Passkeys: innlogging uten passord
Passkeys bruker kryptografiske nøkler i stedet for passord og er immune mot phishing – en mer sikker innloggingsmetode for nettjenester.
Passord er en av de svakeste koblingene i digital sikkerhet. De gjenbrukes, glemmes, stjeles og kompromitteres daglig gjennom phishing og datalekkasjer. Passkeys er en moderne løsning på dette problemet – en innloggingsmetode basert på kryptografiske nøkler som er phishing-resistent av design.
Hva er passkeys?
En passkey er et par kryptografiske nøkler som genereres lokalt på enheten din. Den ene nøkkelen (privat) lagres trygt på enheten – i en sikker brikke eller passordbehandler – og forlater aldri enheten. Den andre nøkkelen (offentlig) deles med tjenesten du logger inn på.
Når du logger inn, sender tjenesten en utfordring som enheten din signerer med den private nøkkelen. Tjenesten verifiserer signaturen med den offentlige nøkkelen – og du er logget inn. Ingen passord sendes over nett, og det er ingenting å stjele fra serveren.
Passkeys er bygget på FIDO2/WebAuthn-standarden, som støttes av alle store nettlesere og operativsystemer: Windows, macOS, iOS, Android og Linux.
Hvorfor er passkeys bedre enn passord?
| Egenskap | Passord | Passkey |
|---|---|---|
| Phishing-resistent | Nei | Ja – nøkkelen er domene-bundet |
| Krev hukommelse | Ja | Nei |
| Sårbar for datalekkasje | Ja | Nei – serveren kjenner bare offentlig nøkkel |
| Gjenbruksrisiko | Høy | Ikke aktuelt |
| Støtter biometri | Sjelden | Ja (fingeravtrykk, Face ID) |
Det kritiske punktet er domene-binding: en passkey opprettes for et spesifikt domene, for eksempel vymo.no. Selv om en angriper lurer deg til å besøke vymo-no.com, vil ikke passkeyen fungere der. Dette gjør den fullstendig immun mot klassisk phishing – i motsetning til passord, som brukere lett skriver inn på falske sider.
Les mer om phishing-angrep rettet mot .no-domener i vår guide om phishing-domener .
Slik fungerer det i praksis
Brukeropplevelsen med passkeys er enkel:
- Du besøker innloggingssiden.
- Nettleseren eller appen ber deg om å bekrefte identiteten – vanligvis med fingeravtrykk, ansiktsgjenkjenning eller PIN.
- Enheten signerer utfordringen fra serveren med den private nøkkelen.
- Du er logget inn – uten å ha skrevet ett eneste tegn.
Passkeys kan synkroniseres mellom enheter via Apple iCloud Keychain, Google Password Manager eller tredjepartsverktøy som 1Password. Dette gjør det mulig å logge inn fra ny enhet uten å starte fra scratch.
Passkeys for norske bedrifter og .no-tjenester
For norske virksomheter som drifter .no-nettsteder er passkeys særlig relevant i to sammenhenger:
Som sluttbrukerfunksjon: Dersom nettstedet ditt tilbyr brukerinnlogging – nettbutikk, kundeportal, abonnementstjeneste – gir passkeys brukerne en tryggere og enklere innlogging. Det reduserer risikoen for kontokapring og supporthenvendelser om glemte passord.
Som intern innloggingsmetode: Ansatte som logger inn på interne systemer med passkeys er langt bedre beskyttet mot phishing og credential stuffing enn de som bruker passord alene. Kombinert med sikkerhetsopplæring av ansatte bygger dette et solid forsvar.
Hva kreves for å ta i bruk passkeys?
For å tilby passkeys på et nettsted trenger du:
- En backend som støtter WebAuthn (biblioteker finnes for alle vanlige språk og rammeverk)
- HTTPS – passkeys krever sikker tilkobling, noe alle seriøse .no-nettsteder bør ha uansett
- Et gyldig domene som er korrekt konfigurert – her starter du med å registrere .no-domenet ditt
Mange identitetsplattformer og SSO-løsninger (f.eks. Microsoft Entra, Google Identity, Okta) støtter allerede passkeys og kan aktiveres uten å bygge noe fra bunnen av.
Hva med to-faktor-autentisering?
To-faktor-autentisering (2FA) er et godt tiltak, men passkeys er i mange tilfeller enda sterkere fordi selve autentiseringen er kryptografisk bundet til domenet. En SMS-basert 2FA kan fremdeles phishes; en passkey kan det ikke.
Passkeys erstatter ikke nødvendigvis 2FA i alle scenarier – i høy-sikkerhets-sammenhenger kan du kombinere passkey med en fysisk sikkerhetsnøkkel. Men for de fleste brukstilfeller er en passkey alene sterkere enn passord + SMS-kode.
Passkeys er ikke fremtidsteknologi – de er tilgjengelige i dag og støttes av milliarder av enheter verden over.
Oppsummering
Passkeys representerer et fundamentalt skifte i hvordan vi autentiserer oss på nett. De eliminerer passordets svakheter, er immune mot phishing og gir en bedre brukeropplevelse. For norske bedrifter med .no-tilstedeværelse er dette en investering i sikkerhet som betaler seg – både i redusert risiko og lavere støttebelastning. Sjekk alle sikkerhetstips hos Vymo for å komme i gang.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.