Kan en passkey kopieres eller stjæles af hackere?

Det er ekstremt svært. Den private nøgle forlader aldrig din enhed og er beskyttet af din biometri eller PIN-kode. Selv hvis en angriber bryder en hjemmesides database, finder de kun den offentlige nøgle, som er ubrugelig uden din enheds private nøgle.

Hvad sker der, hvis jeg mister den enhed, min passkey er gemt på?

De fleste platforme synkroniserer passkeys sikkert på tværs af dine enheder via skyen – f.eks. via iCloud til Apple-enheder eller Googles adgangskodemanager til Android. Du kan også tilbagekalde adgang og registrere en ny passkey via kontogendannelsesprocesser.

Er passkeys anderledes end tofaktorgodkendelse (2FA)?

Ja. 2FA tilføjer et ekstra trin oven på en adgangskode, mens passkeys erstatter adgangskoden helt. En passkey er i sig selv en stærk enkelttrins-godkendelse, fordi den kombinerer noget, du har (din enhed), med noget, du er (biometri) eller noget, du ved (PIN-kode).

Understøtter VPN-udbydere passkeys endnu?

Udbredelsen er i gang. Nogle VPN-udbydere er begyndt at tilbyde passkey-login til kontoadgang, men ikke alle understøtter det endnu. Det er værd at tjekke din VPN-udbyders sikkerhedsindstillinger og aktivere passkeys, hvis muligheden er tilgængelig.

Adgangsnøgle (Passkey)

Hvad er en adgangsnøgle (passkey)?

En adgangsnøgle er en ny måde at logge ind på websites og apps uden at bruge en traditionel adgangskode. I stedet for at oprette og huske en række tegn genererer din enhed – en smartphone, laptop eller tablet – et unikt kryptografisk nøglepar, der beviser, hvem du er. Du godkender dig selv ved hjælp af noget, der allerede er indbygget i din enhed, som f.eks. et fingeraftryk, ansigtsgenkendelse eller en PIN-kode. Websitet ser aldrig din egentlige hemmelighed – det modtager kun et kryptografisk bevis på, at du er den rette person.

Adgangsnøgler er bygget på de åbne standarder FIDO2 og WebAuthn, hvilket betyder, at de fungerer på tværs af større platforme, herunder Apple-, Google- og Microsoft-økosystemer. Store tjenester som Google, Apple, GitHub og PayPal understøtter allerede adgangsnøgler, og udbredelsen vokser hurtigt.

Hvordan fungerer adgangsnøgler?

Enhver adgangsnøgle består af to matematisk forbundne nøgler: en offentlig nøgle og en privat nøgle.

Den offentlige nøgle gemmes på serveren for det website eller den app, du logger ind på.
Den private nøgle forlader aldrig din enhed. Den er låst bag din biometri eller din enheds PIN-kode.

Når du logger ind, sender serveren din enhed en udfordring – i bund og grund et tilfældigt stykke data. Din enhed bruger den private nøgle til at signere denne udfordring og sender signaturen tilbage. Serveren kontrollerer signaturen mod din offentlige nøgle. Hvis den stemmer overens, er du logget ind.

Der overføres, gemmes eller eksponeres aldrig nogen adgangskode på en server. Selv hvis et websites database bliver kompromitteret, finder angriberne kun offentlige nøgler, som er ubrugelige alene.

Hvorfor adgangsnøgler er vigtige for VPN-brugere

VPN-brugere er typisk mere sikkerhedsbevidste end gennemsnitlige internetbrugere, og adgangsnøgler adresserer direkte nogle af de mest almindelige trusler, som VPN-brugere forsøger at beskytte sig imod.

Phishing-resistens: Traditionelle adgangskoder kan stjæles via falske login-sider. Adgangsnøgler er kryptografisk bundet til specifikke domæner, så selv et overbevisende lookalike-website kan ikke narre din enhed til at udlevere loginoplysninger. Dette er en af de største praktiske sikkerhedsfordele, adgangsnøgler tilbyder.

Ingen risiko for credential stuffing: Da der ikke er nogen genanvendelig adgangskode at stjæle og genbruge, virker credential stuffing-angreb – hvor angribere afprøver lækkede kombinationer af brugernavn og adgangskode på tværs af flere tjenester – simpelthen ikke mod konti beskyttet med adgangsnøgler.

Beskyttelse af din egen VPN-konto: Mange VPN-udbydere er begyndt at understøtte adgangsnøgler til kontologin. Hvis din VPN-konto er sikret med en adgangsnøgle, kan en angriber, der på en eller anden måde har fået fat i din e-mail og adgangskode fra et andet brud, ikke logge ind, ændre dit abonnement eller tilgå dine kontoindstillinger.

Fungerer godt med zero-trust-sikkerhed: For erhvervsmæssige VPN-brugere og fjernarbejdere supplerer adgangsnøgler zero-trust-netværksadgangsmodeller ved at tilbyde stærk, phishing-resistent identitetsgodkendelse, inden der gives adgang til ressourcer.

Praktiske eksempler og anvendelsestilfælde

Personlig kontosikkerhed: Du besøger Google, trykker på "Log ind med adgangsnøgle", og din telefon beder om et fingeraftryk. Færdig – ingen adgangskode er nødvendig.
Virksomhedens fjernadgang: En medarbejder bruger en adgangsnøgle på sin arbejdslaptop til at godkende sig over for en fjernadgangs-VPN, hvilket eliminerer risikoen for, at en stjålet VPN-adgangskode giver uautoriseret adgang.
Sikkerhed på rejser: Hvis du rejser gennem områder med høj overvågning eller risici ved offentligt Wi-Fi, betyder adgangsnøgler, at der bogstaveligt talt ikke er nogen adgangskode, som en keylogger eller netværkssniffer kan opfange.
Udvikler- og serveradgang: Platforme som GitHub understøtter adgangsnøgler og sikrer adgang til repositories og infrastruktur uden eksponering af adgangskoder.

Konklusionen

Adgangsnøgler repræsenterer en reel forbedring i forhold til adgangskoder – de er mere sikre, nemmere at bruge og resistente over for de mest almindelige angrebsmetoder. For alle, der bekymrer sig om online privatliv og sikkerhed, er aktivering af adgangsnøgler, hvor det er muligt, et af de mest effektive skridt, du kan tage lige nu.

Adgangsnøgle (Passkey)Begynder

Hvad er en adgangsnøgle (passkey)?

Hvordan fungerer adgangsnøgler?

Hvorfor adgangsnøgler er vigtige for VPN-brugere

Praktiske eksempler og anvendelsestilfælde

Konklusionen

// FAQ