Google rullar ut lösenords­dödaren passkeys

Fram­marschen för passkeys fortsätter. Igår tog tekniken ett extra stort kliv framåt. Google meddelade då att privata Google-konton nu kan skyddas med passkeys som ett alternativ till lösenord.

Vi har pratat om passkeys flera gånger i Bli säker-podden. Vi gjorde det först i samband med att Apple presenterade grunden till tekniken som nu även Google och Microsoft har slutit upp kring. Vi pratade om passkeys igen i höstas när tekniken blev tillgänglig för Apple-användare. Lyssna på avsnitt #173 (Passkeys är här) för en introduktion till passkeys.

Supersäkra passkeys

I det sistnämnda podd­avsnittet förklarade vi också storheten med passkeys och varför världen på sikt kommer att ersätta lösenord med passkeys. I korta drag är det för att passkeys ger samma fördelar som fysiska säkerhets­nycklar (till exempel Yubikey) utan att användarna behöver köpa någon ny hårdvara eller riskera att bli utelåsta. All hårdvara som användarna behöver finns redan i deras mobiler, och passkeys-nycklarna säkerhetskopieras totalsträcks­krypterat till någon av IT-jättarnas molntjänster.

Med säkerhets­nycklar och passkeys finns det inga hemligheter som webbplatserna kan råka läcka vid ett dataintrång. Inloggningsmetoden är dessutom helt nätfiske­resistent. Ingen skada är skedd om en användare luras in på en klonad nätfiskesida och försöker logga in med en passkey. Passkeys i sig är så säkert att det eliminerar behovet av att kombineras med andra tvåfaktors­autentiserings­metoder såsom push-notiser eller tidsbegränsade engångskoder.

Tips! Mer information om hur säkerhets­nycklar och passkeys är de enda nätfiske­resistenta inloggnings­metoderna avhandlas i poddavsnitt #172 (Fido står när de andra faller).

Utrullningen av passkeys

Utrullningen av passkeys kommer att ta flera år och det finns två hinder på vägen. För det första måste Google och Microsoft bli klara med sina passkeys-molntjänster, så att även Google- och Microsoft-användare kan synkronisera och säkerhetskopiera sina passkeys. I dagsläget är det enbart Apple som erbjuder en helt färdig passkeys-molntjänst (Icloud Keychain). Google har släppt sin passkeys-molntjänst till Android men inte till Chrome. Microsoft har inte lanserat sin passkeys-molntjänst än. Microsoft har dock meddelat att de kommer att släppa sin molntjänst under 2023. Flera av utvecklarna bakom de stora lösenords­hanterarna har också meddelat att de kommer bygga in stöd för passkeys. Där ingår både Bitwarden och 1password.

För det andra måste fler webbplatser erbjuda passkeys som ett alternativ till lösenord. Många webbplatser erbjuder redan passkeys för tvåfaktors­autentisering men inte som ett alternativ till lösenord i sig. Det ändrade Google på igår för alla privata Google-konton. Nu kan användare aktivera passkeys som en självständig inloggnings­metod och framgent logga in utan att behöva ange något lösenord. Lösenords­inloggningen ligger dock kvar som en alternativ inloggningsmetod i väntan på att anammandet av passkeys breddas.

Varning! Eftersom lösenords­inloggning ligger kvar som en alternativ inloggnings­metod måste du fortfarande skydda ditt konto med ett starkt och unikt lösenord samt tvåfaktors­autentisering.

Skydda ditt Google-konto med passkeys (Apple)

Om du lever i Apples ekosystem kan du redan idag börja logga in på ditt privata Google-konto med en passkey i stället för med ett lösenord. Det gör du genom att gå till ditt Google-kontos inställningssidor, klicka på att lägga till en nyckel och verifiera dig med Face-ID eller Touch-ID. Sedan är allt klart! Inloggningen är lika enkel. När du vill logga in skriver du bara din e-postadress så ber Google att du verifierar dig med Face-ID eller Touch-ID.

Obs! Safari är den enda webbläsaren på Mac OS som stödjer Icloud-synkroniserade passkeys.

Aktiveringsflödet för aktivering passkeys-inloggning till Google-konto från Iphone.
På Iphone kan inloggning med passkeys aktiveras med en simpel Face-ID-verifiering.

När du har lagt till en passkey från din Mac, Iphone eller Ipad synkroniseras denna passkey mellan alla dina Icloud-anslutna enheter. Om du skulle behöva logga in på en dator som inte är Icloud-ansluten gör du det genom att skanna en QR-kod på inloggnings­sidan. Datan i QR-koden får din Iphone att upprätta en säker anslutning till datorn via Bluetooth och loggar in därigenom. Denna lösning kan du också använda för att logga in i andra webbläsare än Safari på Mac OS.

Skydda ditt Google-konto med passkeys (Android)

Om du har en Android-mobil kan du också aktivera passkey-inloggning via den. Då är dock QR-kods- och Bluetooth-lösningen det enda alternativet som står till buds för inloggning på datorn. Google har nämligen inte byggt klart sin passkey-molntjänst och synkroniserar därför inte dina passkeys till Chrome på Windows, Mac OS eller Linux. Google planerar att lägga till stöd för passkey-synkronisering i Windows- och Mac OS- versionerna av Chrome men har inga sådana planer för Linux-versionen (läs mer i Googles utvecklar­dokumentation).

Varning för utebliven synkronisering

Faktumet att inloggning med passkeys fungerar på samma sätt som inloggning med säkerhets­nycklar har tyvärr en nackdel. Datorns inbyggda ”säkerhetsnyckel” (till exempel Touch-ID-sensorn eller Windows Hello-kameran) kan av misstag registreras som en traditionell och icke-synkroniserad säkerhetsnyckel.

Om du vill använda passkeys måste du kontrollera noga att det skapas en passkey-nyckel som sparas i exempelvis Icloud-nyckelringen. Se förra bilden där det står ”nycklar sparas till din Icloud-nyckelring”. Det ska inte stå att ”den här nyckeln sparas endast på den här enheten”. Utan passkey-molntjänsternas säkerhetskopiering och synkronisering finns föreligger risk för utelåsning. Det är därför som du vid användning av fysiska säkerhets­nycklar alltid bör registrera minst två sådana: en som du bär med dig och en som du har i reserv. Med passkeys slipper du tänka på det eftersom dina passkey-nycklar ligger lagrade i molnet.

Aktivering av Webauthn-inloggning utan passkeys. Chrome skriver ”den här nyckeln sparas endast på den här enheten”.
Kontrollera noga så att det inte står att ”den här nyckeln sparas endast på den här enheten”.
Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar