Publicerad: 2024-10-24
Senast ändrad: 2024-11-05
För att en universell lösenordsersättare ska fungera och vara effektiv måste den fungera i alla länder och inte vara förenad med någon kostnad. Utöver detta måste också tillräckligt många webbplatser erbjuda inloggningsmetoden.
På grund av komplexiteten dröjde det till 2022 innan it-branschen uppfann och enades kring en ny inloggningsmetod som kan ersätta lösenord på riktigt. Metoden kallas ”lösennycklar” på svenska eller ”passkeys” på engelska.
Det finns många problem med traditionella lösenord, bland annat:
Problemen grundas i att lösenord bör vara hemligheter. En hemlighet är bara hemlig om den aldrig läcker, vilket lösenord har en tendens att göra.
Lösennycklar tar itu med alla dessa problem, eftersom du som användare inte behöver bevara någon hemlighet eller be webbplatsen som du registrerar dig på att skydda någon hemlighet.
För att kunna logga in med lösennycklar behöver du en lösennyckelhanterare. Den fungerar som ett krypterat valv för alla dina lösennycklar. Den skapar en unik lösennyckel för varje webbplats och synkroniserar dina lösennycklar mellan dina enheter. Du kan logga in från dator, mobil eller surfplatta med en app eller webbläsartillägg. För att logga in på datorer där du inte kan eller inte vill installera lösennyckelhanterarens webbläsartillägg kan du använda din mobil för att logga in.
Lösennnyckelhanteraren skyddas i sin tur av ett så kallat huvudlösenord som du väljer själv. Det är det enda lösenordet som du behöver minnas.
Bitwarden, Proton Pass och 1password är tre exempel på lösennyckelhanterare. De två förstnämnda är kostnadsfria. Alla tre är i grund och botten traditionella lösenordshanterare (läs mer i vår artikel om lösenordshanterare ). De kan därför också spara lösenord och andra skyddsvärda uppgifter.
Apple och Google erbjuder kostnadsfria lösennyckelhanterare, men de fungerar inte på alla operativsystem. Apples lösning fungerar varken på Windows eller på Android. Googles lösning fungerar inte på IOS. Googles lösning är också låst till Googles egen Chrome-webbläsare på Windows och Mac OS.
Microsoft har byggt in något som liknar en lösennyckelhanterare i Windows 11. Den lösennyckelhanteraren bör dock aldrig användas eftersom den i skrivande stund (oktober 2024) saknar stöd för synkronisering och säkerhetskopiering.
Det tar tid för ny teknik att slå igenom. Många webbplatser kräver fortfarande att du väljer ett lösenord när du skapar ett användarkonto. Däremot erbjuder allt fler webbplatser möjligheten att lägga till lösennyckel som en alternativ inloggningsmetod.
Du kan aktivera inloggning med lösennycklar hos bland annat Adobe, Amazon, Github, Google, Linkedin, Microsoft och Paypal. På webbplatserna Passkeys Directory och Passkeyindex finns uppdaterade listor med webbplatser som erbjuder detta.
För att aktivera inloggning med lösennyckel hos exempelvis Adobe loggar du först in som vanligt med användarnamn och lösenord. Adobe uppmanar dig då lägga till en lösennyckel för att öka säkerheten.
Tack vare din lösennyckelhanterares webbläsartillägg är Adobes uppmaning lätt att följa. Du klickar bara på att lägga till en lösennyckel och att spara den i din lösennyckelhanterare.
Nästa gång du ska logga in klickar du på ”Logga in med lösennyckel”. Då ber din lösennyckelhanterare dig att ange ditt huvudlösenord eller att låsa upp lösennyckelhanteraren på biometrisk väg (fingeravtryck eller ansiktsigenkänning). När du har gjort det loggar lösennyckelhanteraren in på Adobe-webbplatsen med den rätta lösennyckeln.
Var försiktig med att logga in på dina webbplatskonton på någon annans dator. Ibland är det dock ofrånkomligt. Då bör du använda din mobil för att, via Bluetooth, låsa upp kontot på webbplatsen där du vill logga in. Du ska inte ladda ned och låsa upp hela din lösennyckelhanterare på datorn i fråga.
Om du exempelvis vill logga in på ditt Adobe-konto från en kollegas dator väljer du att logga in med en lösennyckel och att lösennyckeln ligger på en annan enhet. Då visar webbläsaren en rutkod som du kan skanna med din mobilkamera. När du skannar koden upprättas en Bluetooth-anslutning mellan datorn och din mobil. Därigenom kan lösennyckelhanteraren på din mobil låsa upp ditt Adobe-konto på kollegans dator.
När du använder lösennyckel påminner användarupplevelsen om en lösenordshanterare, men under ytan fungerar lösenordsinloggning och lösennyckelinloggning på två helt skilda vis.
När du loggar in med lösenord skickar du lösenordet varenda gång du loggar in, vilket är förenat med en risk.
En lösennyckel består av två halvor. När du skapar en lösennyckel skickar du ena halvan till webbplatsen som du registrerar dig på. Den halvan är inte hemlig på något vis, och om den skulle läcka vid ett dataintrång är ingen skada skedd. Angripare kan varken utnyttja webbplatsens halva för att utföra nätfiskeattacker eller logga in som dig på andra webbplatser.
Den andra halvan är hemlig, det är den som sparas i din lösennyckelhanterare. Till skillnad från vid lösenordsinloggning lämnar den hemliga halvan aldrig din lösennyckelhanterare.
När du loggar in med en lösennyckel skickar webbplatsen en fråga till din lösennyckelhanterare, som i sin tur svarar. Webbplatsen kan sedan använda sin nyckelhalva för att bekräfta att svaret kommer från en lösennyckelhanterare med den rätta, hemliga nyckelhalvan – utan att behöva veta vad den hemliga lösennyckeln är.
Webbplatsen vet därmed också att du är användaren som du utger dig för att vara och kan släppa in dig utan att krångla med lösenord eller engångskoder för tvåfaktorsautentisering.
Klonade nätfiskewebbplatser ligger alltid på andra domäner än de riktiga webbplatserna. Duktiga angripare kan sätta upp klonade nätfiskewebbplatser på domäner där det bara är en enstaka bokstav som skiljer i adressen, vilket gör de svåra att avslöja.
På dessa webbplatser kan du luras att läcka ditt lösenord, men däremot inte din lösennyckel. Lösennycklar är kopplade till domänerna där de skapades och fungerar inte på några andra domäner.
Framtiden för lösennycklar är ljus. Allt fler webbplatser väljer att erbjuda lösennycklar som en alternativ inloggningsmetod.
Många webbplatser saknar möjligheten att stänga av lösenordsinloggning trots att du aktiverar inloggning med lösennyckel. I dessa fall måste du välja ett starkt lösenord och aktivera tvåfaktorsautentisering om möjligheten finns. Lösenordet kan annars bli den svaga länken i sammanhanget. Lyckligtvis behöver du varken knappa in lösenordet eller engångskoden för tvåfaktorsautentisering när du loggar in med din lösennyckel.