Jag fick nyligen en läsarfråga från Petter som berörde säkerheten på WordPress. Frågan var egentligen ganska enkel:
Varför kan man inte logga in på WordPress med BankID för att göra hemsidan så säker som möjligt?
Det är en väldigt rimlig fråga. I Sverige använder vi ju BankID till nästan allt idag. Vi loggar in på banken, signerar avtal, deklarerar hos Skatteverket och identifierar oss hos myndigheter som Försäkringskassan.
Så varför inte bara använda samma sak för att logga in på en WordPress-sida?
Det korta svaret är att BankID inte är byggt för den typen av användning. Till att börja med så kan jag nämna en sak många inte känner till, nämligen att BankID inte är gratis att använda för webbplatser.
Varje inloggning kostar pengar, och för att ens få använda tjänsten måste man skriva avtal via Finansiell ID‑Teknik BID AB, som driver BankID-systemet.
Det innebär bland annat:
- Företagsavtal
- Integration via certifikat
- Avgifter per autentisering
- Tekniska krav och revisioner
För en vanlig blogg eller hobbywebbplats skulle kostnaden snabbt bli orimlig. BankID är därför främst tänkt för banker, myndigheter och större företag. Istället finns det en modern och öppen standard som faktiskt är byggd för just detta. Den heter FIDO2 och använder tekniken WebAuthn.
Det är samma teknik som används när du loggar in med:
- säkerhetsnycklar
- biometrisk inloggning
- passkeys
- vissa hårdvarunycklar
Bakom standarden står organisationen FIDO Alliance, där bland annat Apple, Google och Microsoft ingår. Det fina är att den här tekniken är gratis att implementera, och stöds direkt i moderna webbläsare. Om man använder FIDO2 kan man logga in på WordPress med till exempel en fysisk säkerhetsnyckel som YubiKey eller andra FIDO-kompatibla nycklar
Då fungerar inloggningen ungefär så här:
- Du skriver ditt användarnamn
- Stoppar in säkerhetsnyckeln
- Trycker på knappen
Klart.
Ingen kod, inget lösenord som kan läcka och inget som går att phisha på samma sätt.
Det många inte vet är att WordPress faktiskt redan kan använda WebAuthn via plugins. Jag rekommenderar varmt WordPress eget plugin som heter “Two Factor” och går att hitta bland deras plugins. Om man lägger till ett litet “addon” som heter “Webauthn for Two Factor” så får man även stöd för Webauthn.
Det gör att du kan logga in med:
- säkerhetsnyckel
- fingeravtryck
- Face ID
- passkeys från din telefon
På många sätt är det faktiskt lika säkert eller säkrare än BankID, eftersom nyckeln aldrig lämnar din enhet.
Men om det är så säkert, varför använder inte fler denna lösning? Den enkla förklaringen är tyvärr att många fortfarande kör på gamla vanor.
De flesta WordPress-sidor använder fortfarande:
- användarnamn
- lösenord
- ibland tvåfaktorsautentisering
Men tekniken finns redan där, och jag tror faktiskt att lösenord kommer försvinna mer och mer de kommande åren. Personligen använder jag FIDO2 för att logga in på alla hemsidor jag sköter om, samt många professionella konton som jag behöver i det dagliga arbetet.
BankID är ett fantastiskt system för identifiering i Sverige, men det är inte byggt för att vara en generell inloggning till alla typer av webbplatser. För WordPress och andra webbplattformar är FIDO2 och WebAuthn en mycket mer realistisk lösning, eftersom de är öppna standarder som fungerar globalt och utan dyra avtal.
Och om man verkligen vill höja säkerheten på sin webbplats, då är en fysisk säkerhetsnyckel faktiskt en av de bästa investeringarna man kan göra. Besök Yubico och kolla efter en säkerhetsnyckel som passar dina behov.
Jag är inte sponsrad av Yubico, men jag använder själv deras nycklar, så jag rekommenderar helt enkelt det jag känner till. Det finns säkert mängder av andra som tillverkar dessa nycklar.
Ha en jättebra dag så hörs vi snart igen
Lämna ett svar