Passnøkler er den nye vaksinen mot phishing!

Ifølge Microsoft skjer det mer enn 4000 angrep på passord hvert sekund. I bransjen og blant de store teknologileverandørene er det bred enighet om at den beste vaksinen mot phishing, er passnøkler. I Buypass har vi levert ID-Nøkkel med passnøkkel (FIDO-teknologi) i snart 4 år. Det har vi og våre kunder hatt svært gode erfaringer med. Ikke minst når det gjelder å løse behovet for eID på høyeste regulerte sikkerhetsnivå i Norge og EU. Passnøkler er enkle å ta i bruk for tjenesteleverandørene og deres brukere, og de er tilnærmet immune mot phishing.

Passnøkler må bli den nye standarden

Tilbydere av nettjenester – både offentlige og private, bør ta i bruk passnøkler for å sikre tjenestene og brukerne mot angrep. Teknologien er velprøvd, tidsbesparende, trygg og enkel å bruke både på PC og mobile flater.

Alle de store teknologileverandørene har gjennom samarbeid lagt til rette for bruk av passnøkler som sikkerhetsmekanisme. Dermed er det enkelt for brukersteder å ta teknologien i bruk. Det er heller ikke behov for å installere programvare hos brukerne, og teknologien kan enkelt implementeres hos brukerstedene og tilpasses en rekke sikkerhetsnivåer.

Utenfor Europa er teknologien i rask utbredelse, både i offentlig og privat sektor. Benytter du eksempelvis Google-login som ID-tjeneste vil passnøkler ofte være førstevalget. Microsoft Azure og 365 kan enkelt konfigureres til å akseptere passnøkler der hvor Microsoft er plattformen.

Hva gjør passnøkler så sikkert mot phishing?

Passnøkler er bygget på offentlig nøkkel-kryptografi hvor den private nøkkelen er lagret og sikret enten på brukerens personlige PC/mobil, eller på en ekstern nøkkelbærer. Denne enhetsbaserte lagringen forhindrer angripere i å hente passord eksternt, selv om de kompromitterer en brukers nettkonto. I tillegg er Passnøkkel-teknologi bygget på FIDO2-standarder som gir sterk phishing-motstand og beskyttelse mot credential stuffing-angrep. FIDO2 bruker kryptografiske protokoller for å verifisere ektheten til nettsteder og applikasjoner, og hindrer brukere i å ubevisst skrive inn passordene sine på phishing-nettsteder.  

En av de viktigste egenskapene ved passnøkler er at de er knyttet mot det enkelte domenet. Hvis en angriper har et annet domene, vil ikke nøkkelen fungere. Passnøkler inneholder heller ingen informasjon som en angriper kan fange opp og misbruke. Og skulle du uforvarende gi fra deg pin-kode til din(e) passnøkkel, er passnøkkelen lagret lokalt og ikke tilgjengelig for en angriper. Om en angriper får tak i nøkkellagret ditt så er nøkkelen anonym og har ingen informasjon om hvor den passer.

Tilbydere som Apple og Google legger til rette for at en passnøkkel automatisk er tilgjengelig på alle enheter. En passnøkkel på mobilen, vil fordeles til de enhetene brukeren trenger den i. Ved behov kan tjenestetilbyderen sette begrensninger tilpasset tjenestene sine, f.eks. for tilgang til helseopplysninger eller samfunnskritiske funksjoner. Tilgang til regulerte tjenester via Buypass ID-nøkkel er et eksempel på dette.

Hva er en passnøkkel?

1. En passnøkkel er et kryptografisk nøkkelpar hvor privat nøkkel ligger lokalt og offentlig nøkkel hos brukersted.
2. Trygg mot lekkasje av passord fra online tjenester. Fordi tjenestetilbyderen bare beholder offentlige nøkler, er servere mindre verdifulle mål for hackere.
3. Trygg mot phishing. Passnøkler er iboende knyttet til appen eller nettstedet de ble opprettet for, slik at folk aldri kan bli lurt til å bruke passordet sitt for å logge på en uredelig app eller nettside.

Ønsker du å lære mer om Passnøkler og hvordan komme i gang?

• Les mer om Buypass løsninger – Passnøkler med ID-nøkler for regulerte tjenester

• Se FIDOAlliance.org og Getting Started for Developers.

Ta gjerne kontakt med oss dersom du har spørsmål til hvordan du og din virksomhet kan ta teknologien i bruk.