Passord er masete, vanskelige å huske og fremfor alt usikre. Folk velger gjerne enkle kombinasjoner av bokstaver, tall og tegn. Samme passord brukes ofte på forskjellige nettsteder. Som et minimum må du plusse på med multifaktor-autentisering (MFA). Men det er enda mer lettvint med passordløs pålogging. I forbindelse med Verdens passorddag, første tirsdag i mai, annonserte Apple, Google og Microsoft at de i fellesskap satser på en ny passordfri teknologi. Den er utviklet av FIDO-alliansen, som i mars i år meldte at de har funnet en løsning for et liv uten passord.
Teknologien innebærer at brukere logger seg på tjenester på nettet fra en datamaskin og bruker mobilen for godkjenning via fingeravtrykk, ansiktsgjenkjennelse eller PIN-kode. Det som gjør denne metoden sikrere enn passord, er at biometri ikke kan forfalskes, og at en PIN krever at du har enheten og kjenner koden. Et phishing-angrep som er ute etter passord, kommer ingen vei. For brukere er det mye enklere med biometrisk autentisering enn å huske og taste inn påloggingsinformasjon.
Metoden fungerer ved at innloggingsdata, som omtales som «passnøkler» (passkeys), er lagret på mobilenheten. Løsningen sørger for å synkronisere dataene på tvers av enheter, så man ikke trenger registrere hver eneste enhet på nytt som man har tenkt å bruke til pålogging. Om man mister mobilen, kan passnøklene synkroniseres mot nye mobil via skyen. Fellessatsingen innebærer at løsningen funger på tvers av operativsystemer og nettlesere.
Implementering av passordfri teknologi har så langt krevd at brukere må registrere hver enhet for hver enkelt tjeneste før man kan logge på passordløst. Med den nye løsningen blir alt sammen mye enklere. Men da må også utviklere og andre aktører bygge inn støtte i tjenestene sine. Microsoft har allerede erklært at du i nær fremtid vil kunne logge deg på Microsoft 365 via en mobil. Sånn får også Mac-brukere et slags Windows Hello med ansiktsskanning eller Touch ID.
Autentiseringsmetoder
Å beskytte brukerkontoer med bare passord er ensbetydende med at hackere slipper å bryte seg inn i virksomheten din; de logger bare på, uten at du legger merke til det. En kode tilsendt via SMS eller et anrop som bekreftes ved å trykke på firkant-tasten, anses i dag som mindre sikkert. Tekstmeldinger kan snappes opp, taleanrop avlyttes. En dreven kriminell kan kjapt ta ut et SIM-kort eller svindle til seg et i en telesjappe. Mange av angrepene er målrettet. Angriperne har i forkant sett seg ut kontoer i virksomheten de ønsker å kompromittere.
Bedre er det å benytte mobilappen Microsoft Authenticator som annen faktor. Bruker får et push-varsel og kan trykke på Godkjenn. Authenticator genererer i tillegg en engangskode hvert 30. sekund. Alternativer er programvare- eller maskinvare-token OTP (one-time password). Best er passordløs autentisering, som Windows Hello, Microsoft Authenticator-appen og FIDO2-sikkerhetsnøkler. Totrinnsbekreftelse og passordløs pålogging løser følgende problemer med passord:
- Brukere har vanskelig for å huske sterke passord og benytter svake som er lett å knekke.
- Samme passord brukes ofte på flere nettsteder. Med jevne mellomrom skjer det innbrudd, og konto-opplysninger kommer på avveie.
Phishing-angrep og sosial manipulasjon kan lure folk til å oppgi legitimasjonen.
Frigjør deg selv med passordløs pålogging
Du kan allerede nyte sikker tilgang til Microsoft-kontoen din uten passord. Ved å bruke Microsoft Authenticator-appen, Windows Hello, en sikkerhetsnøkkel eller en bekreftelseskode sendt til telefonen eller e-posten din, kan du gå uten passord med alle Microsoft-appene og -tjenestene dine. Dette gjelder ikke for arbeids- eller skolekontoer. Skjermbildet viser min konto i Azure-portalen. Dette er en funksjon som kom i fjor høst.
