Lösenord försvinner inte
Förra året fanns det nyhetsartiklar som cirkulerade på internet och hävdade att stora teknikföretag förenade sig för att eliminera lösenord. Vissa startups deklarerade till och med att lösenord var föråldrade och utdaterade.
Founder
Inledning
Förra året fanns det nyhetsartiklar som cirkulerade på internet och hävdade att stora teknikföretag som Apple, Google och Microsoft förenade sig för att eliminera lösenord. Vissa startups deklarerade till och med att lösenord var föråldrade och utdaterade. Efter att ha fördjupat mig i identitetshanteringens område i månader, började jag ifrågasätta validiteten och praktiken i dessa påståenden.
Vad gör ett lösenord?
Vid första anblicken verkar svaret uppenbart: lösenord används för inloggning och identitetsverifiering. Men jag har en annan synvinkel om du betraktar det faktum att lösenord inte verkligen kan verifiera vem du är:
- När en användare loggar in på en webbplats med en e-post och lösenord, har webbplatsen ingen möjlighet att bekräfta den faktiska personen bakom dessa uppgifter. Det kan vara en människa eller till och med en katt.
- Vem som helst kan låsa upp en iPhone med rätt PIN-kod.
I verkligheten är syftet med ett lösenord att anonymt bevisa ägandet av något: ett användarkonto, en enhet eller tillgång till en dörr.
De nuvarande "lösenordsdödarna"
De tidigare nämnda företagen har föreslagit olika "lösenordsdödare." Många hävdar att de är säkrare alternativ som eliminerar behovet av att användare ska komma ihåg komplexa, statiska lösenord under autentisering. Men de flesta av dessa alternativ är inte helt praktiska för att helt ta bort lösenord.
FIDO-autentisering
FIDO (Fast Identity Online) autentisering, som förklaras i den officiella dokumentationen, använder tekniker för offentlig nyckelkryptografi för registrering och inloggning (det är värt att notera att WebAuthn är en kärnkomponent i FIDO2-specifikationerna). På ytan verkar processen tilltalande:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M199.609%2c35L203.776%2c35C207.943%2c35%2c216.276%2c35%2c223.943%2c35C231.609%2c35%2c238.609%2c35%2c242.109%2c35L245.609%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M475.094%2c35L479.26%2c35C483.427%2c35%2c491.76%2c35%2c499.427%2c35C507.094%2c35%2c514.094%2c35%2c517.594%2c35L521.094%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M689.141%2c35L693.307%2c35C697.474%2c35%2c705.807%2c35%2c713.474%2c35C721.141%2c35%2c728.141%2c35%2c731.641%2c35L735.141%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(103.8046875%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='191.609375' y='-27' x='-95.8046875' style='' class='basic label-container'/%3e%3cg transform='translate(-65.8046875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='131.609375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRegistrering b%c3%b6rjar%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(362.3515625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='225.484375' y='-27' x='-112.7421875' style='' class='basic label-container'/%3e%3cg transform='translate(-82.7421875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='165.484375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAnv%c3%a4ndargodk%c3%a4nnande%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(607.1171875%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='164.046875' y='-27' x='-82.0234375' style='' class='basic label-container'/%3e%3cg transform='translate(-52.0234375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='104.046875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eNyckel skapad%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(783.3671875%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='88.453125' y='-27' x='-44.2265625' style='' class='basic label-container'/%3e%3cg transform='translate(-14.2265625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='28.453125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eKlar%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Enkelt, eller hur? Tyvärr finns det ett betydande hinder på vägen: kompatibilitet. När det jämförs med den traditionella kombinationen av "identifierare och lösenord," kräver FIDO-autentisering:
- Webbplatser eller appar som stöder FIDO.
- Webbläsare och/eller operativsystem som stöder FIDO.
- Användarenheter som har en användarvänlig verifieringsmekanism.
Om någon av dessa krav inte uppfylls blir FIDO-autentisering otillgänglig, vilket tvingar fram ett kringgående med andra metoder.
Dessutom, även om alla villkor är uppfyllda, vad kvalificerar som en "användarvänlig verifieringsmekanism" på en enhet? För närvarande kan det innefatta biometriska metoder som fingeravtryck eller ansiktsigenkänning, tillsammans med en reservmöjlighet som en PIN-kod, även kallad lösenord. I slutändan är vi tillbaka på ruta ett.
Tekniskt sett är det inte en "lösenordsdödare" utan snarare en säkrare och användarvänlig autentiserings- eller verifieringsprocess som skyddas av lösenord.
