Den 5. maj – World Password Day – er vi måske kommet et skridt tættere på, at adgangskoder hører fortiden til.
I en fælles indsats har tech giganterne Apple, Google og Microsoft annoncerede torsdag morgen, at de har forpligtet sig til at opbygge support til adgangskodefri login på tværs af alle de mobil-, desktop- og browserplatforme, som de kontrollerer i det kommende år. Effektivt betyder det, at autentificering uden adgangskode vil komme til alle større enhedsplatforme i en ikke alt for fjern fremtid: Android- og iOS-mobiloperativsystemer; Chrome, Edge og Safari browsere; og Windows- og macOS-skrivebordsmiljøerne.
“Ligesom vi designer vores produkter til at være intuitive og dygtige, designer vi dem også til at være private og sikre,” sagde Kurt Knight, seniordirektør for platformsproduktmarketing hos Apple. “At arbejde med industrien om at etablere nye, mere sikre login-metoder, der tilbyder bedre beskyttelse og eliminerer sårbarhederne ved adgangskoder er centralt for vores forpligtelse til at bygge produkter, der tilbyder maksimal sikkerhed og en gennemsigtig brugeroplevelse – alt sammen med det mål at fastholde brugerne “Personlige oplysninger sikre.”
/cdn.vox):no_upscale.com /uploads/chorus_asset/file/23439675/FIDO_alliance_passwordless.jpeg "Apple, Google og Microsoft vil snart implementer login uden adgangskode på alle større platforme")
En repræsentation af logon uden adgangskode: FIDO Alliance En adgangskodefri login-proces vil lade brugerne vælge deres telefoner som den vigtigste godkendelsesenhed for apps, websteder og andre digitale tjenester, som Google detaljerede i et blogindlæg offentliggjort torsdag. Oplåsning af telefonen med det, der er indstillet som standardhandlingen – indtastning af en PIN-kode, tegning af et mønster eller brug af fingeraftrykslåsning – vil så være nok til at logge ind på webtjenester uden at skulle indtaste en adgangskode, gjort muligt ved brug af et unikt kryptografisk token kaldet en adgangsnøgle, der deles mellem telefonen og webstedet.
Ved at gøre login betinget af en fysisk enhed, er det tanken, at brugerne samtidig vil drage fordel af enkelhed og sikkerhed. Uden en adgangskode vil der ikke være nogen forpligtelse til at huske loginoplysninger på tværs af tjenester eller kompromittere sikkerheden ved at genbruge den samme adgangskode flere steder. Ligeledes vil et system uden adgangskode gøre det meget sværere for hackere at kompromittere loginoplysninger eksternt, da login kræver adgang til en fysisk enhed; og teoretisk set vil phishing-angreb, hvor brugere bliver dirigeret til et falsk websted for adgangskodefangst, være meget sværere at montere.
Vasu Jakkal, Microsofts vicepræsident for sikkerhed, overholdelse, identitet og privatliv, understregede graden af kompatibilitet på tværs af platforme. “Med adgangsnøgler på din mobilenhed kan du logge ind på en app eller tjeneste på næsten enhver enhed, uanset hvilken platform eller browser enheden kører,” sagde Jakkal i en e-mail. “Brugere kan f.eks. logge ind på en Google Chrome-browser, der kører på Microsoft Windows – ved hjælp af en adgangsnøgle på en Apple-enhed.”
Brugere vil samtidig drage fordel af enkelhed og sikkerhed
Funktionaliteten på tværs af platforme er muliggjort af en standard kaldet FIDO, som bruger principperne for offentlig nøglekryptering til at muliggøre adgangskodefri godkendelse og multifaktorautentificering i en række sammenhænge. En brugers telefon kan gemme en unik FIDO-kompatibel adgangsnøgle og vil kun dele den med et websted til godkendelse, når telefonen er låst op. Ifølge Googles indlæg kan adgangsnøgler også nemt synkroniseres til en ny enhed fra cloud backup i tilfælde af, at en telefon går tabt.
Selvom mange populære applikationer allerede inkluderede understøttelse af FIDO-godkendelse, indledende log-on har krævet brug af en adgangskode, før FIDO kan konfigureres – hvilket betyder, at brugere stadig var sårbare over for phishing-angreb, der ser adgangskoder opsnappet eller stjålet undervejs.
Men de nye procedurer vil gøre op med det oprindelige krav om en adgangskode, som Sampath Srinivas, produktstyringsdirektør for sikker autentificering hos Google og præsident for FIDO Alliance, sagde i en e-mail-erklæring sendt til The Verge.
“Denne udvidede FIDO-understøttelse, der bliver annonceret i dag, vil gøre det muligt for websteder at implementere, for første gang, en ende-til-ende adgangskodeløs oplevelse med phishing-resistent sikkerhed,” sagde Srinivas. “Dette inkluderer både det første login på et websted og gentagne logins. Når adgangsnøglesupport bliver tilgængelig på tværs af branchen i 2022 og 2023, har vi endelig internetplatformen for en virkelig adgangskodeløs fremtid.”
Hidtil har Apple, Google og Microsoft alle sagde, at de forventer, at de nye log-in-funktioner bliver tilgængelige på tværs af platforme i løbet af det næste år, selvom en mere specifik køreplan ikke er blevet annonceret. Selvom planen om at dræbe adgangskoden har været undervejs i årevis, er der tegn på, at det denne gang måske endelig er lykkedes.