I veckan skrev jag på LinkedIn om att Microsoft Entra passkeys på Windows nu blir generellt tillgängliga (MC1282568 för dig som följer Message Center). En läsare hörde av sig direkt med en fråga som jag misstänker rätt många kommer att ställa:
Är inte det här bara Windows Hello for Business, fast på webben?
Det är en bra fråga. Och svaret är nästan, men inte riktigt. Du behöver förstå skillnaden, för den styr hur du bör tänka kring var passkeys passar in och var de inte gör det.
Användarupplevelsen
Föreställ dig att en användare går till m365.cloud.microsoft för att logga in. Hen skriver sitt namn, och i stället för ett lösenordsfält dyker Windows Hello upp. Titta i kameran. Eller fingret på läsaren. Inloggad.
Om personen sitter på en hanterad jobbdator där Windows Hello används varje morgon, ser det här ut som exakt samma sak. Bara att det händer i webbläsaren i stället för på inloggningsskärmen.
Det är där förväxlingen sitter, och det är det vi behöver gräva lite i.
Det är åtkomsten till din Passkey som Windows Hello låser upp, inte själva webbsajten
Det här är hela poängen. Det som faktiskt loggar in användaren mot Microsoft 365 är en passkey: en kryptografisk nyckel som ligger lagrad i Windows Hello-containern på datorn. Windows Hello används bara för att låsa upp den nyckeln, så att den får skicka iväg sin signatur till Microsoft.
Sagt på ett annat sätt: Windows Hello blir som nyckelskåpet som innehåller nyckeln. Den är inte själva inloggningen.
Det här gör att samma användarupplevelse (kameran, fingret, PIN-koden) används för två helt olika tekniska lösningar. Om du vill förstå hur passkey-tekniken fungerar under huven får du gärna läsa mitt inlägg från januari som går igenom det mer grundligt.
Två teknologier, två syften
Windows Hello for Business bevisar din identitet för datorn. Den hör hemma i hanterade miljöer, på Entra-joined eller hybrid-joined enheter, där organisationen litar på både användaren och maskinen. Den används för att låsa upp arbetsdatorn på morgonen.
Entra passkeys på Windows bevisar din identitet för molnet. Den fungerar oavsett om datorn är hanterad eller inte. Privata datorer, delade datorer, konsultmaskiner, hemma-PC:n. Allt som behövs är Windows Hello-stöd och en webbläsare.
Det här är inte ett vägval, det ena eller det andra, utan två olika verktyg för två olika sammanhang.
Och på Mac då?
På Mac är logiken nästan densamma. Användaren möts av samma typ av biometrisk prompt, FIDO2-standarden under huven är identisk. Men på lagringssidan ser det annorlunda ut.
I stället för en lokal Windows Hello-container används typiskt något som heter iCloud Keychain. Touch ID (eller datorns lösenord) låser upp ”nyckelringen”, som i sin tur släpper fram din passkey. Resultatet ser likadant ut för användaren, men den underliggande tekniken är inte riktigt densamma.
iCloud Keychain innebär dock en viktig skillnad. Windows-passkeys är som regel device-bound: de hör hemma på den specifika maskinen, och varje ny enhet behöver sin egen registrering. Mac-passkeys är typiskt sett synkade: när användaren skapar en på iPhone finns den sekunder senare på Macen och iPaden, automatiskt, via iCloud Keychain.
För användaren är det här bekvämt. En registrering räcker för hela Apple-ekosystemet. För säkerheten är det en annan diskussion: nyckeln är inte längre kryptografiskt knuten till en enda enhet, utan till användarens iCloud-konto. Det är inte sämre, men det är annorlunda. (Mer om device-bound vs synkade passkeys i januariinlägget.)
Och precis som på Windows finns det en separat hanterad-enhets-motsvarighet på Mac: Platform SSO med Secure Enclave. Det är Apples sätt att binda en kryptografisk nyckel till en specifik, hanterad Mac, ungefär som Windows Hello for Business gör på Windows. Den ligger utanför scope för det här inlägget, men strukturen är densamma: en metod för inloggning till själva enheten, en annan för molnet.
Kort sagt: samma slags användarupplevelse, samma underliggande FIDO2-standard, men en annan säkerhetsmodell på lagringssidan. Värt att hålla i bakhuvudet om organisationen har en blandad datormiljö.
Komplement, inte ersättning
Microsoft är tydliga med att Entra passkeys på Windows inte är en ersättning för Windows Hello for Business. Båda lever vidare, sida vid sida.
Det betyder att den som har en Windows Hello for Business-utrullning igång ska fortsätta med den. Och samtidigt fundera över vad det innebär att passkeys nu kan användas på maskiner organisationen aldrig kommer att hantera. Det är där den verkliga vinsten ligger.
Windows Hello for Business bevisar vem du är när du loggar in på din dator. Entra passkeys bevisar vem du är när du loggar in i molnet.
Två frågor, två svar. Och ingen av dem behöver längre vara ett lösenord.
Mats Warnolf AB 
Lämna en kommentar