Lösenord är svårt och krångligt, och läckta lösenord kan leda till stora problem för användarna. Det finns flera säkerhetsmässiga anledningar till att många vill bort från användandet av lösenord. FIDO Alliance är ett konsortium av företag och organisationer som arbetar tillsammans för att ta standarder för autentisering under öppen källkod. Det kanske viktigaste målet för FIDO Alliance är att utveckla autentiseringsmetoder som är både säkra, och framför allt enkla att använda, och som leder till att användarna av online-tjänster ska slippa använda lösenord överhuvudtaget.

I måndags meddelade FIDO Alliance att de tillsammans med Google certifierat FIDO2-standarden för Android vilket kommer innebära att den breda majoriteten av enheter med Android 7 eller senare kommer att kunna logga in på webbtjänster utan lösenord genom mobila webbläsare som Googles Chrome, skriver Wired.

Sedan tidigare har Android-enheter möjlighet att logga in i mobilappar med FIDO-standarden genom att använda fingeravtrycket eller med hjälp av en hårdvarunyckel som Yubikey med flera. Men med FIDO2 tillkommer möjligheten att logga in på webbtjänster via webbläsaren utan att behöva använda ett lösenord. Utvecklarna av webbtjänsterna nu kan lägga till stöd för FIDO2 och på så sätt öppna för användarna att logga in med hjälp av Androids infrastruktur för FIDO2.

FIDO2, tillsammans med den närliggande standarden WebAuthn, har implementerats av de flesta leverantörer av webbläsare, utom Apples Safari, och även av plattformar som Microsoft som stödjer lösenordsfria inloggningar. Att nu Android kliver på tåget innebär ett stort steg framåt eftersom användarbasen är så bred.

Ett vanligt problem kring Android är att operativsystemet är publicerat under öppen källkod vilket medför att flera leverantörer utvecklar egna varianter; detta leder i sin tur till att det inte är självklart att de uppdateringar som Google publicerar når ut till alla användare av Android. Enligt Google ska det dock förhålla sig annorlunda denna gång då Google publicerar FIDO2-uppdateringen via Google Play Services och detta borde medföra att så gott som alla enheter som kör Android 7 eller senare kommer nås av uppdateringen.

Google förutsätter att fingeravtryck är och blir det mest använda sättet att logga in via FIDO2, även om möjligheten fortfarande finns att använda en hårdvarunyckel, nfc eller Bluetooth. Både Google och FIDO Alliance poängterar att data från fingeravtryckssensorn stannar på enheten, istället skapar sensorn en kryptografisk signatur som används av FIDO2-protokollet för att autentisera användaren.

Även om Android nu hakar på FIDO2 och WenAuthn kommer lösenorden att leva kvar länge till. Det är trots allt upp till utvecklarna av webbtjänsterna att lägga till stöd för protokollen.

Läs också:
Hejdå till lösenord på företaget – så funkar Windows Hello for Business
Nya Yubikey 5 hjälper dig slippa lösenord – nu med stöd för FIDO2