For øyeblikket er det én primær måte vi sikrer nettilgang på: brukernavn og passord. Men selv om vi lager et langt, komplisert og komplekst passord, er det fortsatt én nøkkelsvakhet i dette sikkerhetsoppsettet – brukeren.
Millioner har allerede vært ofre for phishing-nettsteder, sosial teknikk og andre former for angrep som kompromitterer passord. Det er derfor Apple ønsker å fjerne passordet og erstatte det med passord.
Så hvordan løser Apple-nøkler passordproblemet?
Hva er standarden for webautentisering (WebAuthn)?
Denne standarden er utgitt av World Wide Web Consortium (W3C), en organisasjon dedikert til å bygge protokoller og retningslinjer for langsiktig webutvikling. Ved å utvikle denne nye autentiseringsteknologien håper gruppen å redusere vår avhengighet av passord som den primære eller eneste måten å beskytte dataene våre på.
Apple er også medlem av W3C, og de inkorporerer WebAuthn-standarden i Apple-passnøkler. Denne funksjonen fungerer også med iCloud nøkkelring, så folk som allerede bruker denne tjenesten trenger ikke å migrere systemet sitt.
Ved å implementere WebAuthn API sikrer webutviklere og enhetsprodusenter en autentisering som fungerer på tvers av forskjellige systemer. Så, enten du bruker Android, iOS, Mac eller Windows, bør dette passordløse systemet fungere.
Hvordan holder Apple-nøkler deg trygg?
De fleste av oss har stolt på brukernavn og passord på et tidspunkt. Det gjør du sannsynligvis fortsatt akkurat nå. Men passord kan enkelt hackes, spesielt hvis brukeren ikke har et sikkert passord eller hvis de er et offer for sosial ingeniørkunst.
Den tradisjonelle kombinasjonen av brukernavn og passord betyr også at denne informasjonen lagres på nettet. Så hvis tjenesten du bruker, som for eksempel Twitch, blir hacket, kompromitterer angrepet dataene og mer. Hvis du gjenbruker brukernavnet og passordet ditt, noe mange gjør, men vi fraråder, er dine andre kontoer også i faresonen.
Tofaktorautentisering (2FA) ble utviklet for å løse dette problemet. Ved å legge til et ekstra lag med sikkerhet, hjelper brukere med å forhindre uautorisert tilgang til kontoene deres.
Selv om denne teknologien har økt sikkerheten dramatisk, spesielt mot brute force-angrep, er mange brukere fortsatt utsatt for sosiale ingeniørangrep. Og selv om teknologikyndige brukere lett kan oppdage angrep, kan de som ikke er så kjente se tegn på angrep som phishing-svindel.
Apple-nøkler tar sikte på å løse dette problemet ved å fjerne passordet helt. Når du logger inn på en nettjeneste, trenger du ikke lenger å skrive inn brukernavn og passord. I stedet trenger du bare å bruke enhetens biometriske sikkerhetsfunksjoner, som FaceID eller TouchID.
Tjenesten er heller ikke bare begrenset innenfor Apple-enheten din. Du kan bruke adgangsnøkler på din Windows-PC eller Android-nettbrett. Så lenge du går inn på et nettsted som implementerer WebAuthn API, kan du bruke Apple-enhetens biometriske funksjoner for å logge på kontoen din, selv om du har tilgang til den i en gadget som ikke er fra Apple. Det er som å bruke Apple-enheten din som en universalnøkkel som kan åpne enhver digital dør.
Hvordan fungerer Apple-nøkler?
I stedet for å holde brukernavn og passord sammen på nettet, Apple-passnøkler bruke asymmetrisk kryptering. I følge Apples sikkerhetsstøtteside for passordnøkler:
Under kontoregistrering oppretter operativsystemet et unikt kryptografisk nøkkelpar som kan knyttes til en konto for appen eller nettstedet. Disse nøklene genereres av enheten, sikkert og unikt, for hver konto.
En av disse nøklene er offentlig, og lagres på serveren. Denne offentlige nøkkelen er ikke en hemmelighet. Den andre nøkkelen er privat, og er det som trengs for å logge på. Serveren lærer aldri hva den private nøkkelen er. På Apple-enheter med Touch ID eller Face ID tilgjengelig, kan de brukes til å autorisere bruk av passordet, som deretter autentiserer brukeren til appen eller nettstedet. Ingen delt hemmelighet blir overført, og serveren trenger ikke å beskytte den offentlige nøkkelen.
Når du bruker et brukernavn og passord, holder serveren låsen (ditt brukernavn) og nøkkelen (passordet ditt). For å åpne låsen viser du serveren at du har en lignende nøkkel, og den åpner døren for deg.
Men med Apple-nøkler vil serveren aldri holde nøkkelen. I stedet gir den deg låsen, og du låser den opp selv. Og siden serveren bare vil gi deg låsen hvis den fysisk har den (dvs. dataene dine er faktisk lagret på serveren), vil phishing-hack bli ineffektive fordi de ikke har låsen (dvs. de kan ikke be om nøkkelen, fordi Apple-passnøkler vil bare frigi den hvis de leverer en gyldig låse).
Med dette systemet er det bare den gyldige enheten som kan be om en adgangsnøkkel, noe som sikrer at det er mindre sannsynlighet for at brukere blir ofre for phishing-svindel og andre sosiale ingeniørangrep. Det er også mye mer praktisk siden brukere ikke lenger trenger å huske en myriade av påloggingsinformasjon. Alt de trenger er å være logget på deres 2FA-beskyttede Apple ID.
Et annet eksempel på et passordløst system
Selv om Apple kan være den første som effektivt er bakt inn i et smarttelefon-OS, er det ikke det første selskapet som implementerer passordløse systemer. Hvis du har en Microsoft-konto, har du sannsynligvis støtt på denne teknologien.
Hvis du har satt opp passordløse pålogginger med Microsoft-kontoen din, kan du logge på den ved å bruke Microsoft Authenticator-appen – ingen brukernavn og passord er nødvendig. Selv om den først og fremst er tilgjengelig i Microsoft Edge-nettleseren, kan du også bruke Windows Hello eller en sikkerhet for å bruke Microsoft Authenticator-appen til å logge på Microsoft-kontoen din i andre nettlesere som Google Chrome.
Si farvel til passord?
Selv om brukernavn og passord har beskyttet brukere i over 60 år, kan de være det nærmer seg slutten av livet takk for bedre sikkerhetssystemer andre steder, som er enklere å bruke også. Etter hvert som vi registrerer oss for flere og flere tjenester, kan ideen om å huske titalls, om ikke hundrevis, av brukernavn-passord-kombinasjoner være skremmende.
Hackere blir også mer sofistikerte, slik at de kan kompromittere data selv med forbedret sikkerhet. Og selv om multifaktorautentisering har økt sikkerheten til tradisjonell påloggingsinformasjon noe, etterlater det fortsatt brukeren som en betydelig sårbarhet.
Med passord kan vi gå videre fra brukernavn og passord til en sikrere fremtid. Og etter hvert som nye teknologier som kvantedatabehandling blir utviklet og lansert på markedet, risikerer den tradisjonelle kombinasjonen av brukernavn og passord å bli foreldet over natten.
