Lösenord har länge varit ett minne blott eftersom de oftast är tråkiga, krångliga och framför allt osäkra. Apple meddelade på WWDC 2022 att de skulle ersätta dem med “Lösenkoder”, med början i iOS 16, som är kopplat till ditt konto och dina enheter. Läs vår guide för att ta reda på om detta är en riktigt säker metod och vad som händer om du inte har en Apple-enhet till hands.
Hur mycket tid lägger du på att komma ihåg dina lösenord? Skapar du nya säkerhetsnycklar varje år och uppmärksammar säkerhetsstyrkan utifrån tecken- och siffersekvenserna? Förmodligen inte, eftersom säkerhetsföretag hittar osäkra lösenord alldeles för ofta i sina databaser varje år. De flesta lösenord är för enkla, ändras aldrig och kan knäckas inom några minuter.
Så enkelt blir det att använda Apples lösenord. / © Apple / Skärmdump: NextPit
Därför är det lovvärt att Apple har tillkännagett en ny autentiseringsmetod känd som Nyckelord för att ersätta lösenord. På webben är den nya metoden starkt kopplad till Apples ekosystem, vilket är synd. Detta beror på att med Nyckelord presenterade Apple bara sitt eget sätt att hantera de nya WebAuthn-uppgifterna.
Varför “lösenord” inte bara berör Apple-användare
Du läste rätt. “Passkeys” är inte en Apple-exklusiv uppfinning, även om det lät så på WWDC 2022. De är Apples interna varumärke för en ny typ av inloggningsuppgifter, som utvecklats av FIDO Alliance. Apple är inte med i alliansen, men enligt dem samarbetade man med bland annat Google och Android och följer FIDO-standarderna för sina Nyckelord. Förr eller senare kommer nästan alla internetanvändare att dra nytta av användningen av lösenord.
“Lösenkoder” synkroniseras mellan Apple-enheter, men är inte exklusiva för Apple. / © Apple; Skärmbild: NextPit
Grundidén är att implementera inloggningar med hjälp av säkerhetsnycklar snarare än lösenord. Ur användarens synvinkel säkras sedan inloggningar med biometriska metoder som gör att säkerhetsnycklarna kan jämföras med servern. Om du redan använder Face ID och Touch ID för att låsa upp din iCloud-nyckelring, betyder det att mycket lite kommer att förändras när det gäller åtkomst till dina konton.
Även om dagens inloggningar på iOS redan är ungefär lika bekväma som den senare perioden när Nyckelord blir mainstream, finns det en stor nackdel. För närvarande tillåter du bara iCloud-nyckelringen att kopiera ditt lösenord till inloggningsskärmen. Därifrån överförs den sedan till serveroperatören. Det finns fortfarande en risk att dina lösenord kan hämtas via man-in-the-middle (MITM)-attacker eller på annat sätt.
Även nätfiske, dvs bedrägeri av lösenord genom att låtsas vara en mycket viktig räddningstjänst eller annan social ingenjörstaktik, är fortfarande möjligt med denna metod. För närvarande kan du enkelt kopiera lösenord från din nyckelring och klistra in dem i valfri e-post om du har fallit för en bluff.
Det är därför som lösenordsnycklar och Apples hantering är så säker
Därför, på ett sätt, skyddar användningen av lösenord till och med dig från den ökända faran med att bara sitta framför din display. Allra längst ner i den är den baserad på två säkerhetsnycklar – en offentlig och en privat. Den publika nyckeln finns på servern efter installationen, medan den privata nyckeln alltid finns kvar på enheten som används för inloggning. Tricket ligger i den matematiska formel som används som metoden bygger på.
För närvarande är det bästa sättet att förhindra MITM-attacker via VPN-leverantörer. / © NextPit
Som Popular Science skrev så var denna designad så att den privata nyckeln inte behöver överföras till servern vid inloggningsförsök. Detta håller din lösenordsnyckel säker även i händelse av MITM-attacker eller framgångsrika hack på företagsservrar. Nyckelnycklar är baserade på WebAuthentification-standarden (WebAuthn), som har använts för lösenordslösa inloggningar på webben under en tid.
Så om allt detta redan är tillgängligt, är frågan varför alla agerar som att Apple återuppfann lösenordet?
Varför agerar alla som att Apple återuppfann lösenordet?
