Vilken typ av attacker skyddar passkeys mot?

Dels riskerar du inte att få ditt konto kapat genom att lösenordet läcker i en hackerattack, eftersom du inte använder något lösenord för att logga in. Men en annan viktig form av attack som passkeys fungerar mot är olika former av phishing och social hacking, där du luras att mata in personlig information på en webbsida.

Detta beror på autentiserings-standarden WebAuthn som används av de flesta passkeys. För visserligen är din publika nyckel allmänt tillgänglig, men tack vare WebAuthn sker en kontroll att den som använder nyckeln också är de som de utger sig för att vara. Det går alltså inte att skapa en fejksajt som liknar din bank där du kan logga in med din passkey. Vi kan återigen likna vid mobilt Bank ID. Om en sajt låter dig logga in med Mobilt Bank ID är du inte bara garanterad att ingen personlig inloggningsinformation kan läcka, utan Bank ID garanterar också att sajten är en seriös aktör.

Liknelsen är inte hundraprocentig. Tillgången till Bank ID är mer begränsad än till passkeys och Google och Apple är stora aktörer som potentiellt behöver granska miljontals aktörer. Troligen kommer ingen kunna utge sig för att vara din bank utan att vara det, men kanske som en seriös tjänst som du vill anlita men som i själva verket visar sig vara en bedrägeriverksamhet som stänger ner webbsajten och försvinner. Fortfarande gäller sunt förnuft att kolla upp de tjänster man anlitar och att inte mata in personlig information utan anledning, men med passkeys kan man känna sig lite lugnare.

Det här är ett utdrag ur en längre artikel passkeys och artikeln publicerades tidigare exklusivt för Plus-medlemmar på Mobil.se. Här kan du bli Plus-medlem och därmed få direkt tillgång till alla artiklar på Mobil.se. Som plusmedlem så får du samlade tips och många andra fördjupande, vägledande artiklar. Hela den ursprungliga artikeln hittar du här.