Snart får også Microsofts nettleser støtte for passordfrie innlogginger

[AfterGlow]

Bygger inn støtte forWebAuthn-teknologien.

Snart får også Microsofts nettleser støtte for passordfrie innlogginger

[Sandormen]

Betyr det at man kan åpne nettbanken med Cortana? Jeg ser ingen problemer med passordfri innlogging, neida.

[Bolson]

Betyr det at man kan åpne nettbanken med Cortana? Jeg ser ingen problemer med passordfri innlogging, neida.

 

Nei! Får å få til passordfri innlogging, dvs med annen form for authentisering må:

a) Nettleseren må støtte Web Authentication

b) Nettsidens innlogging ha etablert støtte for Web Authentication samt hvilke autentiseringer som skal være mulig.

 

Og det har intet med Cortana å gjøre i det hele tatt.

 

Nå har faktisk de fleste nettbanker faktisk allerede passordfri innlogging - fordi innlogging med passord er den desidert dårligste og mest usikre innloggingsmetode som finnes. Støtte for Web Authentication i nettlesere åpner for lang mer bruk av metoder som fingeravtrykk, irisgjenkjenning, kodebrikke og vil gi langt bedre tofaktorløsninger.

[sedsberg]

Hvordan bytter man fingeravtrykk og iris når dette havner på avveie?

[Bolson]

Hvordan bytter man fingeravtrykk og iris når dette havner på avveie?

 

Eneste måten det kan havne på avveie er at man kutter av fingeren eller tar ut øyet. Teknologien kan faktisk i dag i stor grad verifisere om dette er tilfelle, og det er i mindre og mindre grad mulig å lure systemene med foto eller avtrykk.

 

Men uansett vil tofaktor være et must - og iris + passord er langt bedre enn passord + sms.

[sedsberg]

Nja, skeptisk. Biometridataene må lagres slik at innloggingen kan verifiseres. Disse dataene kan lett havne på avveie.

[Bolson]

Nja, skeptisk. Biometridataene må lagres slik at innloggingen kan verifiseres. Disse dataene kan lett havne på avveie.

 

Faktisk ikke - fordi man ikke lagrer biometridata i den forstand som vil lagrer passord. Det er mange som tror det, men iris, yubikey, fingeravtrykk brukes bare til å skape den hardwarenøkkelen som faktisk brukes til selve autentiseringen.

 

Det har også den konsekvensen at fingeravtrykket ditt som virket på PC X, ikke virker på PC Y - uten at den også er satt opp korrekt. Det er også derfor dette må settes opp på nettsidene, da vi må lagre nøkler og ikke passord (selv om de er hasha). Samme bruker kan også ha flere nøkler.

 

https://www.yubico.com/2018/08/10-things-youve-been-wondering-about-fido2-webauthn-and-a-passwordless-world/.

 

Denne artikkelen forklarer litt mer, selv om dette gjelder Yubikey, så er prinsippet det samme for all ulik passordløs verifisering. Fingeravtrykk, iris etc blir håndtert av CTAP - Client to Autheticator Protocol - og forteller nettleseren - jo dette er Hans Hansen med brukernavn [email protected] som har følgende nøkkel. Nøkkelen blir da sjekket - og ved OK så er du logget inn (privat - offentlig nøkkel). Biometridataene er altså kun lagret på den gjeldende enheten. Så man trenger altså både finger og enhet - akkurat som at man ikke klarer å bruke Touch Id og Apple Pay med egen finger på en annens iPhone.

[sedsberg]

Vel og bra men det forutsetter at alt her helt perfekt og uknekkelig helt fra starten og videre. Når systemet da om sider blir kompromittert så sitter man der. Da er det tilbake til passord.

[Emancipate]

Nå har faktisk de fleste nettbanker faktisk allerede passordfri innlogging - fordi innlogging med passord er den desidert dårligste og mest usikre innloggingsmetode som finnes. Støtte for Web Authentication i nettlesere åpner for lang mer bruk av metoder som fingeravtrykk, irisgjenkjenning, kodebrikke og vil gi langt bedre tofaktorløsninger.

Passord er den desidert sikreste metoden, hvis man har et godt passord.

 

Kommer passordet på avveie, kan du bytte det. Men du kan ikke bytte fingeren.

 

Irisen din er ikke hemmelig, den viser du til alle du møter, med mindre du har solbriller på.

 

En kodebrikke (uten talltaster, med bare en knapp), kan stjeles eller mistes.

 

En kodebrikke med talltaster, tar kun fire siffer, noe som er håpløst svakt.

 

Noen bruker dog bankID på mobil istedenfor brikke. Da har man ikke det samme problemet, ettersom man kan ha bedre sikkerhet på mobilen. F.eks. ..... ved et passord.

[Bolson]

Vel og bra men det forutsetter at alt her helt perfekt og uknekkelig helt fra starten og videre. Når systemet da om sider blir kompromittert så sitter man der. Da er det tilbake til passord.

 

Hva mener du skal bli kompromittert. Klart ingenting er perfekt, og det kan vise seg å være sikkerhetshull i implementering, programvare og hardware. Men privat - offentlig nøkkel autentisering som faktisk er en hoveddel av prinsippet her er faktisk brukt i 30 år uten at noen har klart å knekke prinsippet. Man har klart å knekke nøkler fordi kryptering har vært for svak osv - men da har man bare byttet protokoll eller økt antall bit i nøkkelen.

 

Og alt her som kan kompromitteres kan faktisk oppgraderes - alt dette er primært metode - ikke fastlåst teknisk løsning.

 

Og når det gjelder passord - passord som metode er kompromittert gang på gang - og det er altfor få nettsteder som virkelig bruker sikre metoder for å lagre passord. Men vi kan bruke passord i dag - ikke fordi folk er flinkere til å lage lange passord, men fordi man hasher og salter og peprer passordet når det lagres - med stadig bedre algoritmer.