Vlákno názorů k článku
Google zapnul přihlašování k účtu bez hesla, passkeys mají chránit před úniky hesel a phishingem od Tomáš Trnka - Čili jestli to správně chápu, Google vlastně objevil...

Čili jestli to správně chápu, Google vlastně objevil přihlašování klientským certifikátem, které je tu s námi už určitě dvacet let? Jen toto znovuobjevené kolo je nyní správně moderně obalené tunou javaskriptu a dalšího balastu, který si ideálně každý web implementuje trochu po svém. Přitom stačilo trochu zpřívětivit manipulaci s klientskými certifikáty, se kterými umí browsery nativně pracovat dávno.

Za prvé, není to věc Google – je to založené na standardu WebAuthn, na kterém spolupracovala spousta firem, a na samotné PassKeys se podílí vedle Googlu také Microsoft, Apple a další. Za druhé, nejsou tam certifikáty, protože certifikát vám musí někdo vydat. Používají se tam jen klíče. Za třetí, „zpřívěťování“ práce s certifikáty v prohlížeči by narazilo na přísné limity – HTTPS používá TLS, které je záměrně nastaveno tak, že jakmile v TLS komunikaci k nějaké chybě, spojení se ukončuje a uvádí se jen velmi málo informací o tom, k jaké chybě došlo. Takže všechno by to končilo na tom, že jakákoli chyba při přihlašování klientským certifikátem by v prohlížeči znamenala jen nějaké obecné hlášení typu „něco se nepovedlo“.

Navíc s přihlašováním klientským certifikátem se v prohlížečích už moc nepočítá – např. Chrome při použití TLS 1.3 vyměňuje klíče velmi často, přičemž při přihlášení klientským certifikátem je potřeba jeho privátní klíč při výměně klíče spojení. Což má za následek, že musíte zadávat PIN k privátnímu klíči třeba každých pět až deset minut. A nikomu to evidentně nevadí.

(Ale používání klientských certifikátů má v prohlížečích příšerné UX i v těch částech, kde by mohlo být přívětivé, o tom žádná.)