Norsk sikkerhetsmyndighet (NSM) anbefaler phishing-resistente løsninger som passnøkler (passkeys) for autentisering. Fordelen er at det ikke brukes passord, og dermed elimineres muligheten for svindel, som i phishingangrep, passord-lekkasje og “mann-i-midten-angrep». Sikkerheten i løsningen baserer seg på et sett med kryptografiske nøkler som er bundet til din dataenhet samt bundet til riktige nettsider/domener.
Passord er det svakeste leddet
Etter flere 10-år med fokus på sikre passordvalg, viser det seg nå at passordet er det svake leddet i sikkerhetskjeden og er i ferd med å erstattes av passnøkler.
Årsaken er at ondsinnede aktører i økende grad tar seg forbi tradisjonell flerfaktor-autentisering. De kan lure til seg passord, engangskoder og i tillegg få bruker til å akseptere pushvarsler ved hjelp av sosial manipulering.
Mottar du en suspekt lenke som ser troverdig ut, klikker på den, går inn på den falske nettsiden og i tillegg legger inn passord og sensitiv info, da kan det virkelig gå galt. NSM viser til at angrepene retter seg særlig mot Microsoft 365-kontoer og økonomisk vinning via faktura-svindel. Det er dette en passnøkkel med kryptografisk signering skal hindre.
Målet er å erstatte passord
Passnøkler er et produkt fra FIDO Alliance (Fast Identity online), som Apple, Google og Microsoft har forpliktet seg til å støtte på tvers av plattformene. Teknologien bak passnøkkel ble startet i 2012, og i 2022 annonserte de store tech-selskapene sin støtte.
I 2022 var Apples iOS16 den første som tok passnøkler i bruk, og allerede i dag har de fleste nye PCer og nettbrett teknologien tilgjengelig. Målet er å erstatte bruken av passord som autentisering, og at passnøkkel blir en standard som gjør innloggingen enklere og sikrere.
Passnøkler beskytter løsningen
Istedenfor å sende passord eller SMS over nettet, som kan stjeles, utvikler dataenheten din et sett med passnøkler.
En privat nøkkel som lagres på din dataenhet
En offentlig nøkkel som blir registrert på nettsiden du skal logge inn på
Ved innlogging må dataenheten bevise at den har den rette nøkkelen, og nettsiden verifiserer nøkkelen som gir deg adgang. Deretter “kvitterer” du på din dataenhet og med din biometri, at du er deg.
Løsningen må settes opp på en sikker måte
Passnøkkel beskytter løsningen, men ved bruk av passord og SMS i tillegg kan det være åpne bakdører for en angriper. Angriper kan f.eks. foreslå en annen innloggingsmetode – at du må bruke passord, og dermed kan du ende opp med å godta noe du ikke forstod. Det anbefales derfor å unngå passord og SMS, og ta i bruk passnøkler der det er mulig.
Feil ved gjenoppretting er ofte den største sårbarheten. Synkroniseringen må være riktig konfigurert, ellers kan nøkkelen havne på feil enhet. Gjenoppretting krever en sterk identitetskontroll.
Passnøkkelen er knyttet til din brukerkonto og administreres via f.eks. Microsoft, Google eller Apples plattformkonto.
Hva gjør du hvis du mister enheten?
NSM anbefaler virksomheter å ha definerte rutiner for gjenoppretting. Din private passnøkkel kan ikke deles eller sendes, og det finnes ingen sentral lagring av nøkkelen som gjør at den kan gjenopprettes direkte. Du gjenoppretter ikke selve nøkkelen, den forlater aldri enheten, men du gjenoppretter tilgang basert på identiteten din og synkronisering.
Dersom du mister enheten din, må du kontakte IT-avdelingen i din bedrift for å få hjelp til å nullstille passnøkkelen, bekrefte identiteten din manuelt og registrere ny nøkkel.
FIDO-alliansen anbefaler dessuten å ha flere enheter med passordnøklene på, slik at du kan bekrefte identiteten din selv dersom du mister én enhet.
Kontakt oss for mer informasjon, vi hjelper deg med en sikker dataløsning.
Vil du lese mer om dette emnet:
Hva er en tilgangsnøkkel? Sikre pålogginger | Microsoft Sikkerhet
