Web Authentication – Lösenordslös autentisering på webben
Långnabba, Joel (2023)
Långnabba, Joel
2023
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023052815019
https://urn.fi/URN:NBN:fi:amk-2023052815019
Tiivistelmä
Det råder konsensus att lösenord är föråldrade och osäkra och 81% av hackningsrelaterade dataintrång utnyttjar svaga eller stulna lösenord, trots detta är lösenord den vanligaste autentiseringsmetoden på webben (Guirat & Halpin, 2018; Bonneau, et al., 2015; FIDO Alliance & W3C, 2019). Lösenord är svåra att minnas och är utsatta för ett antal attacker som avslöjar användares lösenord till en obehörig. FIDO Alliance har i samarbete med W3C skapat en standardiserad metod för säker autentisering på webben med målet att eliminera användningen av lösenord. Den nya metoden heter Web Authentication och utnyttjar asymmetrisk kryptering för att säkra användares konton. Detta examensarbete undersöker Web Authentication i syfte att sammanställa en introduktion till metoden som beskriver vad Web Authentication är, hur det fungerar och hur det används. En undersökning av lösenord utförs för att klarlägga brister med lösenord och för att belysa förbättringar som gör lösenord säkrare. Undersökningarna utförs genom systematiska litteraturöversikter. Web Authentication innebär att inga autentiseringsuppgifter lagras på en server och eliminerar därmed dataintrång vars mål är att stjäla lösenord. Web Authentication har även konstaterats vara resistent mot nätfiskeattacker. Bonneau et al. tog 2012 fram ett ramverk för jämförelse av olika autentiseringsmetoder (Bonneau, et al., 2012). Inga tidigare autentiseringsmetoder erbjuder enligt Bonneau et al. ramverk lika många fördelar som den nya metoden (Lyastani, et al., 2020). En nackdel med den nya metoden är dock svårigheten att återställa autentiseringsuppgiften vid förlust. Vid förlust av en autentiseringsuppgift behöver användaren ha en reservmetod för autentisering, detta kan till exempel vid användning av fysiska säkerhetsnycklar vara en reservnyckel. Efter åtkomst med en reservmetod måste användaren ta bort den förlorade autentiseringsuppgiften från kontot för att sedan registrera en ny autentiseringsuppgift. Detta behöver göras på alla konton där autentiseringsuppgiften är registrerad.