The World Wide Web Consortium (W3C) og FIDO Alliance annonserte denne uken at den nye standarden WebAuthn ("Web Authentication") har nådd en viktig milepel i godkjenningsprosessen.
I pressemeldingen fra The World Wide Web Consortium (W3C) og FIDO Alliance står det at det WebAuthn har nådd nest siste steg i prosessen for å bli en godkjent standard. WebAuthn er en global satsning for å gi brukere en enklere og sterke autentisering på nett. Dagens løsninger baserer seg i stor grad på bruk av brukernavn og passord og har som kjent noen utfordringer.
Dagens utfordringer med innlogging på nett
Antall nettsteder hvor vi logger inn med brukernavn og passord for å nyte godt av diverse tjenester er økende. Skal man sette seg ned å lage en liste over alle steder man logger inn med brukernavn og passord er dette et realt stykke arbeid. Antagelig må man også gå en del runder for å komme på alle sammen, og selv da vil sannsynligvis noen bli glemt.
Passord på avveie
Logikken bak dagens råd for sikker pålogging er som følger: Brukernavn og passord har en tendens til å komme på avveie. Med to-trinns bekreftelse, mister du likevel ikke kontroll over kontoen din selv om passordet er på avveie. Med to-trinns bekreftelse logger man inn i to trinn, først med passordet (noe du vet) og så med f.eks. en kode/melding på mobiltelefonen (noe du har ). Selv om passordet kommer på avveie, har du fortsatt kontroll over mobilen din og dermed også kontoen din. Det er ikke alle tjenester som tilbyr to-trinns bekreftelse, og da er det viktig å ha unike passord på disse tjenestene slik at du kun risikerer å miste kontroll over én konto om gangen. Å huske alle disse passordene blir da en utfordring siden vi har så mange kontoer. Derav rådet om at det er greit å skrive ned passordene dine. Om du skriver passordene dine ned på en lapp som du legger på et trygt sted, vil det ikke komme i hendene på hackere som jo befinner seg på nett og ikke i skrivebordsskuffen din.
Håndtering av passord
Hvis man følger rådene for sikker pålogging vil man være trygg, og selv om de kan beskrives i en kort liste med tre punkter oppleves det ikke nødvendigvis som enkelt og rett frem for sluttbrukeren å gjennomføre dem.
Fordelene med den nye standarden WebAuthn
Google, Microsoft og Mozilla har begynt å implementere Webauthn i sine nettlesere slik at man kan starte testing og verifisering av standarden. Det vil si at teknologien kan bli tilgjengelig nokså raskt. Fordelene som man forsøker å oppnå med WebAuthn er å gjøre det enklere for brukeren å logge inn, f.eks. ved hjelp av biometri (ex: fingeravtrykk) samtidig som at sikkerheten ivaretas.
Enklere autentisering
På nettsteder som implementerer WebAuthn skal man kunne logge inn med èn enkel bevegelse ved bruk av:
- innebygde autentiseringsløsninger på PCer, laptoper og mobiltelefoner som f.eks fingeravtrykk og ansiktsgjenkjenning
- eksterne autentiseringsløsninger som man kobler til enheten som f.eks. usb-nøkkel og lignende.
Sterkere autentisering
Med WebAuthn implementert i nettleseren, vil en webapplikasjon/nettsted kunne få en kryptert bekreftelse om at brukeren er autentisert uten at brukerens innlogginsinformasjon blir overført.
- Innloggingsinformasjon og biometriske parametre forlater aldri brukerens enhet og blir ikke lagret på servere.
- Brukerkontoer blir bedre beskyttet mot phishing, man-in-the-middle og angrep som baserer seg på stjålne passord.
NorSIS anbefaler:
Følg rådene for sikker pålogging. Med tanke på dagens utfordringer er det tre ting som gjelder:
- Aktiver to-trinns bekreftelse på alle tjenester hvor det er mulig
- Bruk unike passord på de forskjellige tjenestene
- Skriv gjerne ned passordene dine
les mer: https://nettvett.no/sikker-palogging/
Kilder:
www.w3.org/TR/2018/CR-webauthn-20180320/#use-cases
www.digi.no/artikler/bred-enighet-om-standard-for-passordfri-webinnlogging/434587