Lösenordsfri inloggning – slipper vi lösenorden nu?

lösenordsfri inloggning

Att det är extremt osäker att logga in med användarnamn och lösenord är inget nytt. Många organisationer har därför infört någon form av multifaktorautentisering vilket lägger på ett extra säkerhetslager. Men nu kommer lösenordsfri inloggning. Något som både ökar säkerheten och minskar frustrationen med lösenord.

Att hantera lösenord är lite av en mardröm. Det är struligt för användarna och problemen är många, inte minst ur säkerhetssynpunkt. Men om lösenordet kombineras med ett annat verifieringssätt så blir inloggningen betydligt säkrare.

Fyra nivåer av säkerhet vid inloggning

Nedanstående bild från Microsoft visar hur säkerheten ökar vid olika typer av multifaktorautentisering.

  • Inloggning med enbart användarnamn och lösenord är väldigt osäkert
  • Att använda lösenord plus verifiering genom pinkod till sms är bra men kan hackas
  • Inloggning med lösenord plus verifiering via en app, mjukvaru- eller hårdvarutoken är säkrare
  • Inloggning utan lösenord med hjälp av en dedikerad hårdvarunyckel är säkrast

Lösenordsfri inloggning med hårdvarunyckel

Den allra säkraste metoden för inloggning som finns idag är inloggning med en fysisk nyckel som bygger på den så kallade FIDO/webauthn-standarden, t.ex Yubikeys från Yubico. Det är en lösenordsfri inloggningsmetod där du lägger nyckeln (ser ut som ett USB-minne) mot telefonen eller sätter in den i datorn och verifierar dig med fingeravtryck eller ansiktsigenkänning.

Denna form av inloggning kan jämföras med, och anses lika säker som, e-legitimation och Bank-ID.

En fördel, vid sidan av säkerheten, är att du slipper allt strul med lösenord. Baksidan är att nyckeln kan tappas bort. Dessutom kan inte kontoinformationen föras över från en enhet till en annan. Det gör att hanteringen blir mer komplex om användaren skulle tappa eller byta ut en enhet.

Lösenordsfri inloggning med mobilen

Lösenordsfri inloggning med hjälp av hårdvarunyckel har funnits ett tag. En ny möjlighet är att kunna logga in utan lösenord och med mobilen.

Det var i maj 2022 som Apple, Google och Microsoft annonserade att de skulle bygga in stöd för lösenordsfri inloggning i sina operativsystem och webbläsare. Man ville nyttja FIDO-protokollen för att få maximal säkerhet men samtidigt underlätta hanteringen genom att använda en enhet som användaren redan har tillgång till.

Detta har också blivit verklighet. Lösenordsfri inloggning med mobiltelefonen är nu möjligt, till deras plattformar och andra siter där du kan använda ditt Apple-, Google-, Microsoftkonto. Du får en notifiering till telefonen och godkänner genom att låsa upp med pinkod, fingeravtryck eller ansiktsigenkänning.

Rent tekniskt har de utvecklat FIDO/WebAuthn-standarden så att bluetooth kan nyttjas som bärare av kontouppgifter mellan dator och telefon.

Är lösenordens tid förbi?

Så kommer lösenorden helt att försvinna? Nej, vi kommer inte helt att slippa lösenorden, åtminstone inte inom en överskådlig framtid.

Dels finns det en del systemkrav för att kunna nyttja de nya inloggningsmöjligheterna. Till exempel behöver du ha en mobil med Android 7 eller senare och en dator med TPM-chip med Windows 10 eller 11.

Säkerhetsexpert Per Thorsheim säger, i en artikel på Voister, att det kommer dröja minst fem år innan de flesta användare har enheter som stödjer Webauthn-lösningen.

Dessutom kommer möjligheten att logga in utan lösenord bara att finnas på sajter som själva bygger in stödet.

Kombinera för optimal mix av säkerhet och användarvänlighet

De nya lösenordsfria inloggningsmöjligheterna är säkrare än lösenord tillsammans med MFA. Men de är inte lika säkra som lösenordsfri inloggning med hårdvarunyckel.

Här finns emellertid en möjlighet för organisationer med hårda säkerhetskrav.

Genom att kombinera olika lösningar kan du få en optimal mix av säkerhet, flexibilitet och användarvänlighet. Du kan t.ex. använda en nyckel (för mobilinloggning) som flyter mellan olika enheter samt dedikerade hårdvarunycklar som är hårt knutna till respektive enhet (dator och mobil) för maximal säkerhet.

Avslutningsvis

Att vi kommer att kunna logga in lösenordsfritt till operativsystem och de mest använda tjänsterna på nätet är i sig en enormt positiv utveckling. Det gör att inloggning blir säkrare och smidigare för många organisationer jämfört med vad de har idag.

Dessutom slipper du som användare strulet med att skapa, komma ihåg, hitta och fylla i lösenord.

Men, en tillvaro helt utan lösenord, ser det inte ut som om vi kommer att få, i alla fall inte inom den närmaste framtiden.