Noen mennesker kan ikke slutte å snakke om passordets død. Passord er gamle, usikre og lett lekket. Snart vil vi alle bruke biometri, sikkerhetsnøkler for maskinvare og andre futuristiske løsninger - ikke sant? Vel, ikke så fort.
Vi snakket med 1Password’s sikkerhetssjef, Jeffery Goldberg, som sa at han er, "forsiktig optimistisk for at vi denne gangen kan se en buk i passordproblemet."
Det er den optimistiske løsningen - og det er langt fra passord.
Hvorfor folk vil drepe passordet
Når vi diskuterer selskapets mål om " Å bygge en verden uten passord, ”Tilbake i mai 2018 skrev Microsofts sikkerhetsteam:
“Ingen liker passord. De er upraktiske, usikre og dyre. Faktisk misliker vi dem så mye at vi har vært opptatt på jobb med å prøve å skape en verden uten dem - en verden uten passord. "
Passord har blitt mer irriterende over tid, og vi har alle blitt kloke med risikoen ved å bruke et nytt. Hvis du bruker samme passord på flere nettsteder og det er passordlekkasje, kan ditt brukes til å få tilgang til kontoen din på et annet nettsted. Så du må velge et sterkt, unikt passord for hver tjeneste du bruker. Borte er dagene med å bruke et kort, enkelt passord på en håndfull nettsteder.
For de fleste som ikke har overmenneskelige minner, er det umulig å huske et sterkt, unikt passord for hver online-konto. Derfor Vi anbefaler passordadministratorer —De husker alle de sterke, unike passordene for deg. Du må bare huske hovedpassordet ditt, som er mye enklere enn å huske 100, og mye sikrere enn å bruke det samme.
Selv med en passordbehandling er dette imidlertid ikke helt sikkert. Noen med en keylogger på systemet ditt kan fange passordet ditt og logge på som deg. Dette er hvorfor tjenester gir ekstra sikkerhet. Vi skriver ofte inn et passord og må deretter autentisere en gang til med en kode eller nøkkel.
Er det en bedre måte?
Hva kan erstatte passordet?
Goldberg sa at han har sett "ordning etter ordning" foreslått å drepe passord de siste tjue årene, hvorav mange ikke lærte av det som hadde mislyktes tidligere. Men nyere kan ha større sjanse for å lykkes på grunn av fremskritt som kraftigere lokale enheter.
Biometri kan erstatte et passord. Du kan bruke Touch eller Face ID (biometri) til å logge på iPhone i stedet for å skrive en PIN-kode. Android-telefoner har også fingeravtrykk og ansiktsinnloggingsfunksjoner.
Du kan også nå opprette "passordløse" Microsoft-kontoer for å logge på Windows. Brukernavnet ditt er telefonnummeret ditt, og "passordet" du skriver er en kode som sendes til telefonnummeret ditt via SMS.
Du kan også bruke en fysisk sikkerhetsnøkkel i stedet for et passord for å autentisere online-kontoene dine. Du holder nøkkelen med deg (du kan til og med ha den på nøkkelringen) og bruker den via USB, NFC eller Bluetooth når det er på tide å logge på.
Telefoner kan også erstatte passord. Google lar nå Android-enheter fungere som FIDO2-nøkler . Du må kanskje også autentisere med et fingeravtrykk på telefonen din når du logger på et nettsted på den bærbare datamaskinen.
Mange selskaper prøver å redusere avhengigheten av passord ved å tilby leverandører av "enkel pålogging". Dette er når du logger på Facebook, Google osv., Og deretter bruker kontoen til å logge på andre tjenester - ingen ekstra passord er nødvendige.
Passord "Erstatninger" Ikke erstatt passord
Det er imidlertid et stort problem her. Teknologier utropt som "erstatninger" med passord er egentlig ikke erstatninger - i det minste ikke ennå.
