För ett tag sedan så skrev jag om att jag använder WebAuthn för att logga in på min hemsida, bland annat. Jag tänkte egentligen skriva en ”recension” om hur det fungerar och om jag haft några problem.
Om du också vill ha Webauthn på din egen WordPress-installation så rekommenderar jag att du läser min presentation av detta plugin, som är helt gratis, i mitt förra inlägg. I detta inlägg kommer jag enbart att gå igenom upplevelsen och hur det har fungerat.
Vad är Webauthn egentligen?
Webauthn, eller Web Authentication API, är en modern standard för webbaserad autentisering som gör det möjligt för användare att logga in på webbtjänster utan att behöva använda lösenord. Istället för traditionella lösenord använder Webauthn offentlig nyckelkryptografi för att skapa en säkrare och mer användarvänlig inloggningsprocess.
Så hur fungerar det i praktiken? När en användare registrerar sig på en webbplats som stöder Webauthn, skapar användarens enhet ett par av kryptografiska nycklar: en offentlig och en privat. Den offentliga nyckeln delas med webbplatsen, medan den privata nyckeln förblir säkert lagrad på användarens enhet. För att logga in verifierar användaren sin identitet genom att bekräfta en handling på enheten, till exempel genom att använda ett fingeravtryck, ansiktsigenkänning eller en säkerhetsnyckel.
En av de stora fördelarna med Webauthn är att det är motståndskraftigt mot phishing-attacker. Eftersom den privata nyckeln aldrig lämnar användarens enhet, kan en angripare inte stjäla den och använda den för att logga in på användarens konto, även om de lyckas lura användaren att besöka en falsk inloggningssida. Detta skapar en mycket säkrare inloggningsprocess och minskar risken för kontostöld avsevärt.
Webauthn har blivit en viktig del av webbsäkerheten och stöds av stora teknikföretag och webbläsare. Det är en spännande utveckling som kan förändra hur vi tänker på och hanterar vår digitala identitet på nätet, för all framtid.
Första dagarna
Att använda Webauthn är förstås väldigt smidigt, när man fått igång allt och skapat ”motfrågor” i systemet så att ens enheter kan kommunicera med hemsidan. För att undvika att din hemsida blir obrukbar, då du låser ute dig själv, så rekommenderar jag att använda lösenord och användarnamn som en alternativ inloggningsmetod till en början.
När allt bevisligen fungerar så kan du avaktivera lösenord och förlita dig på att låsa upp hemsidan med din telefon eller dator istället, vilket är en väldigt smidig och säker lösning, enligt min uppfattning i alla fall.
Att logga in
När du ska logga in på WordPress så klickar man helt enkelt på ”Logga in/Auth” knappen. Beroende på webbläsare och inställningar så presenteras man antingen för en lista där man får välja sättet att logga in på, eller så dyker en QR kod upp på skärmen direkt. Det enda man behöver göra är att öppna kameran på mobilen och rikta den mot skärmen.
Efter någon sekund så ansluter hemsidan och datorn du använder mot din telefon via Bluetooth och förhandlar fram en accesskod. Du får sedan verifiera dig med biometrisk autentisering (TouchID / FaceID på Apple) och sedan är du inloggad.
Verkar det krångligt?
Att logga in med hjälp av Webauthn är otroligt smidigt. Det kan ta uppemot 5-10 sekunder att utföra hela processen, men det är samtidigt otroligt säkert. Ingen kan avlyssna din inloggning för att komma åt ditt lösenord, eftersom det inte finns något. Det går att använda användarnamn, men även om ditt användarnamn skulle bli stulet så kan ingen logga in enbart via denna.
QR koden ovan går enbart att använda en gång och det genereras nya hela tiden. Även om någon skulle lyckas få tag på en QR kod, så måste dom vara i datorns absoluta närhet för att få logga in, eftersom processen kräver Bluetooth anslutning.
Webauthn kan dessutom blockera alla försök att säga till systemet att man glömt bort sitt lösenord, eftersom det inte finns något lösenord. Detta gör att om en hacker ska komma åt inloggningsuppgifterna, så får dom ett rent h-vete. Jag ska inte säga att det är omöjligt, för inget är egentligen omöjligt. Men du kan lugnt försäkra dig om att ingen kan sitta och gissa sig fram till ditt lösenord.
Ingen kan heller lura dig att avslöja ditt lösenord, vilket kanske är den bästa säkerhetsaspekten i Webauthn.
Om du är allt annat än James Bond eller arbetar med otroligt säkerhetsklassade uppgifter på din hemsida, så behöver du nog inte oroa dig för att någon ska lägga ned arbetet som krävs för att komma in. I det här fallet så tror jag dessutom att det är enklare att hacka sig in på något annat sätt än att ta ”vägen via ytterdörren”, så att säga.
Men om min telefon går sönder?
Om du använder Apple så är din autentiserings nyckel sparad i iCloud. Du kan med andra ord använda en annan enhet som du äger för att logga in på hemsidan också. I mitt fall så gick ju min iPhone 15 Pro Max sönder och jag fick damma av en gammal iPhone 8 istället. Så fort jag loggat in på min ”nya” telefon så var det bara att använda TouchID för att logga in på hemsidan. Helt utan problem.
Man bör dock se till att flera enheter är godkända för att logga in på hemsidan, samt att man fixar access för olika webbläsare. För att vara säker på att man ska kunna ta sig in överallt.
Vad är nackdelarna?
I ärlighetens namn så måste jag säga att jag inte har träffat på några nackdelar, ännu. Om man bara tar det lugnt till en början och är metodisk, så är det inte heller speciellt riskfyllt att använda detta plugin. Dock bör man tänka på vad man gör, innan man gör det. Risken att man ska bli utelåst är som störst när man börjar använda detta plugin, men när allt är som man vill ha det är det lätt att låsa systemet och öka säkerhetsgraden till löjliga höjder, utan att behöva vara orolig att man ska glömma lösenord eller behöva krångla i framtiden.
Slutligen
Tanken med detta inlägg var förstås att jag ville förklara hur min upplevelse har varit med Webauthn sedan jag började använda det på min hemsida. Tyvärr finns det inte så mycket mer att säga. Den har fungerat oklanderligt, vilket gör att hela detta inlägg blev en ”filler”.
Om jag hade haft problem eller upplevt saker som jag skulle vilja förändra till det bättre, så hade det varit enklare att skriva detta inlägg.
Men jag antar att man ska vara tacksam att det fungerar så bra som det gör. Ett bevis för att vi snart kan kasta gamla lösenordshanterare och annat i soptunnan och förlita oss på en bättre, smidigare och säkrare lösning i framtiden.
Ha en riktigt bra dag så hörs vi snart igen.