Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Byt lösenord mot säkra lösennycklar

Publicerad: 2024-10-24

Senast ändrad: 2024-11-05

Lösenord är en i grunden osäker inloggningsmetod. Det är därför du bör aktivera tvåfaktorsautentisering på alla konton där möjligheten finns. Tvåfaktorsautentisering är dock bara ett plåster på ett öppet sår. För att få säkra inloggningar på riktigt måste lösenordsinloggning ersättas helt. I den här artikeln berättar vi om lösennycklar och varför de är ett bra alternativ till lösenord.

Kan ersätta lösenord

För att en universell lösenordsersättare ska fungera och vara effektiv måste den fungera i alla länder och inte vara förenad med någon kostnad. Utöver detta måste också tillräckligt många webbplatser erbjuda inloggningsmetoden.

På grund av komplexiteten dröjde det till 2022 innan it-branschen uppfann och enades kring en ny inloggningsmetod som kan ersätta lösenord på riktigt. Metoden kallas ”lösennycklar” på svenska eller ”passkeys” på engelska.

Löser problemen med lösenord

Det finns många problem med traditionella lösenord, bland annat:

  • Användare väljer svaga lösenord som angripare kan gissa sig fram till (läs mer i vår artikel om säkra lösenord ).
  • Användare återanvänder samma lösenord på flera webbplatser (läs mer i vår artikel om lösenordshanterare ).
  • Användare glömmer sina lösenord.
  • Användare kan råka ut för nätfiskeattacker där de blir avlurade sina lösenord på klonade inloggningssidor.
  • Webbplatserna som användarna registrerar sig på kan råka läcka alla användares lösenord. Sök efter din egen e-postadress i sådana lösenordsläckor i vår databas över lösenordsläckor .

Problemen grundas i att lösenord bör vara hemligheter. En hemlighet är bara hemlig om den aldrig läcker, vilket lösenord har en tendens att göra.

Lösennycklar tar itu med alla dessa problem, eftersom du som användare inte behöver bevara någon hemlighet eller be webbplatsen som du registrerar dig på att skydda någon hemlighet.

Så fungerar lösennycklar

För att kunna logga in med lösennycklar behöver du en lösennyckelhanterare. Den fungerar som ett krypterat valv för alla dina lösennycklar. Den skapar en unik lösennyckel för varje webbplats och synkroniserar dina lösennycklar mellan dina enheter. Du kan logga in från dator, mobil eller surfplatta med en app eller webbläsartillägg. För att logga in på datorer där du inte kan eller inte vill installera lösennyckelhanterarens webbläsartillägg kan du använda din mobil för att logga in. 

Lösennnyckelhanteraren skyddas i sin tur av ett så kallat huvudlösenord som du väljer själv. Det är det enda lösenordet som du behöver minnas.

Skaffa en lösennyckelhanterare

Bitwarden, Proton Pass och 1password är tre exempel på lösennyckelhanterare. De två förstnämnda är kostnadsfria. Alla tre är i grund och botten traditionella lösenordshanterare (läs mer i vår artikel om lösenordshanterare ). De kan därför också spara lösenord och andra skyddsvärda uppgifter.

Apple och Google erbjuder kostnadsfria lösennyckelhanterare, men de fungerar inte på alla operativsystem. Apples lösning fungerar varken på Windows eller på Android. Googles lösning fungerar inte på IOS. Googles lösning är också låst till Googles egen Chrome-webbläsare på Windows och Mac OS.

Microsoft har byggt in något som liknar en lösennyckelhanterare i Windows 11. Den lösennyckelhanteraren bör dock aldrig användas eftersom den i skrivande stund (oktober 2024) saknar stöd för synkronisering och säkerhetskopiering.

Aktivera inloggning med lösennyckel

Det tar tid för ny teknik att slå igenom. Många webbplatser kräver fortfarande att du väljer ett lösenord när du skapar ett användarkonto. Däremot erbjuder allt fler webbplatser möjligheten att lägga till lösennyckel som en alternativ inloggningsmetod.

Du kan aktivera inloggning med lösennycklar hos bland annat Adobe, Amazon, Github, Google, Linkedin, Microsoft och Paypal. På webbplatserna Passkeys Directory och Passkeyindex finns uppdaterade listor med webbplatser som erbjuder detta.

För att aktivera inloggning med lösennyckel hos exempelvis Adobe loggar du först in som vanligt med användarnamn och lösenord. Adobe uppmanar dig då lägga till en lösennyckel för att öka säkerheten.

Skärmavbild av Adobes välkomstsida som visas när en användare loggar in. Uppmaningen ”Öka säkerheten med en lösennyckel” visas tydligt.

Adobe uppmanar sina användare att lägga till en lösennyckel för att öka säkerheten.

Tack vare din lösennyckelhanterares webbläsartillägg är Adobes uppmaning lätt att följa. Du klickar bara på att lägga till en lösennyckel och att spara den i din lösennyckelhanterare.

Skärmavbild av Adobes inställningssidor där knappen ”Lägg till” för lösennyckel är markerad. Bitwardens fönster visas ovanpå med uppmaningen ”Choose a login to save this passkey to”.

