Key takeaways
- iCloud Passkey tar bort lösenord och gör inloggningar mycket säkrare.
- WebAuthn är en webbläsarstandard för lösenordsfri autentisering.
- Både WebAuthn och iCloud Passkey använder offentlig nyckelkrypto för att utföra handlingen.
Med iCloud Passkey är Apple på väg att göra lösenordet föråldrat. Äntligen.
Lösenord är ett stort problem. Svaga eller stulna lösenord ligger bakom över 80 % av hackingintrången, och människor är bara hemska på att hantera lösenord. Antingen glömmer vi dem, använder namnet på våra hundar eller barn, eller använder samma lösenord för allt. Lösenordshanterare som NordPass eller iCloud Keychain kan hjälpa, men ett lösenord är fortfarande i grunden osäkert. Nyckelnycklar i iCloud Keychain, och den nya standarden WebAuthn, vill fixa detta, men kan de någonsin verkligen ersätta lösenordet?
"Om Apple rullar ut detta som standard på sina enheter kommer miljontals människor att vänja sig vid det och andra teknikjättar som Google kommer att följa efter", sa Christen Costa, vd för Gadget Review, till Lifewire via e-post.
Offentliga nycklar
Problemet med ett lösenord är att det måste hållas hemligt, men det måste också delas. iCloud-nyckeln använder något som kallas Public Key Cryptography. Denna består av två nycklar. Den offentliga nyckeln kan bara låsa saker, så det är säkert att dela; den privata nyckeln kan både låsa och låsa upp data, och den lämnar aldrig din enhet.
När du registrerar dig på en webbplats eller tjänst med iCloud-lösenord eller WebAuthn, genereras ett nytt nyckelpar och den offentliga nyckeln delas med tjänsten och ersätter ett lösenord. Haken är att du måste använda en av dina egna enheter för att logga in, men i praktiken kommer det sällan att vara ett problem, och säkerhetsfördelarna är enorma. Och om du redan använder en lösenordshanterare och tvåfaktorsautentisering, är du redan på en enhet som kör din lösenordshanterarapp.
Ett annat problem är dock om en angripare får tag i din enhet och kan komma åt den, då är alla spel avstängda. Men iOS och moderna Mac-enheter är mycket svåra att knäcka, och att stjäla en telefon är mycket mer ansträngning än att skicka nätfiske-e-post.
Lösenkoder i iCloud-nyckelring är lätta
Att använda lösenord i iCloud-nyckelring är enkelt. När du registrerar dig för ett nytt användarkonto på en webbplats anger du en e-postadress och din iPhone kommer att be dig bekräfta att du skapar ett konto. Det är allt. Den nya lösenordsnyckeln lagras i din nyckelring, och den offentliga delen lagras av webbplatsen.
Den stora skillnaden är att den offentliga nyckeln är utformad för att vara offentlig. Det behöver inte döljas eller hållas hemligt. Om webbplatsen hackas är det meningslöst att stjäla alla dessa offentliga nycklar, eftersom de inte kommer att göra någonting. Dessa massiva lösenordsintrång du läser om med några veckors mellanrum? De kommer att vara ett minne blott.
"Om vi undersöker hur lösenord fungerar idag, anger du först ditt lösenord, sedan fördunklas det vanligtvis genom något som hash plus s altning, och den resulterande s altade hashen skickas till servern", säger Apples Garrett Davidson i en WWDC session som heter "Flytta bortom lösenord." "Nu har både du och servern en kopia av hemligheten, även om serverns kopia är otydlig, och ni är båda lika ansvariga för att skydda den hemligheten."
Vad sägs om din lösenordshanterare?
Den här tekniken kan tyckas stava undergång för appar för lösenordshanterare, men det gör liten skillnad. De flesta användare litar redan på den inbyggda iCloud-lösenordshanteraren.
Poweranvändare, den typen av människor som gillar extrafunktionerna och kopplar bort sina lösenord från sitt Apple-ID, kommer att fortsätta använda fristående appar.
Om Apple rullar ut detta som standard på sina enheter kommer miljontals människor att vänja sig vid det och andra teknikjättar som Google kommer att följa efter.
"Ingen vill ha fler konkurrenter, men sådana inbyggda lösningar är inte webbläsarens primära fokus", säger Nordpass säkerhetsexpert Chad Hammond. "Därför löser de inte samma globala problem som lösenordshanterare gör. Den primära funktionen för en webbläsare är att ge användaren tillgång till information, och en lösenordshanterare är bara en av de många funktioner den erbjuder. I dedikerade lösenordshanterare, det är huvudfunktionen."
Å andra sidan kan Apples räckvidd sätta denna nya autentiseringsteknik i många händer, vilket är en vinst för alla. Kontaktlösa betalningar fanns före Apple Pay, men tog fart först i USA efter att Apple lagt till det på iPhone. Lösenord försvinner inte inom kort, men äntligen har vi ett alternativ som är i sig säkert, lätt att använda och som inte låter dig använda namnet på din hund. Igen.
