Apple har hittills inte gjort någon stor sak av det, men Icloud Passkeys – en ny funktion som ska testas i IOS 15, Mac OS Monterey och de andra systemuppdateringarna Apple släpper i höst – har potentialen att revolutionera hur vi loggar in på konton på nätet. Det är något säkerhetsexperter har drömt om länge, men hittills har inget lyckats rubba lösenordens allmängiltighet och enkelhet.

Därför är lösenord osäkra

Att logga in med namn och lösenord kräver att både du och den du har kontot hos kan bevara en hemlighet: ditt lösenord. Visserligen lagrar de allra flesta företag inte lösenord i klartext utan krypterat (”hashkodat och saltat”). Har du ett riktigt långt lösenord är det hyfsat säkert. Men om du har ett enklare lösenord och någon kommer över databasen som rymmer dessa kan de snabbt avkoda ditt lösenord, även om det är krypterat. Det är så många lösenord har kommit på vift efter diverse hack av stora sajter som Yahoo och Adobe. Komprometterade eller svaga lösenord ligger bakom en stor majoritet av alla intrång och ”hack”.

För information som bara du behöver ha tillgång till finns det säkra lösningar som totalsträckskryptering, där ett lösenord eller krypteringsnyckel aldrig lämnar dina enheter. Men de flesta konton fungerar inte så eftersom information måste användas på olika sätt, till exempel för att dela med andra. Facebook skulle till exempel aldrig kunna använda totalsträckskryptering eftersom hela idén är att du delar saker med dina vänner.

Därför behövs en annan teknik som tar ifrån företagen ansvaret att skydda dina hemligheter. För att vi användare faktiskt ska anamma den måste den dessutom vara minst lika enkel som namn och lösen.

Bygger på standarder

Apple tänker inte återuppfinna hjulet utan baserar Icloud Passkeys på den existerande standarden webauthn som används för inloggning med så kallade hårdvarunycklar, små brickor med usb, bluetooth och/eller nfc (till exempel svenska Yubikey). Tekniken går ut på att utnyttja asymmetrisk kryptering, precis som när du besöker en säker webbplats med https och din dator och servern utbyter krypteringsnycklar på ett säkert sätt. Men webauthn har tre problem som Apple nu kan ha löst.

Säkerhetsnyckel
En säkerhetsnyckel erbjuder hög säkerhet men är krångligare att använda och mindre flexibel än ett lösenord.

Problem ett: Återställning och synkning

Med en hårdvarunyckel lagras dina privata nycklar säkert i den fysiska nyckeln, men problemet är att du måste ha nyckeln med dig och om den går förlorad blir det väldigt mycket krångel med att nollställa alla kontoinloggningar. Du kan visserligen ha flera stycken nycklar, men då ökar risken att någon annan kommer över en. Om du förlorar du en måste du ändå göra om hela proceduren då det finns en risk att någon annan kommer över den.

Här hittar vi den verkligt stora innovationen med Icloud Passkeys. Apple använder Icloud-nyckelringen för att synka dina privata webauthn-nycklar mellan dina olika enheter och även till nya enheter. De skyddas av totalsträckskryptering och ska du lägga till en ny enhet behöver du både ditt Icloud-lösenord och lösenkoderna till dina olika Apple-prylar.

Problem två: Ytterligare hårdvara

Det andra problemet med hårdvarunycklar är att de är ytterligare en pryl du måste ha med dig överallt och ha koll på. Med Icloud Passkeys slipper du det då allt lagras skyddat av Iphones säkra enklav. De allra flesta har ändå mobilen med sig överallt, så det blir ingen ytterligare grej att ha med dig. Visst, du kan inte logga in på någon annans dator utan att ha någon av dina enheter med dig, men det kan du redan idag inte på sajter som använder tvåfaktorautentisering eller tvåstegsverifiering.

Logga in med Icloud Passkeys
Foto: AppleMed Icloud Passkeys lagras privata krypteringsnycklar säkert på dina enheter och du loggar in med Face ID eller Touch ID och inget mer.

Problem tre: Enkelhet

Att lösenord har hängt med i alla år beror förmodligen huvudsakligen på att det är så enkelt och universellt. Det går alltid snabbt och lätt att fylla i ett loginnamn och ett lösenord (så länge du kommer ihåg det). Med en hårdvarunyckel måste du ta fram den och trycka på en knapp, nudda baksidan av telefonen eller något annat handgripligt. Och som sagt måste du se till att nyckeln är med dig.

Med Icloud Passkeys är allt du behöver göra för att logga in att fylla i användarnamnet (som naturligtvis kan sparas för autofyll) och sedan autentisera med Face ID eller Touch ID.

Ett problem kvarstår men Apples storlek kan råda bot på det

Apples utvecklare erkänner villigt att Icloud Passkeys fortfarande har ett problem: Det kräver Apple-prylar. Visserligen har Apple lagt till stöd för Icloud-nyckelringen på Windows och borde kunna lägga till Icloud Passkeys där, men för att verkligen vara universellt krävs även stöd på Android.

För att en ny teknik som denna ska få fäste hos företagen du har konton oss måste de ha ett incitament. En teknik som bara ett fåtal användare har tillgång till är annars inte värt mödan. Säkerhetsnycklar stöds av hyfsat många tjänster, där användarna efterfrågar högsta möjliga säkerhet, men det är långt ifrån universellt.

Apple har dock en unik position här. Över en och en halv miljard Iphone-telefoner har sålts totalt och över en miljard är fortfarande i bruk. Hundratals miljoner användare kommer att köra IOS 16 när Icloud Passkeys släpps skarpt 2022. Iphone-användare är överlag väldigt måna om integritet och säkerhet, så vi räknar med att de flesta gärna skulle haka på om webbplatser erbjuder säkrare och dessutom enklare inloggning utan lösenord.

När tekniken väl får fäste kan även Google, Microsoft och andra haka på och erbjuda liknande system, och vips kan webauthn gå från nisch till standard. Bli inte förvånad om det redan om 3–4 år börjar dyka upp nya tjänster som från start frångår lösenord som inloggningsmetod.