Lösenord har varit ett gissel för it-säkerhet nästan så länge nätverkande datorer har funnits. Med framväxten av internet och digitaliseringen av många tjänster har säkring av användarkonton blivit allt viktigare. Kriminella har fått starkare incitament att hacka både enskilda användare och organisationer. Titt som tätt kommer nyheter om något företag som drabbats av utpressningsprogram och/eller läckta data.
Säkerhetsexperter och forskare har länge eftertraktat ett säkrare alternativ till lösenord, som varken förlitar sig på användarnas goda minne eller att varje tjänsts servrar är ogenomträngliga. Nu finns ett sådant alternativ, och hela branschen sjuder av hoppet om att lösenorden till slut kan vara på väg bort.
Problemen med lösenord
PC för Alla har i många år uppmärksammat behovet av säkra lösenord. Tidigare kallade vi det Lösenordsbytardagen men de senaste åren har det blivit uppenbart att det både är opraktiskt och onödigt att byta ut lösenord som redan är säkra, förutom efter ett intrång hos tjänsten i fråga.
För att ett lösenord ska räknas som säkert måste två kriterier vara uppfyllda: Det måste vara unikt (enbart använt för det kontot och ingen annanstans) och det måste vara slumpmässigt valt och så långt att det inte går att gissa sig till. Tack vare lösenordshanterare är det här enkelt att uppnå i teorin, men i praktiken är det få som verkligen håller sig till hundra procent säkra lösenord. Dessutom är konton långt ifrån säkra med enbart ett säkert lösenord.
En av de vanligaste attackerna mot både konsumenter och anställda på företag och myndigheter är phishing. Det är olika knep för att lura användaren att avslöja sitt lösenord, så att hackaren kan ta sig in på kontot för att komma åt uppgifter, kapa det eller göra något annat. Inget lösenord är säkert från phishing.
Återanvändning av lösenord är fortfarande ett extremt vanligt problem. Enligt en rapport från amerikanska mobiloperatören Verizon involverar över 80 procent av intrång svaga eller återanvända lösenord.
De senaste åren har tvåfaktorautentisering eller tvåstegsverifiering blivit vanligt och krävs numera för de flesta konton som hanterar känsliga eller dyrbara data. Genom att kräva bekräftelse via e-post, med en engångskod eller något annat blir sådan inloggning betydligt säkrare och gör phishing svårare – men inte omöjligt.
Kriminella har anpassat sig och använder till exempel social ingenjörskonst för att lura användare att godkänna inloggningar. Sofistikerade falska webbplatser kan dessutom snappa upp både lösenord och engångskod, och trots att varje kod bara håller i 30 sekunder hinner skurkarna komma in på kontot.
Nycklar kan vara lösningen
För att få bukt med alla dessa problem har branschen slutit upp bakom en teknik kallad Web Authentication eller webauthn, i en form som kallas passkeys eller nycklar på svenska. Tekniken utvecklas av Fido Alliance och bygger vidare på samma system som svenska säkerhetsnyckeln Yubikey använder.
1Password
1Password
1Password
Anna Pobletts är chef för lösenordshanteraren 1Passwords satsning på lösenordfri inloggning. Hon säger att nycklar håller på att omvälva landskapet för autentisering på nätet.
– Konsumenter behöver inte längre skapa säkra, unika lösenord, eller använda olika appar och mejlade länkar för att komma åt sina konton. Istället får de en välbekant upplevelse med autentisering med ansiktet eller ett fingeravtryck för att komma åt appar och webbplatser i vardagen.
Nycklar stör också hur cyberbrottslingar verkar, säger Anna Pobletts.
– Chat GPT och andra generativa AI-system utlovar helt nya möjligheter, men de har också allvarliga konsekvenser för it-säkerhet genom att göra det enklare för kriminella att samla in data om företag och konsumenter genom mer riktade och sofistikerade phishing- och credential stuffing-attacker. Som tur är hjälper nycklar i kampen mot detta. Tänk så här: Det är omöjligt för hackare att stjäla lösenord om det inte finns några lösenord att stjäla.
Säkerhetsexperten Karl Emil Nikka säger att nycklar är den första tekniken som faktiskt har en chans att ersätta lösenord, och att det redan har börjat.
– Inloggning med lösennycklar är till råga på allt så säkert att det inte behövs ytterligare tvåfaktorsautentisering, så en övergång till lösennycklar gör inloggningen både säkrare och enklare.
– Det har bara varit några få tillfällen i historien när teknikutvecklingen har balanserat säkerhet och produktivitet, som https på webben och touch-id, och nycklar är nästa sådan utveckling, säger Anna Pobletts.
Ulf Edvinsson (CC BY 2.5)
Ulf Edvinsson (CC BY 2.5)
Ulf Edvinsson (CC BY 2.5)
Något du har och något du är
Men vad är nycklar egentligen, hur fungerar det och varför är det så säkert? Jag tar hjälp av Karl Emil Nikka för att förklara tekniken.
Nycklar använder asymmetrisk kryptering för att göra autentisering både säkert och motståndskraftigt mot de flesta former av attacker som utförs mot traditionella system med lösenord. När du skapar ett nytt konto med nyckel eller lägger till nyckel som inloggningsmetod på ett existerande konto genererar din nyckelhanterare ett så kallat nyckelpar.
