Hva er passordløse pålogginger? Er de faktisk sikre?

Annonse

Passord er avgjørende for din internettsikkerhet. Men med så mange tjenester, både online og offline, er det vanskelig å holde oversikt over passordene dine. Passordløse påloggingssystemer begynner å ta av og fjerner kravet om å legge inn et passord hver gang du logger inn på en tjeneste.

Men hvis du ikke bruker et passord, hvordan sikrer du kontoen din? Hva er passordløse pålogginger og er de sikre?

Hva er en passordløs pålogging?

Passordløse pålogginger er autentiseringssystemer som bruker alternativer til et passord for å gi tilgang til kontoen din. I stedet for et passord får du for eksempel en e-postvarsling som fungerer som et påloggingsmerke. Alternativt kan det hende du får en pop-up på smarttelefonen din slik at du kan kontrollere tilgangen til en konto.

I det bruker passordløs innlogging ofte en eksisterende form for autentisering for å garantere din identitet.

Du har kanskje allerede møtt passordløse pålogginger ved å bruke Gmail-kontoen din. I stedet for å måtte oppgi passordet ditt hver gang du logger deg på, kan Google sende en ledetekst direkte til telefonen din. Spørsmålet viser tid og sted for påloggingsforsøket, med muligheten til å godkjenne eller avvise påloggingen.

Hvordan fungerer en passordløs pålogging?

Når du logger deg på et nettsted, må du oppgi et passord for å låse opp kontoen din. Passordet er bare kjent for deg og nettstedet, slik at kontoen din er sikker. Du stoler på at nettstedet vil holde passordet ditt trygt, lagre det sikkert, og at nettstedet i seg selv ikke er sårbart.

Du bruker definitivt allerede sterke, unike passord for hvert nettsted og tjeneste, fordi det er den mest sikre fremgangsmåten.

Imidlertid er det sistnevnte som har blitt vanskelig. Å opprette et sterkt passord for engangsbruk for hvert nettsted har sett brukerne lage lett minneverdige, men forferdelige passord. Og selv om du oppretter et sikkert passord, kan et blikk på antall datainnbrudd hver måned undergrave din innsats.

Med passordløs autentisering trenger du ikke stole på nettstedet med et passord. I stedet for å legge inn et passord hver gang, bruker passordløse pålogginger noen få forskjellige autentiseringsmetoder.

E-postbasert passordløs autentisering

Det vanligste passordløse påloggingssystemet er per e-post. Mange brukere vil finne e-postbasert passordløs pålogging som det mest kjente systemet, og fungerer på samme måte som en passord tilbakestilling.

Når du prøver å logge inn, oppgir du en e-postadresse. Tjenesten sender en sikker e-post til adressen som er tilknyttet kontoen, og e-posten inneholder en sikker, engangs magisk kobling for å oppgi tjenestekontoen din. Den magiske koblingen inkluderer et unikt påloggings-token som tjenesten verifiserer, og bytter det for et lenge valideringstoken.

Det er andre varianter på e-postsystemet. For eksempel, i tilfelle av en eksisterende konto, kan tjenesten sende brukeren en engangs DKIM-nøkkelkode bundet til kontoinformasjonen. Brukeren mottar DKIM-koden og oppgir den på nettstedet. Nettstedet verifiserer koden mot eksisterende brukerinformasjon og fullfører påloggingsprosessen.

SMS-basert passordløs pålogging

I dette tilfellet oppgir brukeren et gyldig telefonnummer. Tjenesten sender en engangskode til telefonnummeret. Brukeren kan deretter logge seg på tjenesten. Alternativt tilbyr noen tjenester å "robo-call" brukeren, der en tekst-til-tale-tjeneste vil lese koden direkte.

SMS-sikkerhet er imidlertid under gransking. De aller fleste av oss har lite å bekymre seg for. Men flere individer med høy verdi (spesielt de med store volum cryptocururrency) fikk SMS-hackingangrep. Sjekk nøyaktig hva a sim-bytte angrep er og hvordan du beskytter mot det Hva bytter SIM-kort? 5 tips for å beskytte deg mot denne svindelenMed økningen i mobilkontotilgang og 2FA for sikkerhet er bytte av SIM-kort en økende sikkerhetsrisiko. Slik stopper du det. Les mer .

Biometrisk-basert passordløs pålogging

Noen passordløse påloggingsmetoder bruker biometriske skanningstjenester for å autentisere identiteten din. Biometriske autentiseringstjenester har flere enheter enn noen gang. (Burde du bytt til en biometrisk tjeneste for smarttelefonen din?)

