eller annen måte klarer å stjele eller avskjære den offentlige nøkkelen din, har de ingen måte å logge på uten den private som, som du kanskje husker, aldri forlater enheten din.

I motsetning til passord, kan ikke kryptografiske nøkler gjettes utstoppet, gjenbruk eller phished. Med andre ord, de fleste av angrepene som tradisjonelt fungerer med passord, er ikke effektive mot en WebAuthn-ordning.

Den nye nettstandarden er bemerkelsesverdig fordi den er et av få eksempler på en teknologisk innovasjon som ikke bare forbedrer brukervennligheten, men også gir bedre sikkerhet.

Så passordet er dødt, da, ikke sant?

Selv om det absolutt er noe å se frem til, regner vi med at bortgangen av passordet fremdeles er langt unna. Det er liten tvil i noens sinn om at teknologien bak WebAuthn er sunn, men det er fremdeles noen hindringer å overvinne.

For en er WebAuthn en nettstandard, og så dumt som det høres ut er ordet "standard" i sin klassiske forstand litt av et tabu i online verden. Ta for eksempel passord. Vi har brukt dem som vår primære påloggingsmekanisme på ganske lenge, men selv nå, tiår etter at de først ble vist, kan vi fremdeles ikke være enige om hva som er og hva som ikke er et sterkt passord. Til tross for de åpenbare fordelene ser ikke produsentene ut på samme måte, tilsynelatende at de ikke er på samme side når det gjelder hvor raskt WebAuthn bør implementeres.

Googles Chrome var den første nettleseren som støttet WebAuthn, men det var ikke før noen måneder senere at Firefox, et annet stort navn i bransjen, implementerte det. Microsoft tok seg god tid med å integrere WebAuthn i Edge, og Apple eksperimenterer fortsatt med støtten til Safari. Situasjonen er ikke mye annerledes i det mobile landskapet. I forrige uke kunngjorde FIDO at alle telefoner og nettbrett som kjører Android 7.0 eller nyere, snart vil bli FIDO-sertifisert. WebAuthn er kjernen i FIDO2-protokollen, noe som betyr at disse enhetene effektivt vil støtte passordløs pålogging. Dessverre har vi ennå ikke sett noen informasjon om når standarden vil bli integrert i Apples iOS. Og selv om alle leverandører omfavner WebAuthn for sine nyere enheter, kan du ikke se bort fra fjellene i gamle systemer som blir igjen.

Etter at maskinvareleverandører har vedtatt det, vil selvfølgelig nettsted- og applikasjonsutviklere alle trenge å implementere det som en påloggingsmekanisme. Med andre ord er det usannsynlig at WebAuthn snart erstatter passordet snart. Og til det gjør det, må du sørge for at kontoene dine er så godt beskyttet som mulig.

Å bruke et passordhåndteringsprogram som Cyclonis Password Manager er den beste måten å gjøre det på. Med det kan du lage lange, komplekse passord uten å bekymre deg for å huske dem. I dag og dag er det ganske enkelt ikke en god ide å stole på at hjernen din gjør det, og det beste med å la Cyclonis Password Manager gjøre alt arbeidet for deg er at autofyll- og autologin-funksjonene i nettleserutvidelsen gir ekstra bekvemmelighet.