Biometri, som ansikts- eller berørings-ID, krever fremdeles både passord og et Apple ID-passord på enheten din. Noen oppgaver krever også en PIN-kode for bakgrunnskrypteringsformål. Biometriske funksjoner på Android og Windows Hello på Windows 10 fungerer på samme måte - i utgangspunktet som en praktisk funksjon. Det er lettere å logge på enheten din fordi du ikke trenger å skrive inn passord hver gang, men det gjør det ikke erstatte ditt passord.
En passordfri konto som sender telefonkoder til deg, er heller ikke bra. I stedet for ett passord for kontoen din, genererer denne tjenesten et nytt hver gang du prøver å logge på og sender det til deg via SMS. Dette er mindre sikker enn den tradisjonelle metoden med et enkelt passord pluss en sikkerhetskode som blir sendt til deg når du logger på.
Dessverre stjeler angripere lett telefonnumre i mange situasjoner, noe som gjør dette mindre sikkert. Det er en flott metode for å nå folk i land der telefonnumre er allestedsnærværende, og det reduserer friksjonen ved å registrere seg for en konto, og det er også derfor Amazon tilbyr dette. Men det er ikke en god løsning å erstatte passord.
De fleste tjenester som har tatt i bruk fysiske sikkerhetsnøkler bruker dem som et ekstra autentiseringsalternativ . Du logger fortsatt på med passordet ditt, og gir deretter sikkerhetsnøkkelen som en sekundær bekreftelse for å komme inn. Muligheten til å bruke en nøkkel uten passord er fortsatt langt unna.
Det er også et personvernproblem med påloggingstjenester. Når du klikker “Logg på med Google” eller “Logg på med Facebook”, vet tjenesteleverandøren - Google eller Facebook - hva du logger på.
Det vil alltid være passord (i bakgrunnen)
Selv om Googles drøm om å erstatte passord med telefoner blir oppfylt, vil det ikke eliminere passordet. The Verge oppsummerte Googles planer på denne måten: "Hvis du allerede er logget på telefonen din, kan dette brukes til å" starte "den neste enheten du vil logge på Google-kontoen din."
Du kan unngå å bruke passordet i lang tid, men det er fortsatt der i bakgrunnen. Tross alt trenger du det hvis du mister alle enhetene dine.
Passord er fortsatt utbredt. De er enkle å sette opp og bruke. Passord "erstatninger" gir mer bekvemmelighet eller ekstra sikkerhet. Men du trenger alltid en måte å få tilgang igjen hvis du mister enheten din og ikke kan bruke biometri eller maskinvaresikkerhet.
"Jeg tror det alltid kommer til å være kantsaker som krever passord," sa 1Passwords sjefsdirektør Matt Davey. Logg for eksempel på med Apple på iOS 13 tilbyr et nettbasert påloggingsalternativ som bruker Apple ID-passordet ditt når du logger på en ikke-Apple-enhet. Et passord fungerer overalt og er universell standard når fancy biometri eller maskinvaresikkerhetsfunksjoner ikke er tilgjengelige.
Som Goldberg sa, "Passord er bare veldig, veldig enkle" for nettsteder å implementere. "De er fortsatt det enkleste for tjenesteleverandører å bruke."
Derfor er 1Password bullish på fremtiden til passordadministratorer. Selskapet sa at det hadde sett flere nye brukere selv når konkurransen vokser, og selskaper som Apple, Google og Mozilla blir mer seriøse med passordadministrasjon.
Hva har fremtiden?
Drømmen om å drepe passordet er langt unna. Selv om prosessen går bra, er det beste tilfellet at vi vil komme oss sakte frem, med enklere alternativer til passord.
En gang kan passord være så forvist til bakgrunnen at de vil være en glemt kontogjenopprettingsmetode. Men de kommer nok til å være i lang tid fremover. Kampen om å forvise dem fra daglig bruk for flertallet av mennesker vil være lang og hard kamp. Men å drepe passord helt? Det er enda vanskeligere å forestille seg.
