Passnøkler er den nye vaksinen mot phishing
Debatt: Tradisjonell 2FA stryker på sikkerhet og passordet har for lengst utspilt sin sikkerhetsrolle. Budskapet ble enstemmig kommunisert fra podiet på Authenticate konferansen i San Diego i oktober, og mange har gjort dyrekjøpte erfaringer som bekrefter dette. Passnøkler ser ut til å være den ubestridte redningen, skriver Eivin Peter Hansen i Buypass i dette innlegget.
Ifølge Microsoft skjer det mer enn 4000 angrep på passord hvert sekund. I bransjen og blant de store teknologileverandørene er det nå bred enighet om at den beste vaksinen mot phishing, er passnøkler. I Buypass har vi levert vår eID som passnøkkel-løsning basert på FIDO-teknologi i snart 4 år. Det har vi og våre kunder hatt svært gode erfaringer med. Ikke minst når det gjelder å løse behovet for eID på høyeste EU-regulerte sikkerhetsnivå. Passnøkler er dessuten enkle å ta i bruk både for tjenesteleverandørene og deres brukere. Og de er tilnærmet immune mot phishing.
Hva gjør passnøkler så sikkert mot phishing?
Passnøkler er bygget på offentlig nøkkel-kryptografi hvor den private nøkkelen er lagret og sikret enten på brukerens personlige PC, mobil og lignende eller på en ekstern nøkkelbærer. Denne enhetsbaserte lagringen forhindrer angripere i å hente passord eksternt, selv om de kompromitterer en brukers nettkonto. Passnøkkel-teknologi er dessuten bygget på FIDO2-standarder som gir sterk phishing-motstand og beskyttelse mot credential stuffing-angrep. FIDO2 bruker kryptografiske protokoller for å verifisere ektheten til nettsteder og applikasjoner, og hindrer brukere i å ubevisst skrive inn passordene sine på phishing-nettsteder.
En av de viktigste egenskapene ved passnøkler er at de er knyttet mot det enkelte domenet. Hvis en angriper har et annet domene, vil ikke nøkkelen fungere.
En av de viktigste egenskapene ved passnøkler er at de er knyttet mot det enkelte domenet. Hvis en angriper har et annet domene, vil ikke nøkkelen fungere. Passnøkler inneholder heller ingen informasjon som en angriper kan fange opp og misbruke. Og skulle du uforvarende gi fra deg pin-kode til din(e) passnøkkel, er passnøkkelen lagret lokalt og ikke tilgjengelig for en angriper. Om en angriper får tak i nøkkellagret ditt så er nøkkelen anonym og har ingen informasjon om hvor den passer.
Tilbydere som Apple og Google legger til rette for at en passnøkkel automatisk er tilgjengelig på alle enheter. En passnøkkel på mobilen, vil fordeles til de enhetene brukeren trenger den i. Ved behov kan tjenestetilbyderen sette begrensninger tilpasset tjenestene sine, f.eks. for tilgang til helseopplysninger eller samfunnskritiske funksjoner. Tilgang til regulerte tjenester via Buypass ID-nøkkel er et eksempel på dette.
Passnøkler må bli den nye standarden
Alle de store teknologileverandørene har gjennom samarbeid lagt til rette for bruk av passnøkler som sikkerhetsmekanisme. Dermed er det enkelt for brukersteder å ta teknologien i bruk. Det er heller ikke behov for å installere programvare hos brukerne, og teknologien kan enkelt implementeres hos brukerstedene og tilpasses en rekke sikkerhetsnivåer.
Utenfor Europa er teknologien i rask utbredelse, både i offentlig og privat sektor. Benytter du eksempelvis Google-login som ID-tjeneste vil passnøkler ofte være førstevalget. Microsoft Azure og 365 kan enkelt konfigureres til å akseptere passnøkler der hvor Microsoft er plattformen.
Tilbydere av nettjenester – både offentlige og private, bør ta i bruk passnøkler for å sikre tjenestene og brukerne mot angrep. Teknologien er velprøvd, tidsbesparende, trygg og enkel å bruke både på PC og mobile flater.