Vad är WebAuthn?

I mars 2019 meddelade World Wide Web Consortium (W3C) att WebAuthn nu är officiell webbstandard för lösenordsfri inloggning. Tack vare stöd av en mängd appar (Microsoft Edge, Chrome, Firefox, Mobile) förväntas WebAuthn att få allmän spridning under kommande år.

Här vill vi utforska bristerna i nuvarande metoder för autentisering, utforska fördelarna med WebAuthn och titta närmare på de viktigaste tillämpningarna av WebAuthn.

Brister i nuvarande autentiseringsmetoder

Innan vi går in på varför WebAuthn utvecklades och dess olika funktioner måste vi först förstå hur autentisering av användare började och vilka brister gängse metoder har.

Autentisering med lösenord

Vi är alla vana vid att användarnamn och lösenord utgör autentiseringen. Visserligen är denna metod allmänt spridd och vem som helt kan förstå den, men 1 av 5 amerikaner har fått sina konton kapade via stulna lösenord. Genomsnittliga slutanvändaren har över 130 konton på internet så företag bör se över sina ramverk för autentisering av användare eftersom det påverkar verksamheten.

Tvåfaktorsautentisering

Nästa nivå av autentisering är 2FA (tvåfaktorsautentisering). Men för kundkonton är populära 2:a-faktorer med lägre säkerhet såsom SMS väldokumenterat sårbara för nätfiskeattacker. WebAuthn kan erbjuda ett bra alternativ till 2FA och dess sårbarhet för nätfiske samtidigt som det blir enklare för kunden.

Vad är WebAuthn?

Detta är en ny global standard för webbautentisering. WebAuthn är ett webbläsarbaserat API som gör att webbappar kan förenkla och säkra autentisering av användare baserat på registrerade enheter (mobiler, laptops, etc) som faktorer. Det använder asymmetrisk kryptering för att skydda användarna från avancerade nätfiskeattacker.

Fördelar med WebAuthn

Fördelarna med WebAuthn kan delas in i 3 kategorier som påverkar de olika intressenterna d.v.s. kunder, produktägare, säkerhetsteam och supportteam.

 

Benefits_of_WebAuthn

Låt oss titta närmare på dessa.

Förbättrat kundengagemang

Kunder – Friktionsfri inloggning
Eftersom WebAuthn använder enhetsbaserad autentisering behövs inga lösenord alls. Kunderna behöver då inte komma ihåg användarnamn och lösenord när de loggar in. De behöver inte heller begära ett engångslösenord som en andra faktor i autentiseringen. Processen med autentisering förenklas för slutanvändaren som bara behöver använda sin registrerade enhet för autentisering.

Produktägare – Tid för autentisering, tid till marknaden
Som nämndes tidigare så eliminerar WebAuthn behovet av lösenord. Produktägare bryr sig om användningen av sina appar och att ta bort hinder för kunderna är oftast deras högsta prioritet. WebAuthn bidrar till en friktionsfri inloggning för dessa användare.

Förutom att WebAuthn eliminerar behovet av att använda komplexa lösenord kan produktägare påskynda sin tid till marknaden genom att slippa bygga en komplex arkitektur för hantering och lagring av lösenord.

Stärkt säkerhetssits

Kunder – Bibehållen tillit
När dataintrången nu bara blir fler är det särskilt viktigt att behålla kundernas tillit. Kunderna ger sin information till dig och vill veta att informationen är säker när den delas. Med WebAuthn får du en mycket säkrare metod för autentisering som tar bort de risker som följer av lösenord.

Säkerhetsteam – Eliminera ofrånkomliga svagheter med lösenord
WebAuthn är inte beroende av kunskapsbaserad autentisering såsom användarnamn och lösenord. Det innebär att du är beroende av slutanvändarens registrerade enheter. Risken för autentisering med falsk identitet är mindre eftersom en registrerad fysisk enhet är svårare att stjäla än lösenord vilket gör ditt säkerhetsteam gladare.

Minskar trycket på företagets support

Supportverksamhet – Minskat tryck på support för multipla faktorer
En unik egenskap för WebAuthn är att den använder denna standard som primär inloggningsmetod. Genom implementering av WebAuthn minskar bördan för support eftersom antalet autentiseringsfaktorer som behövs bara blir en, WebAuthn.

Hur fungerar WebAuthn?

Så nu förstår du att den största fördelen med WebAuthn är att den eliminerar behovet av lösenord. Men hur gör denna öppna standard detta? WebAuthn har 3 huvudkomponenter som gör allt detta möjligt: autentiseraren, webbläsaren och webbservern.

 

webauthn_flow_diagram

Autentisering utan lösenord görs i 6 steg

Steg 1: Användaren går till inloggningssidan i sin webbläsare

Steg 2: Webbservern skapar en unik uppgift som skickas till autentiseraren

Steg 3: Autentiseraren tar emot uppgiften som innehåller ett domännamn

Steg 4: Autentiseraren ta emot biometriskt medgivande från användaren

Steg 5: Autentiseraren genererar en krypterad signatur som skickas tillbaka till webbservern

Steg 6: Webbservern verifierar att signaturen stämmer med uppgiften och loggar in användaren

Mer om de tekniska detaljerna hittar du i WebAuthn från W3C.

Mot lösenordsfritt

Sammanfattningsvis så rör sig all autentisering mot att vara lösenordsfri. Kontokapning och begränsade kunskaper hos användaren är problem som kommer att höra till det förgångna när vi förbättrat autentiseringen med WebAuthn.

 

future_of_authentication

På Okta siktar vi på att ta fram säkra, lösenordsfria lösningar för att hanteral våra kunder att lösa sina autentiseringar. Vi stöder helhjärtat standarder såsom WebAuthn som hjälper till att bana väg för en allmän acceptans av lösenordsfria strategier. Men vi inser också att det svåra för många organisationer är att säkra återhämtningsfaser efter förändringar och alternativa autentiseringsmetoder för enheter som inte stöds.

För att lära dig mer om hur Okta integrerar med appar kan du ladda ner vårt whitepaper om detta utan kostnad.