En lösenordsfri framtid: en heltäckande FAQ om passkeys

Vad är en passkey och hur fungerar den?

Passkeys är en form av autentisering som gör att du snabbt kan skapa och logga in på konton – utan att behöva använda ett mindre säkert lösenord. Den här säkra inloggningsmetoden i ett enda steg ersätter traditionella autentiseringsmetoder, liksom processen för tvåfaktorsautentisering (2FA). Ännu bättre är att du med passkeys aldrig mer skapar ett svagt lösenord, eftersom du aldrig mer behöver skapa ett lösenord.

Ersätter passkeys fysiska hårdvarunycklar, som Yubikeys?

En modern Yubikey kan användas som en form av passkey. Mer specifikt är de det som kallas en säkerhetsnyckel eller ”enhetsbunden passkey” – där själva nyckeln finns på den lilla enheten och aldrig synkroniseras eller säkerhetskopieras. Det kan göra dem svårare att använda än en synkroniserad passkey, men de kan vara användbara i vissa situationer.

Är passkeys samma sak som lösenordsfritt?

Ja. Eftersom passkeys inte kräver ett lösenord räknas de som en lösenordsfri autentiseringsmetod. Observera att passkeys i allmänhet är säkrare än andra former av lösenordsfri autentisering som lättare kan nätfiskas.

Vilket är det bästa sättet att använda passkeys?

Att använda en passkey är mycket enklare än du kanske tror. När du registrerar ett nytt konto skapar du en enda passkey i stället för att skapa ett traditionellt användarnamn och lösenord (och dessutom registrera tvåstegsinloggning). Denna passkey kan kopplas till biometrin på din enhet (till exempel en fingeravtrycksläsare) eller en PIN-kod om passkeyn kräver användarverifiering. När du sedan ska logga in på kontot behöver du bara autentisera dig med biometri eller PIN-kod för att få åtkomst. Biometrin används endast lokalt på din enhet och skickas aldrig till webbplatsen.

Hur går det till att konfigurera en passkey? Hur ändras processen när jag besöker en webbplats eller app i framtiden?

När en webbplats eller app som tidigare använde ett traditionellt användarnamn/lösenord aktiverar stöd för passkeys räcker det ofta med ett knapptryck för att skapa din första passkey. Processen är lika enkel som att låsa upp din enhet. I bakgrunden genereras ett par kryptografiska nycklar när du skapar en passkey. Den första är den offentliga nyckeln, som lagras på webbplatsen där du skapar kontot. Den andra är den privata nyckeln, som lagras på din enhet eller i ditt Bitwarden-valv. Detta nyckelpar skyddas på din enhet av ditt biometriska fingeravtryck eller din ansiktsskanning.

Vilken information krävs när man konfigurerar en passkey?

När du skapar en passkey för en webbplats måste du först logga in med ditt befintliga användarnamn och lösenord. Servern skickar sedan en begäran till din webbläsare om att tillhandahålla specifik krypteringsinformation. Därefter måste du godkänna begäran med till exempel biometri (fingeravtrycksläsare eller ansiktsupplåsning) eller enhetens PIN-kod. När verifieringen har lyckats genererar din enhet nyckelparet och skickar den offentliga nyckeln till webbplatsen. Och det är all information du behöver lämna när du konfigurerar en passkey.

Var lagras mina passkeys?

Den offentliga nyckeln lagras på webbplatsen och den privata nyckeln lagras på din enhet eller hos din passkey-leverantör, till exempel i ditt Bitwarden-valv.

Ur ett säkerhetsperspektiv, hur står sig lösenord och passkeys mot varandra?

Lösenordsnycklar är säkrare än den traditionella autentiseringsmetoden med användarnamn och lösenord av flera skäl. Först och främst kan du inte använda lättknäckta lösenord, som ”lösenord”. Dessutom är 2FA inbyggt i lösenordsnyckeln, och det enda sättet för någon att komma åt ditt konto vore att ha både den privata nyckeln och din biometriska inloggning eller enhetens pinkod.

Behöver jag 2FA med min lösenordsnyckel?

Nej, eftersom 2FA är inbyggt i lösenordsnyckeln som tillhandahålls till webbplatsen under inloggningsprocessen. Varje webbplats kan dock välja att lägga till ett extra steg för inloggning, men de flesta gör det inte.

Kan min lösenordsnyckel hackas?

Ingenting är 100 % idiotsäkert. Att hacka en lösenordsnyckel skulle dock kräva avsevärda ansträngningar för att inte bara få åtkomst till enheten där den privata nyckeln lagras, utan även ta sig in i din enhet, t.ex. genom att återskapa din biometriska inloggning (fingeravtryck eller ansikte) eller enhetens pinkod. Därför är lösenordsnycklar mycket säkrare än traditionella metoder.