Det tar bara två knapptryck att lägga till en lösennyckel.

Nästa gång du ska logga in klickar du på ”Logga in med lösennyckel”. Då ber din lösennyckelhanterare dig att ange ditt huvudlösenord eller att låsa upp lösennyckelhanteraren på biometrisk väg (fingeravtryck eller ansiktsigenkänning). När du har gjort det loggar lösennyckelhanteraren in på Adobe-webbplatsen med den rätta lösennyckeln.

Skärmavbild av Adobes inloggningssida. Under lösenordsfältet finns en stor knapp med texten ”Logga in med en lösennyckel”.

Klicka på ”Logga in med en lösennyckel” för att logga in med en sådan i stället för ditt lösenord.

Inloggning på andra datorer

Var försiktig med att logga in på dina webbplatskonton på någon annans dator. Ibland är det dock ofrånkomligt. Då bör du använda din mobil för att, via Bluetooth, låsa upp kontot på webbplatsen där du vill logga in. Du ska inte ladda ned och låsa upp hela din lösennyckelhanterare på datorn i fråga.

Om du exempelvis vill logga in på ditt Adobe-konto från en kollegas dator väljer du att logga in med en lösennyckel och att lösennyckeln ligger på en annan enhet. Då visar webbläsaren en rutkod som du kan skanna med din mobilkamera. När du skannar koden upprättas en Bluetooth-anslutning mellan datorn och din mobil. Därigenom kan lösennyckelhanteraren på din mobil låsa upp ditt Adobe-konto på kollegans dator.

Skärmavbild av Adobes inloggningssida. Webbläsaren visar en stor qr-kod och ställer frågan: vill du använda en nyckel från en annan enhet?

Du kan använda din mobilkamera för att låsa upp dina lösennyckelskyddade konton på andras datorer.

Därför är lösennycklar säkra

När du använder lösennyckel påminner användarupplevelsen om en lösenordshanterare, men under ytan fungerar lösenordsinloggning och lösennyckelinloggning på två helt skilda vis.

När du loggar in med lösenord skickar du lösenordet varenda gång du loggar in, vilket är förenat med en risk. 

En lösennyckel består av två halvor. När du skapar en lösennyckel skickar du ena halvan till webbplatsen som du registrerar dig på. Den halvan är inte hemlig på något vis, och om den skulle läcka vid ett dataintrång är ingen skada skedd. Angripare kan varken utnyttja webbplatsens halva för att utföra nätfiskeattacker eller logga in som dig på andra webbplatser.

Den andra halvan är hemlig, det är den som sparas i din lösennyckelhanterare. Till skillnad från vid lösenordsinloggning lämnar den hemliga halvan aldrig din lösennyckelhanterare.

När du loggar in med en lösennyckel skickar webbplatsen en fråga till din lösennyckelhanterare, som i sin tur svarar. Webbplatsen kan sedan använda sin nyckelhalva för att bekräfta att svaret kommer från en lösennyckelhanterare med den rätta, hemliga nyckelhalvan – utan att behöva veta vad den hemliga lösennyckeln är.

Webbplatsen vet därmed också att du är användaren som du utger dig för att vara och kan släppa in dig utan att krångla med lösenord eller engångskoder för tvåfaktorsautentisering.

Skyddar mot nätfiskeattacker

Klonade nätfiskewebbplatser ligger alltid på andra domäner än de riktiga webbplatserna. Duktiga angripare kan sätta upp klonade nätfiskewebbplatser på domäner där det bara är en enstaka bokstav som skiljer i adressen, vilket gör de svåra att avslöja.

På dessa webbplatser kan du luras att läcka ditt lösenord, men däremot inte din lösennyckel. Lösennycklar är kopplade till domänerna där de skapades och fungerar inte på några andra domäner.

Framtiden för lösennycklar

Framtiden för lösennycklar är ljus. Allt fler webbplatser väljer att erbjuda lösennycklar som en alternativ inloggningsmetod.

Skärmavbild av startsidan på webbplatsen Passkeys Directory. Adobes och Amazons logotyper syns i listan.

Passkeys Directory listar webbplatser som erbjuder inloggning med lösennycklar.

Många webbplatser saknar möjligheten att stänga av lösenordsinloggning trots att du aktiverar inloggning med lösennyckel. I dessa fall måste du välja ett starkt lösenord och aktivera tvåfaktorsautentisering om möjligheten finns. Lösenordet kan annars bli den svaga länken i sammanhanget. Lyckligtvis behöver du varken knappa in lösenordet eller engångskoden för tvåfaktorsautentisering när du loggar in med din lösennyckel.

Sammanfattning

  • Lösennycklar är den första branschstandardmetoden som kan ersätta lösenord.
  • För att logga in med lösennycklar behöver du en lösennyckelhanterare.
  • Du kan använda lösennyckelhanteraren på din mobil för att logga in på en webbplats på din eller någon annans dator.
  • Lösennycklar skyddar mot nätfiskeattacker.
  • Om webbplatsen inte låter dig inaktivera lösenordsinloggning måste du välja ett starkt lösenord och slå på tvåfaktorsautentisering om det erbjuds.