För närvarande finns det ett primärt sätt vi säkrar åtkomst online: användarnamn och lösenord. Men även om vi skapar ett långt, komplicerat och komplext lösenord, finns det fortfarande en viktig svaghet i den här säkerhetsinställningen – användaren.
Miljontals har redan blivit offer för nätfiskesidor, social ingenjörskonst och andra former av attacker som äventyrar lösenord. Det är därför Apple vill ta bort lösenordet och ersätta det med lösenord.
Så, hur löser Apple-nyckeln lösenordsproblemet?
Vad är webbautentiseringsstandarden (WebAuthn)?
Denna standard publiceras av World Wide Web Consortium (W3C), en organisation som är dedikerad till att bygga protokoll och riktlinjer för långsiktig webbutveckling. Genom att utveckla denna nya autentiseringsteknik hoppas gruppen minska vårt beroende av lösenord som det primära eller enda sättet att skydda vår data.
Apple är också medlem i W3C, och de införlivar WebAuthn-standarden i Apples lösenord. Den här funktionen fungerar också med iCloud Keychain, så personer som redan använder den här tjänsten behöver inte migrera sitt system.
Genom att implementera WebAuthn API säkerställer webbutvecklare och enhetstillverkare en autentisering som fungerar över olika system. Så oavsett om du använder Android, iOS, Mac eller Windows bör detta lösenordslösa system fungera.
Hur håller Apples lösenord dig säker?
De flesta av oss har förlitat sig på användarnamn och lösenord någon gång. Det gör du förmodligen fortfarande just nu. Men lösenord kan lätt hackas, speciellt om användaren inte har ett säkert lösenord eller om de är ett offer för social ingenjörskonst.
Den traditionella kombinationen av användarnamn och lösenord innebär också att denna information lagras online. Så om tjänsten du använder, som Twitch till exempel, blir hackad, äventyrar attacken data och mer. Om du återanvänder ditt användarnamn och lösenord, vilket många gör men vi avråder från, är även dina andra konton i riskzonen.
Tvåfaktorsautentisering (2FA) utvecklades för att lösa detta problem. Genom att lägga till ytterligare ett säkerhetslager hjälper användarna till att förhindra obehörig åtkomst till sina konton.
Även om denna teknik dramatiskt har ökat säkerheten, särskilt mot brute force-attacker, är många användare fortfarande offer för socialtekniska attacker. Och även om teknikkunniga användare lätt kan upptäcka attacker, kanske de som inte är lika bekanta inte kan upptäcka tecken på attacker som nätfiske.
Apple-nyckeln syftar till att lösa detta problem genom att ta bort lösenordet helt och hållet. När du loggar in på en onlinetjänst behöver du inte längre skriva in ditt användarnamn och lösenord. Istället behöver du bara använda enhetens biometriska säkerhetsfunktioner, som FaceID eller TouchID.
Tjänsten är inte bara begränsad inom din Apple-enhet. Du kan använda lösenord på din Windows-dator eller Android-surfplatta. Så länge du går in på en webbplats som implementerar WebAuthn API kan du använda din Apple-enhets biometriska funktioner för att logga in på ditt konto, även om du kommer åt det i en gadget som inte kommer från Apple. Det är som att använda din Apple-enhet som en universell nyckel som kan öppna vilken digital dörr som helst.
Hur fungerar Apple-lösenord?
Istället för att hålla ihop användarnamn och lösenord online, Apple-lösenord använd asymmetrisk kryptering. Enligt Apples säkerhetssupportsida för lösenordsnycklar:
Under kontoregistrering skapar operativsystemet ett unikt kryptografiskt nyckelpar att associera med ett konto för appen eller webbplatsen. Dessa nycklar genereras av enheten, säkert och unikt, för varje konto.
En av dessa nycklar är offentlig och lagras på servern. Denna offentliga nyckel är ingen hemlighet. Den andra nyckeln är privat och är vad som behövs för att faktiskt logga in. Servern lär sig aldrig vad den privata nyckeln är. På Apple-enheter med Touch ID eller Face ID tillgängligt kan de användas för att auktorisera användning av lösenordet, som sedan autentiserar användaren till appen eller webbplatsen. Ingen delad hemlighet överförs och servern behöver inte skydda den publika nyckeln.
När du använder ett användarnamn och lösenord håller servern låset (ditt användarnamn) och nyckeln (ditt lösenord). För att öppna låset visar du servern att du har en liknande nyckel, och den öppnar dörren åt dig.
Men med Apple-nyckeln kommer servern aldrig att hålla nyckeln. Istället ger den dig låset och du låser upp det själv. Och eftersom servern bara kommer att ge dig låset om den fysiskt har det (dvs. din data är faktiskt lagrad på servern), kommer nätfiskehack att bli ineffektivt eftersom de inte har låset (dvs. de kan inte be om nyckeln, eftersom Apple-lösenord släpper det bara om de levererar en giltig nyckel låsa).
Med det här systemet kan endast den giltiga enheten be om en lösenordsnyckel, vilket säkerställer att användare är mindre benägna att falla offer för nätfiske och andra sociala ingenjörsattacker. Det är också mycket bekvämare eftersom användare inte längre behöver komma ihåg en myriad av inloggningsuppgifter. Allt de behöver är att logga in på sitt 2FA-skyddade Apple-ID.
Ett annat exempel på ett lösenordslöst system
Även om Apple kan vara först med att effektivt byggas in i ett smartphone-operativsystem, är det inte det första företaget att implementera lösenordslösa system. Om du har ett Microsoft-konto har du förmodligen stött på den här tekniken.
Om du har ställt in lösenordslösa inloggningar med ditt Microsoft-konto, kan du logga in på den med hjälp av Microsoft Authenticator-appen – inget användarnamn och lösenord behövs. Även om det främst är tillgängligt i Microsoft Edge-webbläsaren, kan du också använda Windows Hello eller en säkerhet för att använda Microsoft Authenticator-appen för att logga in på ditt Microsoft-konto i andra webbläsare som Google Krom.
Säger du adjö till lösenord?
Även om användarnamn och lösenord har skyddat användare i mer än 60 år, kan de vara det närmar sig slutet av sina liv tack för bättre säkerhetssystem på andra håll, som är lättare att använda för. När vi registrerar oss för fler och fler tjänster kan tanken på att memorera tiotals, om inte hundratals, kombinationer av användarnamn och lösenord vara skrämmande.
Hackare blir också mer sofistikerade, vilket gör att de kan äventyra data även med förbättrad säkerhet. Och även om multifaktorautentisering har ökat säkerheten för traditionella inloggningsuppgifter något, lämnar det fortfarande användaren som en betydande sårbarhet.
Med lösenord kan vi gå vidare från användarnamn och lösenord till en säkrare framtid. Och när nya tekniker som kvantdatorer utvecklas och släpps på marknaden, riskerar den traditionella kombinationen av användarnamn och lösenord att bli föråldrad över en natt.