Vad händer om jag tappar bort min telefon? Hur återställer jag min lösenordsnyckel när det inte finns något som ett lösenord för att identifiera mig?

Lösenordsnycklar kan ofta synkas mellan dina enheter, men alla plattformar har inte stöd för detta än. Bitwarden låter dig lagra dina lösenordsnycklar i ditt valv, som säkerhetskopieras och synkas mellan alla dina enheter. Om du på något sätt skulle förlora dina lösenordsnycklar bör de flesta webbplatser ha återställningsalternativ, så att du kan skapa en ny lösenordsnyckel för ditt konto. Detta kommer förstås att variera från webbplats till webbplats.

Vad händer om min enhet blir stulen? Kan en tjuv få åtkomst till lösenordsnycklar på det sättet?

Det enda sättet för en tjuv att lyckas använda dina lösenordsnycklar på din enhet är om de även kan låsa upp enheten och därmed i praktiken få full åtkomst till dina data. Varje användning av en lösenordsnyckel kräver dock ofta användarverifiering, till exempel biometri eller att du anger enhetens pinkod på nytt, så det räcker inte att stjäla enheten medan den är upplåst.

Google meddelade nyligen stöd för lösenordsnycklar. Är det samma sak som Bitwarden tillkännager?

Delvis. Google meddelade att de har lagt till stöd för autentisering med lösenordsnycklar för Workspace-konton, vilket innebär att användare kan logga in i Google Workspace med en lösenordsnyckel i stället för sitt vanliga lösenord. På samma sätt kommer Bitwarden-användare att kunna komma åt sina Bitwarden-konton med en lösenordsnyckel i stället för sitt huvudlösenord.

Bitwarden meddelade också att användare kommer att kunna spara, lagra och hantera registrerade lösenordsnycklar kopplade till de webbplatser och applikationer de använder direkt i sina valv. Google gör det alltså nu möjligt att använda lösenordsnycklar för konton, och Bitwarden kan lagra lösenordsnycklar i valv.

Använder jag samma lösenordsnyckel oavsett vilken webbläsare jag använder, eller kräver varje webbplats en annan lösenordsnyckel beroende på webbläsare eller enhet?

Lösenordsnycklar som lagras i Bitwarden är synkade lösenordsnycklar, vilket innebär att du kan komma åt dina konton med samma lösenordsnycklar utan att behöva skapa nya, i alla webbläsare där du är inloggad i Bitwarden-tillägget eller där du har Bitwardens mobilapp installerad. Om du inte lagrar dina lösenordsnycklar i Bitwarden beror det på hur väl webbläsaren integreras med enhetens operativsystem (där lösenordsnycklarna lagras).

Den växande listan över webbplatser som för närvarande har stöd för lösenordsnycklar omfattar Best Buy, Cloudflare, eBay, Google, Kayak, PayPal och GitHub. Ett communitybaserat Passkey Index finns på GitHub.

Användare kan använda en lösenordsnyckel för att komma åt sina konton utan huvudlösenord i webbappen med webbläsare som stöds. Lösenordsnycklar kan också skapas och lagras i Bitwarden-valv för åtkomst till webbplatser som har stöd för lösenordsnycklar.

Kan lösenordsnycklar användas över flera plattformar? Om inte, finns det några problem med att ha olika lösenordsnycklar beroende på vilken plattform du använder?

Det finns två typer av lösenordsnycklar: enhetsbundna lösenordsnycklar och synkade lösenordsnycklar. Enhetsbundna lösenordsnycklar är begränsade till enheten där de skapades. Synkade lösenordsnycklar kan lagras hos en lösenordsnyckelleverantör som Bitwarden och användas överallt där de är inloggade.

Blir jag låst till att använda lösenordsnycklar om jag börjar med det?

Det beror på webbplatsen eller kontot. Vissa webbplatser kan välja att endast erbjuda autentisering med lösenordsnyckel, medan andra kan erbjuda traditionell autentisering med användarnamn/lösenord eller autentisering med användarnamn/lösenord/2FA.

Kan lösenordsnycklar delas med andra betrodda personer?

Det beror på plattformen. Vissa plattformar, däribland Bitwarden, gör det möjligt att dela lösenordsnycklar med betrodda personer.

Finns det support, till exempel en livechattrepresentant att prata med om jag har problem med min lösenordsnyckel?

Det beror på webbplatsen. Om en webbplats har stöd för autentisering med lösenordsnycklar och erbjuder support kan de svara på dina frågor om autentisering med lösenordsnycklar för just den webbplatsen.

Kan jag ta bort min lösenordsnyckel om jag inte längre vill använda den?

Ja. Det görs på samma sätt som när du tar bort ett lösenord på din enhet.