Apple, Google og Microsoft slår seg sammen for å støtte passordfrie FIDO-pålogginger


På 5. mai – World Password Day – kan vi ha kommet et skritt nærmere passord som hører fortiden til.

I en felles innsats, teknologigiganter epleGoogle og Microsoft annonsert torsdag morgen at de har forpliktet seg til å bygge støtte for passordløs pålogging på tvers av alle mobil-, skrivebords- og nettleserplattformene de kontrollerer i det kommende året. Effektivt betyr dette det passordløs autentisering vil komme til alle større enhetsplattformer i en ikke så fjern fremtid: Android og iOS mobile operativsystemer; nettlesere Chrome, Edge og Safari; og skrivebordsmiljøene for Windows og macOS.

“Akkurat som vi designer produktene våre for å være intuitive og dyktige, designer vi dem også for å være private og sikre,” sa Kurt Knight, seniordirektør for plattformproduktmarkedsføring i Apple. «Å jobbe med industrien for å etablere nye, sikrere påloggingsmetoder som tilbyr bedre beskyttelse og eliminerer sårbarhetene til passord er sentralt i vår forpliktelse til å bygge produkter som tilbyr maksimal sikkerhet og en transparent brukeropplevelse – alt med målet om å beholde brukerne “personlig informasjon trygg.”

En representasjon av passordløs pålogging
bilde: FIDO Alliance

En passordløs påloggingsprosess lar brukerne velge telefonene sine som hovedautentiseringsenhet for apper, nettsteder og andre digitale tjenester, som Google beskrev i en blogg innlegg publisert torsdag. Å låse opp telefonen med det som er angitt som standardhandling – å taste inn en PIN-kode, tegne et mønster eller bruke fingeravtrykkslås – vil da være nok til å logge på netttjenester uten å måtte angi et passord, muliggjort ved bruk av et unikt kryptografisk token kalt en passord som deles mellom telefonen og nettstedet.

Ved å gjøre pålogginger avhengig av en fysisk enhet, er tanken at brukerne samtidig skal dra nytte av enkelhet og sikkerhet. Uten passord vil det ikke være noen forpliktelse til å huske påloggingsdetaljer på tvers av tjenester eller kompromittere sikkerheten ved å gjenbruke det samme passordet flere steder. På samme måte vil et passordløst system gjøre det mye vanskeligere for hackere å kompromittere påloggingsdetaljer eksternt siden pålogging krever tilgang til en fysisk enhet; og teoretisk sett vil phishing-angrep der brukere blir dirigert til et falskt nettsted for passordfangst være mye vanskeligere å montere.

Vasu Jakkal, Microsofts visepresident for sikkerhet, compliance, identitet og personvern, la vekt på graden av kompatibilitet på tvers av plattformer. “Med passord på mobilenheten din kan du logge på en app eller tjeneste på nesten hvilken som helst enhet, uavhengig av hvilken plattform eller nettleser enheten kjører,” sa Jakkal i en e-postmelding. «Brukere kan for eksempel logge på en Google Chrome-nettleser som kjører på Microsoft Windows – ved å bruke en passordnøkkel på en Apple-enhet.»

Kryssplattformfunksjonaliteten blir gjort mulig av en standard kalt FIDO, som bruker prinsippene for offentlig nøkkelkryptografi for å muliggjøre passordløs autentisering og multifaktorautentisering i en rekke sammenhenger. En brukers telefon kan lagre en unik FIDO-kompatibel passord og vil dele den med et nettsted for autentisering bare når telefonen er låst opp. Per Googles innlegg kan passord også enkelt synkroniseres til en ny enhet fra skysikkerhetskopiering i tilfelle en telefon går tapt.

Selv om mange populære applikasjoner allerede inkludert støtte for FIDO-autentiseringhar første pålogging krevd bruk av et passord før FIDO kan konfigureres – noe som betyr at brukere fortsatt var sårbare for phishing-angrep som ser at passord blir fanget opp eller stjålet underveis.

Men de nye prosedyrene vil gjøre unna det opprinnelige kravet om passord, som Sampath Srinivas, produktadministrasjonsdirektør for sikker autentisering hos Google og president for FIDO Alliance, sa i en e-postmelding sendt til The Verge.

“Denne utvidede FIDO-støtten som ble annonsert i dag vil gjøre det mulig for nettsteder å implementere, for første gang, en ende-til-ende passordløs opplevelse med phishing-bestandig sikkerhet,” sa Srinivas. “Dette inkluderer både den første påloggingen til et nettsted og gjentatte pålogginger. Når passordstøtte blir tilgjengelig i bransjen i 2022 og 2023, vil vi endelig ha internettplattformen for en virkelig passordløs fremtid.»

Så langt har Apple, Google og Microsoft alle sagt at de forventer at de nye påloggingsmulighetene vil bli tilgjengelige på tvers av plattformer i løpet av neste år, selv om et mer spesifikt veikart ikke har blitt annonsert. Selv om plan for å drepe passordet har pågått i årevis, er det tegn på at det denne gangen endelig kan ha lyktes.