Engångslösenord
Även om namnet innehåller termen "lösenord", är engångslösenord (OTP) inte traditionella lösenord eftersom de är dynamiska. Det finns två populära typer av OTP:
- Tidsbaserat engångslösenord (TOTP): Genererat algoritmiskt med aktuell tid som en källa till unikhet. Det används ofta i multi-faktor-autentisering (MFA) eller 2FA.
- SMS/E-post engångslösenord: Genererat på servern med hjälp av slumpmässiga algoritmer. I vissa länder har det använts flitigt som en primär inloggningsmetod.
TOTPs kanske inte är lika erkända vid namn. Till exempel, när en webbplats uppmanar dig att ställa in MFA och använda en app som Google Authenticator eller Duo för att skanna en QR-kod, använder du troligen TOTP. Du kanske också har märkt att webbplatsen ofta visar en lång "återställningskod" och råder dig att spara den eftersom den bara visas en gång. Vissa webbplatser uppmuntrar till och med användare att skriva ut den på papper. I huvudsak fungerar denna återställningskod som ett långt lösenord.
När det gäller SMS/e-post OTPs kan de vara dyra och opålitliga:
- Att bygga en SMS- eller e-postsändare från grunden kräver installation.
- E-postsändare behöver etablera ett positivt "rykte" för att förbättra leveransbarheten, annars kan sändaren flaggas som skräppost.
- Varje land har sina egna mobiloperatörer, vilket leder till oförutsägbara leveranstider och betydande kostnader för att skicka SMS, särskilt för startups.
Biometri
Termen "biometrisk" avser att endast använda biometriska metoder för nätverksautentisering. I själva verket finns det en grundläggande skillnad jämfört med andra metoder: biometrisk autentisering flyttar den ursprungliga uppgiften att "bevisa ägandet av något" till "bevisa vem du är." På grund av integritetsproblem används biometriska metoder främst för lokal autentisering.
Lösenord är dock inte perfekt
Som vi kan se, "lösenordsdödare" är i huvudsak att dölja lösenord eller använda lösenord som reservalternativ. Här är en sammanfattning av fördelarna med lösenord baserat på vår diskussion:
- Tillgänglighet och kompatibilitet: Lösenord kan användas i olika system och är tillgängliga för ett brett spektrum av användare.
- Kostnadseffektivitet och mångsidighet: Lösenordsbaserad autentisering är generellt kostnadseffektivare än andra metoder och anpassningsbar till olika scenarier.
- Anonymitet och integritet: Lösenord tillåter anonym användning och skyddar användarens integritet.
Men varje mynt har två sidor. Även om lösenord har sina fördelar, innebär det stora sårbarheter att enbart förlita sig på dem för autentisering. De kan vara svåra för slutanvändare att hantera, och om webbplatsägare misslyckas med att följa korrekta säkerhetspraxis, blir lösenord lätta att kompromettera. Farliga säkerhetspraxis inkluderar, men är inte begränsade till:
- Tillåta svaga eller läckta lösenord.
- Brist på enforcement av HTTPS för anslutningar.
- Användning av osäkra hash-algoritmer.
- Misslyckande med att strikt följa beprövade standarder som OAuth eller OpenID Connect (OIDC).
- Exponera databasen för allmänheten.
Slutsats
Jag avser inte att underminera någon av de nämnda autentiseringsmetoderna ovan. Tvärtom, när jag arbetar med att bygga Logto, har jag utvecklat en djup respekt för dessa anmärkningsvärda autentiseringsmetoder och individerna bakom dem.
Icke desto mindre är det omöjligt att uppnå 100% säkerhet. Det vi kan sträva efter är att minska möjligheten för attacker. Ett effektivt tillvägagångssätt är att kombinera lösenordsbaserad autentisering med engångslösenord baserat på aktuell enhet eller miljö, vilket lägger till ett extra lager av verifiering och har använts i stor utsträckning. Genom att dra nytta av styrkorna hos olika autentiseringstekniker kan vi skapa ett flerstegstillvägagångssätt som ger starkare skydd.
Avslutningsvis, istället för att fokusera på modeord som "lösenordsdödare" när lösenord inte verkligen elimineras, skulle det vara mer värdefullt att koncentrera sig på att uppnå en balans mellan säkerhet och användarupplevelse. Detta innebär att förstå styrkorna och begränsningarna hos olika autentiseringsmetoder och implementera dem på ett sätt som säkerställer både användardatans säkerhet och en sömlös användarupplevelse.