Tanken er at når du vil ha tilgang til et nettsted, vises en ledetekst på smarttelefonen. Du låser opp smarttelefonen ved å bruke ditt foretrukne biometriske system, og låsen fungerer som bekreftelse for identiteten din.

Bortsett fra Apples Face ID (for enheter inkludert og produsert etter iPhone X, iPad Pro tredje generasjon og syvende generasjon iPod Touch), biometrisk skanning av mobile enheter er ikke helt sikre.

Andre produsenter som skanner maskinvare er ikke så avanserte og lures ved hjelp av et fotografi, mens det tar et fullt 3D-trykt og malt hode for å lure Apples Face ID. I andre tilfeller fingeravtrykksskannere tillater delvis gjenkjennelse 5 måter hackere omgir fingeravtrykkskannere (hvordan beskytte deg selv)Tror fingeravtrykksleseren gjør enheten din trygg og sikker? Tenk igjen! Her er 5 måter fingeravtrykkskannere kan hackes. Les mer for å låse opp en enhet.

For øyeblikket er sannsynligvis et biometrisk passordfritt påloggingssystem ikke det beste alternativet. I fremtiden kan det imidlertid bli det beste alternativet.

Fysisk nøkkel Passordløs pålogging

Fysiske sikkerhetsnøkler tilbyr et annet passordfritt innloggingsgodkjenningsalternativ. En fysisk sikkerhetsnøkkel er en spesiell USB-sikkerhetsnøkkel. Når du vil ha tilgang til kontoen din, kobler du sikkerhetsnøkkelen til datamaskinen. Den elektroniske tjenesten validerer kontoen din via sikkerhetsnøkkelen og fjerner behovet for et passord.

De viktigste eksemplene på en fysisk sikkerhetsnøkkel inkluderer Googles Titan-serie og Yubicos Yubikey-serie.

Er passordløse pålogginger som tofaktorautentisering?

Ja og nei.

Ja, en passordløs pålogging ligner tofaktorautentisering (2FA) ved at du får tilgang til kontoen din ved hjelp av en alternativ autentiseringsmetode. 2FA fungerer ved å sikre kontoen din ved å bruke to separate faktorer, vanligvis et passord og en separat enhet.

Nei, det er ikke det samme, selv om du bruker en egen enhet for å autentisere kontoen din, er det fremdeles bare en enkelt faktor.

Er en passordløs pålogging sikrere?

Noe som stopper brukerne med å lage forferdelige passord er bra, ikke sant? Passordløse pålogginger fjerner et annet feil punkt fra sluttbrukeren. For øyeblikket er ikke passordfrie pålogginger ikke utbredt. Flere store tjenester bruker dem, for eksempel Gmail (som nevnt ovenfor) og Slack Magic Links.

Det største positive for eiere og moderatorer av nettsteder er den plutselige mangelen på å måtte forholde seg til brukerpassord. Ukryptert passord som er lagret i en klartekstfil er ting av mareritt; det er ting av drømmer for en hacker. Brukere som sjelden får tilgang til en tjeneste, trenger heller ikke å gå gjennom "tilbakestill passordet" -reguleringshullet.

Passordløse pålogginger kan også hjelpe brukere å logge seg på tjenesten raskt. Motsatt, hvis du regelmessig er logget av tjenesten, kan det å bli autorisert via e-post eller SMS bli irriterende, avhengig av hvor lang tid det er.

Foreløpig bruker du en passordbehandling

Passordløse pålogginger vil ta tid å bli mainstream. Ballen ruller imidlertid. De fleste store nettlesere (alle unntatt Safari) støtter passordløs pålogging av en eller annen art. I februar 2019 kunngjorde Google også at enheter som kjører Android 7 (det er Android Nougat) eller senere, også vil få passordløs påloggingsstøtte.

Det betyr passordløs påloggingsstøtte for nesten 50 prosent av alle Android-enheter. Og passordløse påloggingsstandarder som FIDO2 og WebAuthn vil fortsette å motta oppdateringer, noe som sikrer autentiseringsmetoden ytterligere.

I skrivende stund trenger du fremdeles et passord. Du trenger et sterkt passord for engangsbruk. Med det i tankene, hvorfor ikke vurdere å bruke en passordbehandling De beste passordadministratorene for enhver anledningSliter du med å huske de stadig mer detaljerte passordene dine? Det er på tide å stole på en av disse gratis eller betalte passordbehandlere! Les mer ?