Den ena nyckeln, som kallas publik, skickas till servern. Den är ingen hemlighet utan används av tjänsten för att bekräfta att du är du. Den andra nyckeln, som kallas privat, är hemlig och skickas aldrig till den du loggar in hos (men kan synkroniseras till dina andra enheter, men då alltid i krypterat format, påpekar Karl Emil Nikka).
När du loggar in på kontot kommunicerar din enhet och servern med hjälp av de två nycklarna på ett sätt som innebär att servern kan vara säker på att du är behörig, utan att några hemligheter avslöjas. Det fungerar på ett liknande sätt som krypteringen av trafiken mellan webbläsare och webbserver, men istället för att skapa en säker tunnel för kommunikation är målet autentisering.
Det här är i grunden säkrare än lösenord och tvåfaktorautentisering av flera orsaker:
1. När du skapar nyckeln kopplas den till sajten i fråga, och kan enbart användas med den. Nycklar är därmed helt motståndskraftiga mot phishingförsök. Det går helt enkelt inte att använda en nyckel skapad för till exempel microsoft.com på microsoft.com.ingetkonstigt.nu.
2. Inga hemligheter skickas mellan dig och servern. Din enhet och servern använder respektive nyckel i det asymmetriska nyckelparet på ett sätt som innebär att någon som har tillgång till all kommunikation varken kan härma dig eller få reda på din hemliga nyckel. Det här innebär att servrar inte heller behöver vaka över lagrade lösenord, och att en hackad server inte kan leda till att användares inloggningsuppgifter läcker.
3. Du kan logga in på andra enheter utan att avslöja några hemligheter, genom att autentisera inloggningen på din egen mobil. Det här gör det mycket säkrare att till exempel logga in på en delad dator, eftersom du inte riskerar att få lösenordet stulet av en keylogger.
Foundry
Foundry
Foundry
Fortfarande ganska ovanligt
Apple, Google och Microsoft har alla byggt in stöd för nycklar både i sina operativsystem – så att användare kan skapa och logga in med nycklar utan att behöva installera några tredjepartsprogram – och för konton hos respektive företag. Andra stora företag som har hakat på är bland annat Adobe, Amazon, Ebay, Github, Paypal, Sony, Tiktok, Uber, Visma, X och Yahoo. Av de 100 största varumärkena i världen har 11 stöd för nyckelinloggning.
Än så länge räknas antalet större webbplatser som har lagt till stöd i hundratal, men Karl Emil Nikka är optimistisk:
– Vi kommer aldrig att bli av med lösenord helt och hållet, men när det kommer till de stora webbplatserna är det bara en tidsfråga innan alla stödjer nyckelinloggning.
1Password driver webbplatsen passkeys.directory där användare själva kan rapportera in nya webbplatser och appar som stödjer nycklar. Här finns även en omröstning om vilka sajter/tjänster användarna helst skulle se anamma tekniken. I skrivande stund har Steam flest röster, följt av Netflix och Disney Plus.
Vanliga frågor om nycklar
Hur kan jag logga in på ett konto som skyddas av nyckel om jag sitter vid någon annans dator, till exempel på biblioteket eller hos en vän?
Anna Pobletts säger att en av de stora fördelarna med nycklar är att de är portabla och designade att fungera mellan olika enheter. På en webbplats som stödjer inloggning med nyckel kan webbläsaren visa en qr-kod som du skannar med din mobil för att autentisera och godkänna inloggningen. Det fungerar oavsett om du använder mobiltillverkarens inbyggda nyckelhantering eller en lösenordshanterare som 1Password.
Hur kan jag komma in på konton som skyddas av nycklar om jag förlorar alla enheter där nyckeln är lagrad?
Olika tillverkare av nyckelhantering, som Apple, Google och Microsoft, har olika system för återställning men alla har något sätt att återfå tillgången till ett konto och de nycklar som synkas med kontot.
Vanligare är att förlora bara en enhet (åt gången). Så länge du använder en tjänst som synkar nycklar mellan dina olika enheter kan du fortsätta logga in med en av dessa, och återställa tillgången på en ny enhet du skaffar som ersättning.
Foundry
Foundry
Foundry
Vad är skillnaden mellan att använda systemets inbyggda nyckelhantering och en lösenordshanterare?
Android, IOS, Mac OS och Windows har alla inbyggt stöd för att skapa och logga in med nycklar. Apples och Googles konton kan även synka nycklar mellan dina olika enheter, något Microsoft fortfarande jobbar på. Men varken Apple eller Google gör det enkelt att synka och använda nycklar för den som blandar ekosystemen.
– Jag rekommenderar alla att istället välja en välutvecklad nyckelhanterare som fungerar överallt, till exempel Bitwarden, Proton Pass eller 1Password, säger Karl Emil Nikka.
Bank ID
Bank ID
Bank ID
Hur står sig nycklar mot Bank-ID och vad är skillnaderna?
Karl Emil Nikka säger att båda är säkra inloggningsmetoder, men att nycklar har en stor fördel i att tekniken är öppen och inte blandar in någon tredje part.
– För att en webbplats ska kunna erbjuda Bank-ID-inloggning behöver webbplatsen ett avtal med storbankernas samägda bolag Finansiell ID-Teknik, som för övrigt tar betalt per inloggning. Lösennycklar ger alla webbplatser en nätfiskeresistent inloggningsmetod som är säker i sig.
Samtidigt påpekar Karl Emil Nikka att Bank ID även används för legitimering, vilket nycklar inte kan.