World Wide Web Consortium och Fido Alliance meddelar WebAuthn: Vad betyder det?
Vanligtvis får du inte så många alternativ när du skapar ett nytt onlinekonto. Du måste uppenbarligen skapa ett lösenord, och för de flesta betyder det att man går ner på en av två rutter - ett enkelt, lätt att komma ihåg och/eller återanvända lösenord som sätter deras konton i riskzonen; eller ett långt lösenord som är svårt att gissa, det är en olägenhet att skriva och en smärta att komma ihåg. Det borde självklart att båda alternativen inte är exakt ideala. Så finns det någonting som kan förändra hur saker är för tillfället? Det finns det, och det kanske faktiskt går någonstans.
WebAuthn - det lösenordlösa alternativet
WebAuthn, förkortning för webbautentisering, är en icke-proprietär standard som underlättar kommunikationen mellan webbplatser och en säkerhetsenhet. Två onlinekonsortier, World Wide Web Consortium (WC3) och FIDO Alliance, har arbetat med det under de senaste åren, men konceptet kan spåra sina rötter tillbaka till FIDO Alliansens API för Universal Authentication Factor (UAF) från 2014.
Målet för både WebAuthn och UAF är att tillhandahålla ett nytt, säkert sätt att logga in på onlinekonton utan att behöva komma ihåg eller ange några lösenord. Av olika komplicerade skäl lyckades UAF inte göra intryck på våra vardagsliv, men det verkar som om WebAuthn bara kan vara annorlunda.
På måndagen den WC3 och FIDO meddelade att WebAuthn är nu en officiell web standard. Enkelt uttryckt betyder detta att experterna är tillräckligt säkra för att börja råda webb- och apputvecklare att implementera det i sina produkter. För att förstå hur allt detta kommer att påverka oss alla måste vi ta en titt på hur WebAuthn fungerar.
Hur fungerar WebAuthn?
Ur användarens perspektiv är saker ganska enkla. Tanken är att istället för att ange ett användarnamn och ett lösenord använder du antingen de biometriska autentiseringsmekanismerna på din dator eller smartphone, eller så använder du ett hårdvarttoken som kan bäras på en nyckelring och fungerar med USB, NFC, Bluetooth eller ett liknande kommunikationsprotokoll. Det finns inga inloggningsuppgifter alls, vilket låter som ett tilltalande koncept. Men hur är det med säkerhetsaspekten?
Även om processen är enkel, bakom kulisserna, är en WebAuthn-inloggning en ganska komplicerad operation. Allt är baserat på offentlig nyckel (även känd som asymmetrisk) kryptografi, vilket innebär att två nycklar är inblandade - en offentlig och en privat. Varje enskilt av dina konton får ett par kryptografiska nycklar som din dator- eller hårdvarutoken skapar vid registrering. Den offentliga nyckeln skickas till tjänsteleverantören och den privata nyckeln lagras på din enhet. När du försöker logga in skickar tjänsteleverantören en utmaning som din enhet signerar och krypterar med din privata nyckel. Det enda sättet att dekryptera utmaningen och se signaturen är med din offentliga nyckel, vilket är hur tjänsteleverantören vet att du är den du säger att du är.
Det finns mer än ett fåtal säkerhetsfördelar med detta schema. Först och främst kräver inloggning två nycklar lagrade på två olika platser. Även om skurkarna på något sätt lyckas stjäla eller avlyssna din offentliga nyckel, har de inget sätt att logga in utan den privata som, som du kanske kommer ihåg, aldrig lämnar din enhet.
Till skillnad från lösenord kan kryptografiska nycklar inte gissas fyllda, återanvända eller phished. Med andra ord, de flesta attacker som traditionellt fungerar på lösenord är inte effektiva mot ett WebAuthn-schema.
Den nya webbstandarden är anmärkningsvärd eftersom den är ett av få exempel på en teknologisk innovation som inte bara förbättrar användbarheten utan också ger bättre säkerhet.
Så lösenordet är dött, då, eller hur?
Även om det verkligen är något att se fram emot, tror vi att lösenordets bortgång fortfarande är långt borta. Det råder liten tvekan i någons sinne att tekniken bakom WebAuthn är sund, men det finns fortfarande några hinder att övervinna.
För det första är WebAuthn en webbstandard, och lika dumt som det låter är ordet "standard" i sin klassiska betydelse lite av ett tabu i onlinevärlden. Ta till exempel lösenord. Vi har använt dem som vår primära inloggningsmekanism under ganska länge, men till och med nu, decennier efter att de först dök upp, kan vi fortfarande inte enas om vad som är och vad som inte är ett starkt lösenord. På stort sett samma sätt, trots de uppenbara fördelarna, verkar leverantörerna inte vara på samma sida när det gäller hur snabbt WebAuthn ska implementeras.
Googles Chrome var den första webbläsaren som stödde WebAuthn, men det var inte förrän några månader senare som Firefox, ett annat stort namn i branschen, implementerade det. Microsoft tog sin lilla tid att integrera WebAuthn i Edge, och Apple experimenterar fortfarande med stödet för Safari. Situationen är inte mycket annorlunda i det mobila landskapet. Förra veckan meddelade FIDO att alla telefoner och surfplattor som kör Android 7.0 eller högre snart kommer att vara FIDO-certifierade. WebAuthn är kärnan i FIDO2-protokollet vilket innebär att dessa enheter effektivt kommer att stödja lösenordsfri inloggning. Tyvärr har vi ännu inte sett någon information om när standarden kommer att integreras i Apples iOS. Och även om alla leverantörer omfattar WebAuthn för sina nyare enheter, kan du inte ignorera bergen i gamla system som kommer att finnas kvar.
Naturligtvis efter att hårdvaruförsäljare har antagit det kommer webb- och applikationsutvecklare alla att behöva implementera det som en inloggningsmekanism. Med andra ord är det osannolikt att WebAuthn snart kommer att ersätta lösenordet snart. Och tills det gör det måste du se till att dina konton är så väl skyddade som möjligt.
Att använda ett lösenordshanteringsprogram som Cyclonis Password Manager är det bästa sättet att göra det. Med det kan du skapa långa, komplexa lösenord utan att oroa dig för att komma ihåg dem. I denna dag och ålder, att förlita sig på din hjärna att göra detta är helt enkelt inte en bra idé, och det bästa med att låta Cyclonis Password Manager göra allt jobbet för dig är att autofyllnings- och autologinfunktionerna i webbläsarförlängningen ger ytterligare bekvämlighet.