Last ned og installer Microsoft Authenticator (koblet til din personlige Microsoft-konto). Logg på Microsoft-kontoen din og velg den i øverste høyre hjørne. Klikk på Sikkerhet. Under Avanserte sikkerhetsalternativer ser du Passordløs konto (Passwordless account) under avsnittet med tittelen Ekstra sikkerhet (Additional security). Velg Slå på (Turn on).
Klikk på Next. Nå er passordet fjernet. Klikk på Done. Godkjenn varselet fra Authenticator.
Passordløs pålogging
Mobilappen Microsoft Authenticator-appen gir en enkel metode for å sette opp autentisering uten passord. Du aktiverer passordløs pålogging i administrasjonsportalen for Azure Active Directory (AD). Velg Security, Authentication methods, Policies. Konfigurer autentiseringsmetode. Neste trinn er å sette opp funksjonen i Microsoft Authenticator. Trykk på Aktiver telefonpålogging i alternativene. Enheten må være registrert i Azure.
Etter at du har aktivert passordløs pålogging for en konto og logger på, presenteres en kode på påloggingssiden. Et varsel popper opp i mobilappen som tilbyr deg tre tall å velge mellom. Du må trykke på tallet som svarer til det som vises på skjermen for å låse opp tokenet fra enheten og fullføre påloggingen. Dette er uhyre elegant. Du ser hvor påloggingen kommer fra (macOS, Norge), noe du dessverre ikke gjør med push-varsler fra Authenticator. I en forhåndsversjon av Authenticator vises også et kart med større stedsnøyaktighet enn bare Norge.
Forbedrede Microsoft-teknologier
Microsoft har lagt passordløs støtte for Windows 365, Azure Virtual Desktop og Virtual Desktop Infrastructure (VDI). For øyeblikket er det i forhåndsvisning med Windows 11 Insiders og er på vei for Windows 10. Nå da eksternt eller hybridarbeid er den nye normen, bruker mange flere mennesker et eksternt eller virtualisert skrivebord for å få arbeidet gjort.
Windows Hello for Business Cloud Trust forenkler implementeringen av Windows Hello for hybridmiljøer. Denne nye distribusjonsmodellen fjerner tidligere krav for offentlig nøkkelinfrastruktur (PKI) og synkronisering av offentlige nøkler mellom Azure AD og lokale domenekontrollere.
Da selskapet først introduserte passordløs pålogging for Azure AD (arbeids- eller skolekontoer), kunne Microsoft Authenticator bare støtte én passordløs konto om gangen. Nå er begrensningen fjernet, og du kan ha så mange du vil. iOS-brukere vil begynne å se denne muligheten senere denne måneden, og funksjonen vil være tilgjengelig på Android etterpå.
FIDO-alliansen
FIDO (Fast IDentity Online) Alliance ble dannet i juli 2012 for å adressere mangelen på samarbeid mellom sterke autentiseringsteknologier og avhjelpe problemene brukere møter med å opprette og huske flere brukernavn og passord. FIDO-alliansen endrer arten av autentisering med standarder for enklere, sterkere autentisering som definerer et åpent, skalerbart, interoperabelt sett med mekanismer som reduserer avhengigheten av passord. Til vanlig forbinder vi FIDO med nøkler.
Avsluttende ord
Selve teknologien FIDO har trukket opp, foreligger i form av en utredning som er konseptuell, ikke teknisk. Den bygger på en kombinasjon av maskinvare og digital legitimering. Passordet byttes ut med FIDO-innloggingsinformasjon. Alt lagres i noe som minner om dagens passordbehandlere. Den ser ut til å være svært lik Apples iCloud Keychain (Nøkkelring), som bruker biometri og Apples iCloud innloggingsbehandler til å logge på ved et enkelt trykk eller klikk. Apple bruker liknende mekanismer for å bygge sin passordfrie løsning.
Det er besnærende å aktivere FIDO-autentisering for brukere på deres mobilenheter, så de kan logge på en app eller et nettsted, uavhengig av operativsystem og nettleser. Nå da Google, Apple og Microsoft er gått sammen om en felles teknologi – for øvrig backet opp av World Wide Web Consortium (W3C) – vil det akselerere støtte fra andre parter. De som sakker akterut og fortsetter med bare passord, vil høyst sannsynlig oppleve mindre pågang og skynde seg med å iverksette løsningen, så din passordfrie hverdag kan bli en realitet.
Første og siste bilde er fra FIDO-alliansen. Figuren om autentiseringsmekanismer er fra Microsoft.