Hej, bra fråga! Vad du verkligen kan ge Apple kredit för: De är de första som använder lösenord på flera enheter. Samtidigt erbjuder de ett applikationsprogrammeringsgränssnitt, eller API, för sina lösenord. För att möjliggöra inloggning via Nyckelord måste webbsidor och tjänster förstås först skapa förutsättningarna. Eftersom Apple erbjuder sina nya operativsystem iOS 16, watchOS 9, iPadOS 16 och macOS 13 som utvecklarbeta ett halvår före lansering, kunde tillgänglighet redan vid lanseringen förväntas för många appar och enheter. Apple har i alla fall redan introducerat sina egna WebAuthn-uppgifter för WWDC 2021.
Nyckelnycklar är också fast kopplade till iCloud-nyckelringen. Du kan komma åt detta från vilken Apple-enhet som helst som du har registrerat på med ditt Apple-ID. Eftersom Apple använder end-to-end-kryptering för sin nyckelring och inte känner till säkerhetsnycklarna, hävdar supportsidan att detta är en säker plats för lösenordsnycklarna.
Systemet är också skyddat med tvåfaktorsautentisering. Så om du vill registrera dig för ett nytt lösenord måste du bekräfta denna process igen på en Apple-enhet eller via webbläsaren genom att ange en sexsiffrig kod.
Apple (åter)uppfann inte den lösenordslösa inloggningen, utan implementerade den helt enkelt på ett smart och säkert sätt. Dessutom är Apple-enheter så flitigt använda att Cupertinos framsteg kommer att vara ett bra incitament för tjänster och webbplatser att äntligen uppgradera till WebAuthn.
Kommer Nyckelord att göra det omöjligt att byta till Android och Windows?
Apples övergång till Nyckelord oroade mig fortfarande lite under livestreamen. Det verkade starkt som om Apple återigen skulle stödja sin “muromgärdade trädgård” med metylen. Gör inte introduktionen av lösenord det nästan omöjligt att använda icke-Apple-enheter eller på annat sätt undkomma Apples kosmos?
Även om det ännu inte är helt klart hur stängd Apples Passkeys-integration kommer att vara, och det finns tre argument mot min rädsla.
I framtiden kommer du även att kunna logga in på Windows-enheter via QR-koder med hjälp av lösenord. / © Apple / Skärmdump: NextPit
1: Under utvecklarkonferensen visade Apple kort hur inloggningar kommer att bli möjliga på icke-Apple-enheter. På displayen på en Windows-anteckningsbok kan en QR-kod ses där den måste skannas med en Apple-enhet för att logga in. Så det kommer att vara möjligt att logga in även på Windows och Android, men du måste ha din iPhone eller iPad med dig.
2: Du kan redan komma åt din iCloud-nyckelring på Windows. Allt du behöver göra är installera iCloud-appen och du kommer att se ett motsvarande program på din PC. Upplåsning fungerar via Windows egen autentiseringstjänst känd som Windows Hello, och därmed även via en biometrisk inloggningsmetod. Jag tvivlar dock på att det här systemet är tillräckligt säkert för Apples Nyckelord. Detta beror på att Windows förlitar sig på en PIN-kod som reserv, som endast består av fyra siffror i värsta fall.
3:: Standard WebAuthn är, som redan nämnt, inte Apples egen och kommer säkerligen att kunna användas med Android, Windows och andra operativsystem i framtiden. Det innebär att du kan tilldela nya säkerhetsnycklar för inloggningar för att få tillgång till webbplatser. Även om de skiljer sig från Apples synkroniserade nycklar så gör det ingen skillnad för hanteringen efter installationen. Du loggar trots allt bara in med fingeravtryckssensorn eller ansiktsigenkänning ändå.
Slutsats: Nyckelnycklar är revolutionerande, bara inte från Apple.
Låt oss återigen sammanfatta utvecklingen. Oavsett Apple kommer WebAuthn att göra inloggningar på webben säkrare. Efter alldeles för lång tid är vår data inte längre beroende av hur mycket tid eller hjärnkraft vi investerar i att underhålla våra lösenord. Dessutom ger standarden tillförlitligt skydd mot nätfiske, hacking och till och med den typ av företag som vi väljer att logga in på.
Apple tar ett stort steg i detta avseende och blir det första företaget att rulla ut tjänsten över enheter. Samtidigt utnyttjar företaget sitt slutna ekosystem för att göra inloggningar via Nyckelord till en säker och bekväm insats.
Apples beslut att introducera lösenord som ett viktigt ämne under sin utvecklarkonferens, utan att använda sitt eget namn, är också ett lysande drag. På sätt och vis skördar Apple lagrarna som FIDO Alliance har sått och odlat i samarbete.
När allt kommer omkring, om Android eller Windows tillkännager stöd för lösenord när som helst snart, kommer allmänheten med all säkerhet att associera det med Apple som upphovsman.
Touché, Apple. Touché!
Källor: