Google bringer adgangsnøkler til både Android og Google Chrome, i samsvar med FIDO-standarder. Sjekk ut hva det betyr her!
Passord, selv om de er praktiske, er iboende feil i hvordan de kan misbrukes. Hvis noen får passordet ditt, en enkelt autentiseringsfaktor, kan de ofte få tilgang til nettkontoene dine. Det er derfor vi har slike tofaktorautentisering, som kombinerer noe du vet med noe du har, for eksempel smarttelefonen din. Men i tilfelle du bruker noe som en SMS-kode, kan noen i teorien forfalske telefonnummeret ditt og ta den koden. Det er ikke helt sikkert, og det er flere potensielle inngangspunkter for en potensiell angriper. Derfor er adgangsnøkler, som Google har kunngjort at de bringer til både Android og Google Chrome, viktige.
Tidligere i år, Apple, Google og Microsoft annonserte at de vil ta i bruk FIDO-standarden for passord på alle større plattformer innen neste år. Dette vil gjøre passordløse pålogginger mer vanlig på internett. Hvordan det fungerer er enkelt – på Android vil den gjøre smarttelefonen om til en passordnøkkel som kan brukes til å logge på et nettsted. Disse adgangsnøklene synkroniseres deretter gjennom Google Password Manager for enkel tilgang på tvers av enhetene dine og på datamaskinen din også. Selv om det vil starte med støtte kun for nettsteder, er ideen at utviklere skal kunne implementere det i appene deres, og støtter til og med passord som allerede kan ha blitt brukt til å logge inn på samme tjeneste i brukerens nettleser.
I tilfelle du er bekymret for innlåsing av økosystem, har Google forsikret brukerne om at dette ikke vil være tilfelle, siden de er bygget på industristandarder. Adgangsnøkler er plattformagnostiske, noe som betyr at du til og med kan logge på tjenester som støtter passord ved å bruke en Mac som kjører Safari. Du vil bli presentert med en QR-kode som du skanner på Android-smarttelefonen din. Det samme vil fungere omvendt med en passord som er lagret på en iPhone for å logge på tjenester i Google Chrome.
Passnøkler gjør det slik at uten nøkkelen som er lagret på kontoen din eller på telefonen, kan ikke noen logge inn på noen av nettkontoene dine – uansett hvor hardt de prøver. Det er ikke noe telefonnummer å forfalske, ingenting å stjele (med mindre de stjeler telefonen din og logg inn på det), og ikke noe passord å knekke. De vil rett og slett ikke kunne komme inn med mindre de er i stand til å overbevise tjenesteleverandøren om å gi dem tilgang -- i så fall var det alltid et sårbart inngangspunkt for hvilken konto du brukte uansett.
Hvis du vil prøve det ut, kan utviklere melde seg på Google Play Services beta og bruk Chrome Canary, da det forventes en stabil utrulling senere i år. WebAuthn API kan implementeres på nettsteder for kompatibilitet med passord i Google Chrome, Android og andre plattformer. En API forventes også å bli utgitt senere i år for native Android-apper.
Kilde: Google