Vlákno názorů k článku
Google zapnul přihlašování k účtu bez hesla, passkeys mají chránit před úniky hesel a phishingem od Michal Kubeček - Ta myšlenka soukromého klíče uloženého přímo v zařízení...

Ta myšlenka soukromého klíče uloženého přímo v zařízení (včetně mobilních) a jen chráněného PINem nebo dokonce biometrikou se mi ani trochu nelíbí. Ale doba je holt taková, že si každý musí vymyslet nějaký svůj nestandardní cool nesmysl místo toho, aby se drželi existujícího standardu (FIDO2) a nechali na uživateli, jestli chce mít implementaci softwarovou, pevně svázanou se zařízením nebo samostatný token. :-(

P.S.: mimochodem, je dost těžké věřit Googlu, že mi chce pomoci se zabezpečením, když musím po každém přihlášení jako blbec zrušit zaškrtnutí checkboxu "znovu nepožadovat na tomto zařízení" místo toho, aby si prostě zapamatoval, že ten druhý faktor pokaždé použít prostě chci.

4. 5. 2023, 09:01 editováno autorem komentáře

Proklamace jsou hezká věc, ale praxe je poněkud jiná. Chtěl jsem si to zkusit a píše mi to: "aše zařízení nepodporuje vytváření přístupových klíčů, ale můžete vytvořit přístupový klíč pro jiné zařízení." Tak jsem chtěl zkusit aspoň to "pro jiné zařízení", prohlížeč si nechal odsouhlasit předání informací o tokenu, provést cvičný podpis - a výsledkem bylo jen přidání druhé instance téhož tokenu, u které je stejná poznámka, že ho lze použít jen pro dvoufázovou autentizaci.

ale vždyť to tak přesně je, FIDO podporuje passkey a můžeš mít ten klíč na tokenu místo na zařízení (https://fidoalliance.org/passkeys/).

to ale nemá nic společného s passkeys, ale s přístupem Googlu, který je občas dost tvrdohlavý. Tohle jsem nezkoušel. Používám yubico, macos a passkeys zatím pro svoje aplikace, je to pohodlné, rychlé, bezpečnější než pořád přepisovat heslo a dobře se to kombinuje s 2FA a zadáváním nějakého pinu.

4. 5. 2023, 12:05 editováno autorem komentáře