I øjeblikket er der én primær måde, hvorpå vi sikrer onlineadgang: brugernavn og adgangskode. Men selvom vi laver en lang, kompliceret og kompleks adgangskode, er der stadig en nøglesvaghed i denne sikkerhedsopsætning - brugeren.
Millioner har allerede været ofre for phishing-websteder, social engineering og andre former for angreb, der kompromitterer adgangskoder. Det er derfor, Apple ønsker at fjerne adgangskoden og erstatte den med adgangsnøgler.
Så hvordan løser Apple-adgangsnøgler problemet med adgangskode?
Hvad er webgodkendelsesstandarden (WebAuthn)?
Denne standard er udgivet af World Wide Web Consortium (W3C), en organisation dedikeret til at opbygge protokoller og retningslinjer for langsigtet webudvikling. Ved at udvikle denne nye autentificeringsteknologi håber gruppen at reducere vores afhængighed af adgangskoder som den primære eller eneste måde at beskytte vores data på.
Apple er også medlem af W3C, og de inkorporerer WebAuthn-standarden i Apple-adgangsnøgler. Denne funktion fungerer også med iCloud-nøglering, så folk, der allerede bruger denne tjeneste, behøver ikke at migrere deres system.
Ved at implementere WebAuthn API sikrer webudviklere og enhedsproducenter en godkendelse, der fungerer på tværs af forskellige systemer. Så uanset om du er på Android, iOS, Mac eller Windows, burde dette adgangskodeløse system fungere.
Hvordan holder Apple adgangsnøgler dig sikker?
De fleste af os har på et tidspunkt stolet på brugernavn og adgangskoder. Det gør du sikkert stadig lige nu. Men adgangskoder kan nemt hackes, især hvis brugeren ikke har en sikker adgangskode, eller hvis de er offer for social engineering.
Den traditionelle brugernavn og adgangskodekombination betyder også, at disse oplysninger gemmes online. Så hvis den tjeneste, du bruger, som for eksempel Twitch, bliver hacket, kompromitterer angrebet dataene og mere. Hvis du genbruger dit brugernavn og din adgangskode, hvilket mange gør, men vi fraråder, er dine andre konti også i fare.
To-faktor-godkendelse (2FA) blev udviklet til at løse dette problem. Ved at tilføje endnu et sikkerhedslag hjælper brugere med at forhindre uautoriseret adgang til deres konti.
Selvom denne teknologi dramatisk har øget sikkerheden, især mod brute force-angreb, er mange brugere stadig ofre for socialt ingeniørmæssige angreb. Og selvom teknologikyndige brugere nemt kan få øje på angreb, kan de, der ikke er så fortrolige, muligvis ikke spotte tegn på angreb som phishing-svindel.
Apple-adgangsnøgler har til formål at løse dette problem ved at fjerne adgangskoden helt. Når du logger ind på en onlinetjeneste, skal du ikke længere indtaste dit brugernavn og din adgangskode. I stedet skal du bare bruge din enheds biometriske sikkerhedsfunktioner, såsom FaceID eller TouchID.
Tjenesten er heller ikke kun begrænset inden for din Apple-enhed. Du kan bruge adgangsnøgler på din Windows-pc eller Android-tablet. Så længe du har adgang til et websted, der implementerer WebAuthn API, kan du bruge din Apple-enheds biometriske funktioner til at logge ind på din konto, selvom du tilgår den i en ikke-Apple-gadget. Det er som at bruge din Apple-enhed som en universalnøgle, der kan åbne enhver digital dør.
Hvordan virker Apple-nøgler?
I stedet for at holde brugernavn og adgangskode sammen online, Apple-adgangsnøgler bruge asymmetrisk kryptering. Ifølge Apples adgangsnøgler sikkerhedssupportside:
Under kontoregistrering opretter operativsystemet et unikt kryptografisk nøglepar, der kan knyttes til en konto til appen eller webstedet. Disse nøgler genereres af enheden, sikkert og unikt, for hver konto.
En af disse nøgler er offentlig og gemmes på serveren. Denne offentlige nøgle er ikke en hemmelighed. Den anden nøgle er privat og er det, der skal til for rent faktisk at logge ind. Serveren lærer aldrig, hvad den private nøgle er. På Apple-enheder med Touch ID eller Face ID tilgængeligt, kan de bruges til at godkende brugen af adgangsnøglen, som derefter autentificerer brugeren til appen eller webstedet. Ingen delt hemmelighed overføres, og serveren behøver ikke at beskytte den offentlige nøgle.
Når du bruger et brugernavn og en adgangskode, holder serveren låsen (dit brugernavn) og nøglen (din adgangskode). For at åbne låsen viser du serveren, at du har en lignende nøgle, og den åbner døren for dig.
Men med Apple-nøgler vil serveren aldrig holde nøglen. I stedet giver den dig låsen, og du låser den op selv. Og da serveren kun vil give dig låsen, hvis den fysisk har den (dvs. dine data er faktisk gemt på dens server), vil phishing hacks blive ineffektive, fordi de ikke har låsen (dvs. de kan ikke bede om nøglen, fordi Apple-adgangsnøgler kun frigiver den, hvis de leverer en gyldig låse).
Med dette system er det kun den gyldige enhed, der kan bede om en adgangsnøgle, hvilket sikrer, at brugere er mindre tilbøjelige til at blive ofre for phishing-svindel og andre social engineering-angreb. Det er også meget mere praktisk, da brugerne ikke længere skal huske et utal af loginoplysninger. Det eneste, de behøver, er at være logget ind på deres 2FA-beskyttede Apple ID.
Endnu et eksempel på et system uden adgangskode
Selvom Apple måske er den første, der effektivt er indbygget i et smartphone-operativsystem, er det ikke det første firma, der implementerer adgangskodeløse systemer. Hvis du har en Microsoft-konto, har du sandsynligvis stødt på denne teknologi.
Hvis du har sat op login uden adgangskode med din Microsoft-konto, kan du logge ind på den ved hjælp af Microsoft Authenticator-appen – der kræves intet brugernavn og adgangskode. Selvom det primært er tilgængeligt i Microsoft Edge-browseren, kan du også bruge Windows Hello eller en sikkerhed for at bruge Microsoft Authenticator-appen til at logge ind på din Microsoft-konto i andre browsere som Google Chrome.
Siger du farvel til adgangskoder?
Selvom brugernavne og adgangskoder har beskyttet brugere i mere end 60 år, kan de være det nærmer sig slutningen af deres liv takket være bedre sikkerhedssystemer andre steder, som er nemmere at bruge også. Efterhånden som vi tilmelder os flere og flere tjenester, kan ideen om at huske ti, hvis ikke hundredvis, af brugernavn-adgangskode-kombinationer være skræmmende.
Hackere bliver også mere sofistikerede, hvilket giver dem mulighed for at kompromittere data selv med forbedret sikkerhed. Og selvom multi-faktor autentificering har øget sikkerheden for traditionelle login-legitimationsoplysninger noget, efterlader det stadig brugeren som en væsentlig sårbarhed.
Med adgangsnøgler kan vi bevæge os fremad fra brugernavn og adgangskoder til en mere sikker fremtid. Og efterhånden som nye teknologier som quantum computing bliver udviklet og frigivet til markedet, risikerer den traditionelle kombination af brugernavn og adgangskode at blive forældet fra den ene dag til den anden.
