Lösenordspinnen U2F erövrar världen med Googles hjälp

2015-01-30 09:57  
”Vi räknar med att U2F är standard om tre år”, säger Yubicos Stina Ehrensvärd. Så fungerar lösenordspinnen. Grafik: Jonas Askergren Foto: TT

Svenska Yubico och Google ligger bakom en ny standard som kan bota osäkra lösenord.<br/>– Vi räknar med att U2F är en globalt etablerad standard om tre år med stöd i tusentals internettjänster, säger Yubicos Stina Ehrensvärd.

Lösenord är en hopplös plåga. Inte ens långa och krångliga varianter av typen sP&3gRftE4q anses i dag vara säkra mot förslagna angripare som utnyttjar allt från virus och trojaner till socialt informationsfiske.

Det enda som duger tycks vara så kallad tvåfaktorautentisering – att komplettera lösenordet med ytterligare en nyckel, exempelvis en engångskod som skickas via sms.

Men om tvåfaktorautentisering hittills varit lite krångligt blev det nyss betydligt enklare genom standarden Fido U2F som antogs i december 2014 av Fido Alliance – ett organ med över 150 medlemmar, bland annat Google, Microsoft, Paypal, Visa och Mastercard. Vad de tillsammans satsar på är en liten usb-nyckel som sitter på nyckelknippan och gör inloggningen säker – angripare måste få tag på både ditt lösenord och den fysiska nyckeln.

Bakom tekniken ligger ett litet svenskt bolag, Yubico, som grundades 2007 och två år senare presenterade sin listiga pryl – Yubikey.

– Vi startade Yubico med visionen om enkel och säker login för alla internetanvändare, samt möjligheten att kunna använda en och samma Yubikey till ett obegränsat antal tjänster. Med U2F är denna vision nu verklighet, säger Stina Ehrensvärd, vd och grundare av Yubico.

Yubikey var en liten nyckel som stacks in i datorns usb-port och skickade ut ett krypterat engångslösenord med en knapptryckning. Tillsammans med ett vanligt lösenord kunde den enkelt användas för tvåfaktorautentisering.

Yubico trodde att idén skulle kunna väcka intresse i it-världen och flyttade till Silicon Valley för att visa upp tekniken. Det fungerade – snart började flera större it-bolag att använda usb-nyckeln internt, bland annat Google, Facebook och Salesforce.

Principen bakom U2F är ungefär densamma, kompletterad med så kallad asymmetrisk kryptering och snart även trådlös kommunikation med mobiler. Arbetet med standarden började för fyra år sedan då Yubico fick ett bidrag från Vinnovas finansieringsprogram Forska & Väx för att vidareutveckla Yubikey.

– Vi presenterade idén för Googles säkerhetsavdelning, som då redan var vår kund och använde Yubikey internt. Om det var ödet eller bara rätt tajming är svårt att veta, men Google hade också identifierat styrkan med asymmetrisk kryptering, berättar Stina Ehrensvärd, och fortsätter:

– Vi enades om att utveckla U2F, initialt för Googles egna anställda. Parallellt höll Fido Alliance på att starta, med Paypal i spetsen och med närliggande idéer, och Fido bjöd in Google och Yubico att vidareutveckla U2F inom Fido.

Standarden lanserades officiellt i december 2014. Inledningsvis är det bara Googles webbläsare Chrome som stöder U2F, men eftersom Microsoft är med i Fido Alliance kommer rimligen stöd även i Internet Explorer. Och inom Mozilla som utvecklar Firefox pågår också arbete med U2F.

Även bland nättjänster som stöder U2F är Google först ut, men den breda uppslutningen bakom Fido Alliance innebär sannolikt att många andra nättjänster följer efter.

Yubico

Utvecklar usb-nyckel för säker inloggning.

Grundat: 2007 av Stina Ehrensvärd. Med på 33-listan: 2009, 2010 och 2011.

Baserat: USA, Sverige Storbritannien

Omsättning: 9 miljoner dollar (2014)

Anställda: 25, varav 10 i Sverige.

Mats Lewan

Mer om: Google U2F

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt

Läs mer