WebAuthn

Passordfri innlogging har blitt offisiell webstandard

Skal kunne stoppe phishing.

WebAuthn skal gjøre det enklere for nettsteder å støtte innlogging med andre autentiseringsmetoder enn passord.
WebAuthn skal gjøre det enklere for nettsteder å støtte innlogging med andre autentiseringsmetoder enn passord. (Illustrasjon: FIDO Alliance, Colourbox. Montasje: digi.no)

Skal kunne stoppe phishing.

WebAuthn er navnet på en mye omtalt, ny standard som blant annet lover oss en passordfri webfremtid, og nå har dette tatt et viktig skritt mot realisering. WebAuthn-standarden har nemlig nå fått sin offisielle godkjennelse.

World Wide Web Consortium (W3C) og FIDO-alliansen opplyser i en pressemelding at Web Authentication-spesifikasjonen er blitt en offisiell webstandard.

Les også: Bred enighet om standard for passordfri webinnlogging

Oppfordrer til å implementere støtte

– Nå er det på tide at webtjenester og bedrifter adopterer WebAuthn for å komme seg bort fra sårbare passord og hjelpe brukere med å heve sikkerheten på nettet, sier W3C-sjef Jeff Jaffe i pressemeldingen.

WebAuthn definerer et programmeringsgrensesnitt som webapplikasjoner benytter til å opprette og bruke offentlig nøkkel-akkreditiver for å utføre sikker autentisering av brukere.

Med støtte på plass, er det altså mulig å autentisere seg med et offentlig/privat nøkkelpar generert av en ekstern autentiseringsenhet som for eksempel en fysisk sikkerhetsnøkkel, brukerens mobiltelefon, PC, eller andre enheter.

Sammen med resten av FIDO2 sørger WebAuthn for at innloggingen skjer kryptografisk. Det er ingen passord, fingeravtrykk eller engangskoder som forlater enheten eller lagres på serversiden. Dermed er det heller ingenting brukerne kan narres til å gi fra seg under et phishingsangrep. 

På plass de fleste steder

I tillegg til at webtjenester må bygge inn støtte for WebAuthn, kreves det også at nettlesere og operativsystemer har støtte for teknologien.

Støtten er imidlertid allerede på plass i både Windows 10, Android, Chrome, Mozilla Firefox, Microsoft Edge og i en testutgave i Apple Safari, kan W3C-sjefen bekrefte i pressemeldingen.

Ifølge W3C er stjålne eller svake passord ansvarlig for 81 prosent av datalekkasjer, og i tillegg tar de opp mye tid.

Før WebAuthn kan bli utbredt, må tjenester og bedrifter altså først implementere løsningen, og her gjenstår det ennå en del arbeid.

Mer teknisk informasjon om WebAuthn finner du hos World Wide Web Consortium. Eksempelkode finnes blant annet hos Mozilla.

Les også: Android-enheter har fått bedre støtte for passordfri app- og webinnlogging »

Kommentarer (12)

Kommentarer (12)
Til toppen