Microsoft släpper guide till nycklar i Windows

Kikade i instruktionen på den länkade siten, jag fattar ingenting av det.

Nu nåste jag ställa en dum fråga.

Jag använder bitwarden för lösenord på nätet.
På svenska sajer används ibland bankid.
Vissa sajter vill att man loggar in med sitt google-konto.
Och ett fåtal skickar ett sms med en kod som jag måste slå in.

Men jag har aldrig stött på passkeys.
Om det är framtiden, nämn några sajter som använder det.

Google, Microsoft, Apple, Playstation, Adobe, Amazon, Discord, GitHub, Stripe, Twitter, med många fler.

Även i Bitwarden har du stöd för att lägga till passkeys för sidor, vilket är sjukt smidigt för snabb login och fler säkerhetsfunktioner.

Se t.ex. https://passkeys.directory/

Sedan om det är framtiden eller ej återstår att se... Jag hoppas ju att det blir bättre ordning vad gäller "allas" försök att använda den nya inloggningsformen som konsumentfientligt inlåsningsnonsens innan det eventuellt blir framtiden, iaf.

Det kan också vara en möjlighet, har inte sett den användas ute i det vilda, dock.

Som vanligt med de flesta ms sidor så kan man byta språk på sidan till engelska. Blir lite begripligare då

Vad jag förstår lagras en säkerhetskopia i din OneDrive. Däremot går de inte att exportera vilket betyder att de f.n är låsta till Windows

Ah.

För mig personligen duger inte det (särskilt eftersom jag dräpt OneDrive från alla mina Windowsmaskiner). Det måste gå att exportera alla nycklar till en hårdkrypterad dump närhelst jag känner för (precis så som man kan göra i andOTP), annars finns inte en chans i helvetet att jag skulle använda det.

Men så länge som inte alla viktiga tjänster börjar kräva passkey så skiter jag i det, föredrar vanliga hederliga gedigna lösenord & KeePass. Och blir det krav så kommer garanterat en KeePass-plugin tas fram för det hursomhelst, om inte annat av mig själv.

Man kan dock lägga in flera nycklar på hemsidorna samtidigt, och man bör även göra det av andra skäl.

Har jag förstått det rätt att passkeys fungerar ungefär som ssh keys, med skillnaden att de används för att logga in på hemsidor och inte mot servrar?

Typ, fast de är även knyten till FQDN. Ingen fingerprint behöver bekräftas första gången. Så det gör dem phishing säkrare, så man inte råkar logga in på fake sidor för ms, google etc. Och per automatik så skapas en ny nyckel för varje tjänst. Sen är det nästan alltid krav på att din passkey har nån form av pin/biometri.

Inte nyckel hål men hårdvarunycklar finns tex https://www.yubico.com/products/yubikey-5-overview/

Du vrider inte på dem men du måste röra touch sensorn på dem för att påvisa fysisk närvaro.

Det finns ju flera lösenordshanterare som klarar att synka Passkeys mellan olika plattformar så man behöver inte vara fast på ett enskilt företags OS.

Om du har lösenorden till alla dina konton memorerade har du troligen antingen väldigt få konton (grattis!), samma lösenord på flera tjänster (sårbar för credential stuffing) eller har ett mönster för hur du väljer lösenord (ofta lätta att gissa om ett av lösenorden läcker).

Lösningen till de vanliga problemen ovan löser man oftast bäst med en lösenordshanterare. De kan även hantera passkeys år dig och synka mellan dina olika enheter.

Passkeys har flera fördelar jämfört med lösenord säkerhetsmässigt. Du har dock rätt i att de stora plattformarnas försök att använda Passkeys för att försöka låsa användarna till sin egen plattform är riktigt irriterande. Som tur är finns det ju numera lösenordshanterare som låter dig hantera dem mer som lösenord (fast fortfarande säkrare) och synka dem mellan enheter.

Jag har 4-5 konton som är så pass viktiga att jag skulle få avsevärda problem om jag blev utelåst från dem. Att hålla lösenordet till dem i huvudet är inte svårt. (Ligger i en lösenordshanterare också, men skriver dem manuellt varje gång.)

Övriga konton är någorlunda vikt, typ Sweclockers eller butiker där mina betaluppgifter finns sparade, har starka lösenord och ligger i en lösenordshanterare.

Aha, du menade så.

Själv har jag över 400 konton i min password manager. Givetvis är det dock så att antalet riktigt viktiga konton är betydligt färre, men skulle fortfarande inte säga att det gör lösenord till en fantastisk lösning som vi blr fortsätta med förevigt.