Cyberbrottslingar blir mer sofistikerade för varje dag. Samtidigt skyddar alltför många fortfarande sina konton med "Password123".
Ett centralt område för cyberbrottslighet är säkerhet för användarkonton, som oftast hanteras med en kombination av användarnamn och lösenord. Lägg till oinformerade användare, så får illasinnade aktörer det mycket enklare.
Enkla lösenord.
Återanvända lösenord.
Ingen multifaktorautentisering.
Var och en av punkterna ovan bidrar till problemet.
Lyckligtvis finns det ett nytt säkerhetsverktyg som blir allt mer populärt: passkeys. Passkeys ersätter lösenord och använder biometrisk autentisering, till exempel fingeravtrycksskanning eller ansiktsigenkänning, för att skydda känsliga data med en säkrare process för användarverifiering.
Vad är passkeys?
Passkeys är en säker, kryptografisk metod för att autentisera användare utan lösenord, med bättre säkerhet online, trygghet och enkel användning. När de väl har konfigurerats är passkeys enklare att använda än lösenord och exponentiellt säkrare eftersom deras styrka inte beror på användaren.
Allt fler webbplatser inför den här lösenordslösa tekniken, inklusive många stora teknikföretag som Google, Amazon, Apple och Microsoft.
Läs mer om passkeys i den här detaljerade bloggen:
Passkeys är en form av lösenordslös autentisering som ersätter traditionella lösenord. De kan användas på de flesta operativsystem i en lösenordshanterare och bygger på kryptografi med publik nyckel, som har utvecklats i mer än 10 år. FIDO Alliance grundades 2013 för att förvalta och driva tekniken, säkerställa universella, öppna standarder, och stöds av en lång lista med medlemmar och sponsorer, däribland Bitwarden. Passkeys använder de kryptografiska WebAuthn-protokoll som alliansen har utvecklat och som hyllas som guldstandarden inom säker autentisering.
Hur fungerar passkeys?
I grunden är passkeys utformade för att ersätta lösenord och är ganska enkla tack vare kryptografi med publik nyckel.
När en användare registrerar ett nytt konto på en webbplats eller i en app (som stöder passkeys) blir användaren ombedd att skapa en passkey. När uppmaningen visas skannar du helt enkelt den angivna QR-koden med en telefon för att skapa passkeyn automatiskt.
Den passkeyn består av två nycklar: en publik nyckel och en privat nyckel. Den publika nyckeln lagras på servern och den privata nyckeln lagras på användarens enhet. När användaren har skapat passkeyn uppmanas hen att använda den för att komma åt webbplatsen. Det enda som återstår är att använda biometri med fingeravtryck eller ansikte på en telefon för att logga in.
För att logga in på en webbplats som stöder passkeys skickar webbplatsen en inloggningsutmaning – ett mycket stort slumpmässigt tal – och användarens hemliga nyckel använder kryptografi för att ”signera” utmaningen med ett svar. Webbplatsen kontrollerar signaturen mot sin publika nyckel för att verifiera äktheten. När den har bekräftats kan webbplatsen ge åtkomst till kontot.
Eftersom varje passkey är ett par av två relaterade asymmetriska kryptografiska nycklar, som är mycket långa, slumpmässiga teckensträngar, blir autentiseringsprocessen betydligt säkrare. Även om de två nycklarna skiljer sig från varandra har de en särskild relation: den ena kan dekryptera meddelanden (den privata nyckeln på användarens enhet, vilket stöds av de flesta operativsystem) som har krypterats av den andra (den publika nyckeln på servern). Detta nyckelpar används för att verifiera och autentisera användaren.
Till skillnad från lösenord består nyckelparet av en privat nyckel, som förvaras säkert på enheten eller i en lösenordshanterare som stöder passkeys (även kallad passkey-leverantör), och en publik nyckel, som lagras på webbplatsen som användaren loggar in på. En av de viktigaste sakerna med dessa nyckelpar är att den privata nyckeln är säker och aldrig lämnar operativsystemet där den lagras, och lösenordshanteraren håller den låst med biometri, PIN-kod eller lösenord. Den publika nyckeln kan däremot delas med hela världen, till exempel vid ett dataintrång på en webbplats, utan att säkerheten äventyras så länge den privata nyckeln förblir säker.
Här är en populär analogi som hjälper dig att förstå asymmetriska nyckelpar. Infografiken nedan förklarar stegen för att använda en passkey och dess nyckelpar för att verifiera en användares äkthet vid inloggning på en webbplats.
Tack vare nyckelparet med publik och privat nyckel är passkeys mycket bättre rustade för att förhindra nätfiskeattacker och skydda användarnas integritet.
Passkeys i Bitwarden
Bitwarden Password Manager stöder skapande och lagring av passkeys, vilket gör dem enkla att hantera.
Kom igång redan idag med ett kostnadsfritt konto eller dela med ditt team genom att starta en kostnadsfri provperiod för företag.
För utvecklare erbjuder Bitwarden Passwordless.dev API-ramverk som hjälper dig att bygga identifierbara FIDO-uppgifter, till exempel passkeys.