Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-resurser

Varför passkeys är multifaktorautentisering som står emot nätfiske

När en passkey används kopplas autentiseringen till den legitima webbplatsen och bygger på kryptografiska bevis. Läs mer om säkerheten hos passkeys idag!

Passkeys är en metod för multifaktorautentisering (MFA) som står emot nätfiske och kan användas som en fristående autentiseringsfaktor eller tillsammans med lösenord i hybrida driftsättningar. När en passkey används kopplas autentiseringen till den legitima webbplatsen och bygger på kryptografiska bevis i stället för engångskoder som måste anges eller godkännas manuellt. Den här FAQ:n förklarar varför och hur passkeys är säkrare än SMS-koder, autentiseringsappar och pushnotiser.

Kan passkeys fungera utan lösenord?

Ja. Passkeys kan fungera som en komplett autentiseringslösning i lösenordslösa driftsättningar eftersom de i sig är multifaktorbaserade. De kräver att användaren har enheten och verifierar sig med biometri eller PIN-kod. Organisationer kan också använda passkeys som en extra autentiseringsfaktor tillsammans med lösenord, vilket ger team flexibilitet att välja den metod som passar deras säkerhetspolicyer och användarflöden.

Vad gör passkeys till en multifaktorautentisering som är ”resistent mot nätfiske”?

Passkeys är kryptografiskt säkra och använder avancerad kryptering och matematiska funktioner för att vara omöjliga att gissa och nästan omöjliga att nätfiska, vilket gör dem till en form av multifaktorautentisering som står emot nätfiske. Tre egenskaper definierar den här typen av MFA.

Ursprungsbindning Autentiseraren verifierar webbplatsen eller appen som begär inloggningen och svarar bara när domänen är legitim (se Så fungerar passkeys). Det förhindrar att förväxlingsbara webbplatser utlöser en giltig inloggning.

Utmaning–svar Varje inloggning använder en unik, kortlivad utmaning som genereras av tjänsten. Autentiseraren signerar utmaningen med en privat nyckel. Det finns ingen återanvändbar information som en angripare kan fånga upp och vidarebefordra till den riktiga webbplatsen (reläattack) eller spara för att försöka senare (återspelningsattack).  

Inga delade hemligheter Den privata nyckeln stannar på användarens enhet och överförs aldrig under autentiseringen. Tjänsten/webbplatsen lagrar endast en offentlig nyckel, som inte kan användas för att skapa en giltig inloggning eller utge sig för att vara användaren.

Mer bakgrund om hur autentisering förändras i företag finns i införande av lösenordslös autentisering.

Varför andra metoder är mindre säkra

Passkeys uppfyller alla tre MFA-krav för skydd mot nätfiske. De kopplar autentiseringen till den riktiga domänen, svarar bara på servergenererade utmaningar och exponerar aldrig en delad hemlighet.

Som jämförelse kan vanliga metoder för multifaktorautentisering fångas upp eller vidarebefordras:

  • SMS-koder kan stjälas via skadlig kod, SIM-kapningar eller reläkit i realtid.

  • TOTP-koder i autentiseringsappar är tillfälliga, men kan fortfarande återanvändas under en kort period och samlas in via falska webbplatser.

  • Pushgodkännanden är sårbara för attacker med upprepade aviseringar (även kallat 2FA-bombning), där användare godkänner en begäran på grund av förvirring eller trötthet.

Passkeys uppfyller kriterierna för nätfiskeresistent MFA från NIST, Microsoft och andra stora leverantörer.

Exempel på nätfiskeresistent MFA

Reläkit för multifaktorautentisering i realtid Reläkit skapar en proxy mellan användare och falska inloggningssidor, fångar upp lösenord och engångskoder och vidarebefordrar dem till den riktiga webbplatsen. Passkeys förhindrar den här attacken eftersom det inte finns någon återanvändbar kod och den signerade utmaningen inte kan återanvändas.

Fällor med förväxlingsbara domäner Angripare registrerar domäner som är mycket lika legitima webbplatser och lurar offer att ange inloggningsuppgifter. Ett aktuellt exempel var ”rnicrosoft.com vs. microsoft.com” – observera att r och n liknar ett m. Passkeys svarar inte på ursprung som inte matchar, så den bedrägliga domänen kan inte skapa en giltig autentiseringsbegäran.

Multifaktorautentiseringströtthet och pushbombning Pushbaserad MFA är beroende av mänskligt godkännande. Angripare överöser användare med upprepade aviseringar tills de godkänner en av misstag. Passkeys tar bort den här angreppsvektorn helt eftersom autentiseringsflödet inte innehåller åtgärderna ”godkänn” eller ”neka”.

För insikt i hur ni stärker insynen i autentisering i hela organisationen, läs översikten över Bitwarden Access Intelligence.

Om du utforskar alternativ för inloggning mellan enheter, se Så loggar du in med en annan enhet.

Om du utforskar alternativ för inloggning mellan enheter, se Så loggar du in med en annan enhet.

Få kraftfull, pålitlig lösenordssäkerhet nu. Välj din plan.