Frågor och svar om passkeys: ersättaren till lösenord [FAQ]

Även om övergången kommer ta tid är nycklar (passkeys) framtiden eftersom teknikjättarna Google, Microsoft och Apple samt de övriga inflytelserika medlemmarna i FIDO Alliance har ställt sig bakom tekniken. Andra exempel på FIDO-medlemmar är Samsung, Meta, Qualcomm, Amazon, Intel, Lenovo, Mastercard, Visa och PayPal.

Vi går mot en lösenordsfri framtid och passkeys kommer förr eller senare bli standard. Tekniken erbjuder bara fördelar och en enklare och säkrare inloggning. Eftersom tekniken först nu börjar få genomslagskraft tänkte vi att det kan vara en bra idé att försöka reda ut precis vad som gäller genom en klassisk FAQ – även om det är snårigt och inte helt lätt.

Svaren baseras på uppgifter från Google och Microsoft.

Vad är en passkey?
En passkey är en lokal kryptografisk nyckel som används för att logga in på konton istället för lösenord. Passkeys kan skapas på redan autentiserade enheter likt smartphones, surfplattor och laptops. Enligt Google skapas exempelvis en passkey automatiskt på Androidenheter när användaren loggar in första gången.

Därefter kan telefonen användas som nyckel genom enhetens biometriska verifiering, vanligtvis en fingeravtrycksläsare, eller enhetens lokala PIN. Om enheten inte är låst och krypterad kan den förstås inte användas som nyckel.

Med passkeys sker inloggningen ungefär som med BankID rent praktiskt. En hemsida som har BankID-inloggning, exempelvis en operatör, kan be användaren att bara öppna BankID där autentiseringen sker med fingeravtrycksläsare. Passkeys fungerar på ett liknande vis, men utan BankID-steget.

Vad kallas ”passkey” på svenska?
Google kallar ”passkeys” för ”nycklar”. En annan översättning vi sett är ”huvudnyckel”, men vi har (hittills) valt att använda engelska ordet rakt av.

Tekniken kan liknas vid just en fysisk nyckel fast med fördelen att den är skyddad bakom biometri och låskod. Du behöver inget lösenord när du låser upp ytterdörren. Du använder nyckeln, den är lokal och ingen annan än du ska ha tillgång till nyckeln.

Vad är fördelen med passkeys?
Vi behöver inte hålla reda på eller ange krångliga lösenord. Vi slipper tvåstegsverifiering eftersom passkeys i sig är säkrare än de flesta former av 2FA. Passkeys är betydligt säkrare än lösenord. Enskilda nycklar kan enkelt hävas ifall en enhet exempelvis blivit stulen.

Till skillnad mot lösenord kan angripare inte få tag på nycklarna genom nätfiske eller genom att hacka onlinetjänster. Angripare kan heller inte gissa sig till en passkey, som de kan med dåliga lösenord. Passkeys är lokalt lagrade på ett säkert vis. När mobilen används för att logga in på exempelvis en dator används Bluetooth för att garantera att nyckeln faktiskt är fysiskt nära.

I framtiden när stödet blivit utbrett kommer vi kunna logga in i appar och på tjänster på webben genom att bara trycka på fingeravtrycksläsaren.

Gör passkeys Google-kontot säkrare?
Passkeys i sig är säkrare än lösenord (se ovan), men lösenordet finns ju kvar för Google-konton tills vidare. Att aktivera passkeys ska ändå göra Google-kontot säkrare eftersom Google kommer fråga efter nyckeln ibland och ifall suspekt beteende upptäcks.

Om en angripare fått tag på ditt lösenord räcker inte det, som med tvåstegsverifiering. Men Microsoft tillåter exempelvis att lösenordet raderas.

However, creating a passkey today still comes with security benefits as it allows us to pay closer attention to the sign-ins that fall back to passwords. Over time, we’ll increasingly scrutinize these as passkeys gain broader support and familiarity.

Finns mitt lösenord kvar?
Ja, till en början kommer den traditionella inloggningsmetoden finnas kvar som backup för Google-konton. Nyckeln är ett komplement. Microsoft låter dock användare ta bort lösenordet när en nyckel aktiveras.

Återanvänds nycklarna?
Nej, passkeys återanvänds inte. Varje nyckel kan bara användas för ett enda konto, till skillnad mot lösenord.

Kan passkeys sparas och synkroniseras?
Ja, de kan säkerhetskopieras och synkroniseras med E2EE i Googles lösenordshanterare och andra lösenordshanterare som stödjer tekniken.

Du kan även skapa en nyckel på varje enhet du använder kontot på, som PC, smartphone och surfplatta. Just mobilen behöver med andra ord inte agera nyckel varje gång.

For example, if you create a passkey on your iPhone, that passkey will also be available on your other Apple devices if they are signed in to the same iCloud account. This protects you from being locked out of your account in case you lose your devices, and makes it easier for you to upgrade from one device to another.

Vilka system stödjer passkeys?
Android 9 eller senare och IOS 16 eller senare kan hantera tekniken. Senaste versionerna av ChromeOS, Windows och Mac stödjer även passkeys och likaså Chrome, Edge och Safari.

Kan jag använda nyckel för att logga in på en ny enhet första gången?
Ja, du kan använda en passkey på en mobil för att logga in på en ny enhet. Efter inloggningen kan du välja att den nya enheten också ska kunna fungera som nyckel.

När passkeys helt ersatt lösenord, hur kommer jag in om alla nycklar försvunnit?
När vi når helt lösenordsfria konton i framtiden, hur loggar vi in första gången på en ny enhet, om alla enheter med nycklar försvunnit? Vad är backuplösningen?

Svaret är att vi inte riktigt vet. Microsoft nämner alternativa återställningsmetoder likt en annan e-postadress eller SMS. Om ett konto kan återställas via SMS utgör det dock en säkerhetsrisk. En sekundär e-postadress som knutits till kontot skulle inte heller fungera om det kontot också är lösenordsfritt och alla nycklar är borta, vilket dock är ett osannolikt scenario. Men vi tar för givet att det kommer finnas återställningsmöjligheter, precis som när användare slarvar bort lösenord eller 2FA idag och inte kan logga in.