Annons

Säkerhet blir osäker när den inte funkar

Krönika: Jag blir hellre hackad och får min identitet stulen

Misslyckad verifikation, förvirrande felmeddelanden, Apple Pay som inte längre fungerar, en klocka som tvingar mig till systemåterställning. “Okänt fel, försök igen.” Jag inleder mitt testande av säkerhetsnycklar väl medveten om begränsningarna. Tror jag. Jag kommer bli överraskad.

Publicerad Uppdaterad

När jag börjar är jag medveten om att Apple precis lanserat funktionen och att den är begränsad till enheter med 16.3 och senare. Det betyder att min gamla Ipad som ligger hemma inte stöds, men jag går ändå vidare med testet, för att se hur det hanteras. Jag är även nyfiken vad som händer om jag tappar bort en nyckel, finns det någon smart lösning för det?

Utöver Apple kopplar jag även mitt Google-, Microsoft- och Facebookkonto till säkerhetsnycklarna som ska ge ökad säkerhet och hindra obehöriga från att ta över mina konton.

Som användare av de här nycklarna är jag mer eller mindre en mardröm. Jag byter telefoner flera gånger per vecka eftersom jag alltid testar något nytt och därmed sätter jag verkligen lösningen på prov. Jag har Iphone så väl som en rad olika Androider och just nu även Huawei Mate 50 Pro med deras Harmony OS.

När jag börjar är jag medveten om att Apple precis lanserat funktionen och att den är begränsad till enheter med 16.3 och senare. Det betyder att min gamla Ipad som ligger hemma inte stöds, men jag går ändå vidare med testet, för att se hur det hanteras. Jag är även nyfiken vad som händer om jag tappar bort en nyckel, finns det någon smart lösning för det?

Utöver Apple kopplar jag även mitt Google-, Microsoft- och Facebookkonto till säkerhetsnycklarna som ska ge ökad säkerhet och hindra obehöriga från att ta över mina konton.

Som användare av de här nycklarna är jag mer eller mindre en mardröm. Jag byter telefoner flera gånger per vecka eftersom jag alltid testar något nytt och därmed sätter jag verkligen lösningen på prov. Jag har Iphone så väl som en rad olika Androider och just nu även Huawei Mate 50 Pro med deras Harmony OS.

Jag börjar med mitt Google-konto och lägger till säkerhetsnycklarna där. Det funkar inte. Xiaomi-telefonen jag använder vill inte registrera nyckeln och det är först när jag provar med en annan Android, en Samsung, som jag lyckas registrera nyckeln. Jag får senare veta att Xiaomi inte har stöd för NFC-anslutning men att det däremot fungerar via usb-c. Bara en av mina nycklar har usb-c. På Huawei-telefonen fungerar det inte alls.

Till skillnad från Google så kräver Apple att jag har två nycklar och att jag registrerar båda. På första försöken tar det stopp. Telefonens instruktioner säger att jag ska hålla nyckeln “nära toppen av denna Iphone”. Svaret när jag gör det blir “Det gick inte att lägga till säkerhetsnyckeln. Försök igen med en annan säkerhetsnyckel.” Jag gör det samtidigt som jag svär lite över att de här nycklarna verkligen inte är gratis och det svider lite om de inte accepteras. Särskilt som jag behöver flera för att Apple ska godkänna skyddet.

Efter lite fumlande med nyckeln här och där i toppen av telefonens baksida registreras min nyckel. Vad som händer förutom det är att jag överöses av appnotiser från webbläsaren Chrome. “NFC-märke för Chrome. Öppna i Chrome.” Jag klickar på en av de notiserna och kommer till en webbsida, men det ser inte ut som det har något med min inloggning att göra. Det bara stör. Senare får jag veta att det här är en inställningssak på själva nyckeln och att notiserna är funktioner den som köper en billigare nyckel för konsumentbruk slipper se. Den plats på Iphone där NFC-nyckeln hittas bäst är när jag håller den mot övre vänstra hörnet av skärmen.

Jag fortsätter med att registrera nycklarna hos Microsoft för att skydda min molnlagring där och hos Facebook. Hur tjänsterna hanterar nycklar skiljer sig åt. När jag börjar registrera nycklarna krävs till exempel ingen pinkod, men när jag använt nyckeln till flera olika konton och ett av dem frågar efter pin så efterfrågas det sedan konsekvent. 

Just eftersom olika tjänster hanterar säkerhet generellt och säkerhetsnycklar specifikt på olika sätt så skiljer sig funktionerna. När jag lade till säkerhetsnycklarna hos Facebook och Microsoft fick jag till exempel fortfarande de gamla engångskoderna via sms och kunde därför logga in fortsatt utan nyckeln. Det här lyckades jag styra om på Facebook, så att den vid varje ny inloggning kräver nyckel, men hos Microsoft envisas de med att alltid istället skicka engångskod via e-post, vad jag än gör i inställningarna. Jag kan aktivt välja att använda nyckeln, men jag kan också lika gärna välja en lägre säkerhetsnivå, vilket ju gör att hela idén med säkerhetsnyckeln faller.

Under MWC-mässan i Barcelona behöver jag logga in på Facebook på en ny telefon och får inte nycklarna att fungera. Facebook envisades så många gånger med beskedet att “Din säkerhetsnyckel kan inte verifieras”. Jag gav upp, bestämde mig för att koppla bort nycklarna från kontot och gick in på en annan mobil, behövde inte ens ange mitt lösenord, utan kunde med det lösen som sparats i systemet enkelt inaktivera nycklarna. 

Det verkar som det finns en anledning till att den här typen av nycklar, även om de på ett teoretiskt plan ger bättre säkerhet, inte går att köpa i vanliga elektronikbutiker, i mataffären eller kiosken som skulle vara önskvärt. De finns inte där helt enkelt för att de inte är i närheten av smidiga att faktiskt använda. Så länge säkerhetsnycklarna sätter så många krokben på mitt vardagliga användande blir de ju heller inte använda i praktiken.

Det känns som säkerhetsnycklarna nästan lika effektivt stänger ute mig från mina egna konton som de håller obehöriga borta. Det blir en oerhörd lättnad att äntligen ta bort dem från mina konton och återgå till de alternativ som faktiskt fungerar med alla enheter jag använder.