Två säkerhetsnycklar bredvid en Iphone och en Macbook Pro
Foto: Yubico

Yubico föreslår lösning på största problemet med Webauthn

Alla är överens om att vi bör skydda våra konton med tvåfaktorsautentisering. Alla är också överens om att SMS-metoden bör undvikas när alternativ står till buds. Tvåfaktorsautentisering via SMS är bättre än ett ensamt lösenord, men om andra metoder erbjuds är de att föredra. Vi rekommenderar ”Google Authenticator-metoden” eller Webauthn-metoden.

Tips! Lyssna på fördelarna med Webauthn i avsnitt 55 av Bli säker-podden. Där pratar vi bland annat om det hundraprocentiga skyddet mot klonade nätfiskesidor som ger Webauthn ger.

Svenska Yubico tillverkar de små säkerhetsnycklarna i Yubikey-serien som kan användas för att logga med tvåfaktorsautentisering via Webauthn. Då görs inloggningen genom att användaren först skriver in sitt lösenord och sedan kopplar in en säkerhetsnyckel i datorn (eller lägger säkerhetsnyckeln mot baksidan av mobilen). Utan tillgång till säkerhetsnyckeln kan vare sig användaren eller någon angripare logga in.

Problemet med Webauthn

Det stora problemet med Webauthn är säkerhetskopieringen. De som använder Google Authenticator-metoden kan säkerhetskopiera sina tvåfaktorsautentiseringshemligheter via appar som Authy eller Bitwarden. På så sätt riskerar de aldrig att låsa ute sig. Med Webauthn finns ingen lika smidig lösning för säkerhetskopiering. Det är därför vi rekommenderar alla Webauthn-användare att ha två säkerhetsnycklar: en i nyckelknippan och en i reserv i tryggt förvar.

Denna rekommendation får dock en stor baksida när det kommer till användarvänligheten. Det blir en extra börda för användarna när de behöver registrera båda säkerhetsnycklarna på alla webbplatser där deras inloggning ska skyddas med Webauthn. I och med att användarna, per definition, inte bär med reservnyckeln blir det krångligt för dem att aktivera tvåfaktorsautentisering på språng.

Inställningssida på Github för att registrera säkerhetsnycklar.
Webauthn är krångligt eftersom användare behöver registrera två säkerhetsnycklar på alla webbplatser.

Lösningen på Webauthn-problemet

Nu har Yubico föreslagit en lösning på problemet. De föreslår att två säkerhetsnycklar ska kunna länkas till varandra så att den ena blir en utvald backupnyckel till den andra. Tack vare länkningen behöver användarna då bara registrera sin primära säkerhetsnyckel, det vill säga den som de bär med sig.

Om en användare tappar bort sin primära säkerhetsnyckel kan han eller hon logga in med backupnyckeln i stället. Då slutar den primära säkerhetsnyckeln att fungera på den berörda webbplatsen, men användaren kan köpa en ny säkerhetsnyckel och länka den som en backupnyckel till den nyblivna primära nyckeln.

Ett naturligt nästa steg blir att säkerhetsnycklar säljs i tvåpack. Då blir tvåfaktorsautentisering med Webauthn både lättbegripligt och pedagogiskt. Användarna behöver bara instrueras att logga in med den ena säkerhetsnyckeln och spara den andra i tryggt förvar.

Det återstår att se om Yubicos förslag blir verklighet. Mer information om förslaget finns att läsa på deras officiella blogg. Vi diskuterar även detta förslag i morgondagens avsnitt av Bli säker-podden.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.

Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

Kommentera