Forum Övrigt Nyhetskommentarer Tråd Inlägg

Google gör nycklar enklare att använda i Chrome

1 2
Skriv svar
Permalänk
Medlem
Skrivet av Archibald:

På samma sätt som med all data. Backup.

Gå till inlägget

Huh? Hur skulle backup hjälpa mig? Jag är inte rädd att Google tappar min data. Jag är rädd för att det hittas ett säkerhetshål som utnyttjas och då läcker ALLA mina lösenord istället för ett.
Och dessa generiska tjänster för lösenord är i skottgluggen hos alla hackare i världen. De sitter bara o väntar på nästa stora säkerhetsmiss som kommer med jämna mellanrum.

Eller tror du, utan din foliehatt, att Google är extra skyddade mot obskyra säkerhetshål?

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av talonmas:

Huh? Hur skulle backup hjälpa mig? Jag är inte rädd att Google tappar min data. Jag är rädd för att det hittas ett säkerhetshål som utnyttjas och då läcker ALLA mina lösenord istället för ett.
Och dessa generiska tjänster för lösenord är i skottgluggen hos alla hackare i världen. De sitter bara o väntar på nästa stora säkerhetsmiss som kommer med jämna mellanrum.

Eller tror du, utan din foliehatt, att Google är extra skyddade mot obskyra säkerhetshål?

Gå till inlägget

E2E hjälper här otroligt mycket. Och om valet för gemene man står mellan att inte använda en lösenordshanterare eller att använda Googles så är valet ganska enkelt ur säkerhetssynpunkt.

Redigera
Citera flera Citera
Permalänk
Medlem

Säkerhet och smidighet brukar inte vara något som går ihop. Tar vi Passkeys så hittar man ändå en bra lösning som både är säkrare och enkel att använda om man jämför mot lösenord. Så att Google erbjuder bättre stöd för det på flera enheter är väl bara bra för dom som ändå är inne i deras ekosystem. Det mindre bra är väl att Google låser in användare med passkeys efter som de inte erbjuder export av det (vad jag vet), till skillnad från vanliga lösenord.

Förhoppningsvis kommer flera hemsidor stödja Passkeys framöver med en tydlig Passkeys (knapp) inloggning så att det blir smidigare att använda för gemene man.

Men det många kanske inte tänker på, är att har någon tillgång till din mejl så kan de använda glömt lösenord på de sidorna mejlet har registrerats på och då komma åt dina konton utan tillgång till lösenordshanteraren. Så har man inte aktiverat 2fa (tvåfaktorsautentisering) på sin mejl, är det dags att göra det.

En övrig fråga om ämnet Passkeys, om det är okej?
Har Sweclockers nämnt eller sagt något om stöd för Passkeys?

Redigera
Citera flera Citera
Permalänk
Avstängd

Bitwarden. Open source, gratis, säkert... och 100% fritt från Google.

Visa signatur

Lulz

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av talonmas:

Huh? Hur skulle backup hjälpa mig? Jag är inte rädd att Google tappar min data. Jag är rädd för att det hittas ett säkerhetshål som utnyttjas och då läcker ALLA mina lösenord istället för ett.
Och dessa generiska tjänster för lösenord är i skottgluggen hos alla hackare i världen. De sitter bara o väntar på nästa stora säkerhetsmiss som kommer med jämna mellanrum.

Eller tror du, utan din foliehatt, att Google är extra skyddade mot obskyra säkerhetshål?

Gå till inlägget

Det som är bra med passkeys/nycklar är väl att även om någon hackar sig in hos Google eller var nu nycklarna är sparade så har de ingen nytta av dem utan ”andra hälten” som finns lokalt på din enhet.

Försökte reda lite i det och AI:n Claude berättade:

In summary, while the passkeys are initially generated and stored locally, users have the option to securely sync their passkey data across devices using cloud services, without compromising the core security benefits of the passkey approach. The local device is still the root of trust for the passkey credential.

Låter ju ganska säkert på pappret, men någon här menade på att en AI/LLM ”killgissar” så ska kanske ta detta med en nypa salt.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac mini | M4 Pro | 48 GB RAM | 1 TB | macOS 15 Sequoia
• MacBook Pro 14" | M2 Max | 96 GB RAM | 1 TB | macOS 15 Sequoia

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av star-affinity:

Det som är bra med passkeys/nycklar är väl att även om någon hackar sig in hos Google eller var nu nycklarna är sparade så har de ingen nytta av dem utan ”andra hälten” som finns lokalt på din enhet.

Försökte reda lite i det och AI:n Claude berättade:

In summary, while the passkeys are initially generated and stored locally, users have the option to securely sync their passkey data across devices using cloud services, without compromising the core security benefits of the passkey approach. The local device is still the root of trust for the passkey credential.

Låter ju ganska säkert på pappret, men någon här menade på att en AI/LLM ”killgissar” så ska kanske ta detta med en nypa salt.

Gå till inlägget

Så har inte jag förstått det. Den enda säkerhetsrisken med passkeys är om någon snor dem. Typ via ett virus eller kommer åt din lösenordshanterare där nyckeln är sparad. Rätta mig om jag har fel

Skulle den vara låst till en enhet kan man ju inte synka den mellan sina enheter.

Nyckeln är unik för varje domän/hemsida. Den går därför inte nätfiska, som man lätt gör med ett lösenord. Skulle man sniffa fram informationen som utbyts vid inloggning så är den bara giltig i en kort stund. Och du har inget lösenord som går att göra bruteforce på.

För fullgott skydd borde man inaktivera inloggning med lösenord sedan, tänker jag. Alternativt att lösenordet ackompanjeras av mfa. Alternativt att man kör ett riktigt långt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Så har inte jag förstått det. Den enda säkerhetsrisken med passkeys är om någon snor dem. Typ via ett virus eller kommer åt din lösenordshanterare där nyckeln är sparad. Rätta mig om jag har fel

Skulle den vara låst till en enhet kan man ju inte synka den mellan sina enheter.

Nyckeln är unik för varje domän/hemsida. Den går därför inte nätfiska, som man lätt gör med ett lösenord. Skulle man sniffa fram informationen som utbyts vid inloggning så är den bara giltig i en kort stund. Och du har inget lösenord som går att göra bruteforce på.

För fullgott skydd borde man inaktivera inloggning med lösenord sedan, tänker jag. Alternativt att lösenordet ackompanjeras av mfa. Alternativt att man kör ett riktigt långt.

Gå till inlägget

Du har rätt. Jag verkar ha fått fel uppfatting om hur det funkar:

Jag frågade:
Is one part of a passkey stored online and another part locally on one's device?

Svaret:
No, that is not how passkeys work. Passkeys are a new passwordless authentication standard that replaces traditional passwords.
With passkeys:

The entire passkey is stored locally on the user's device, such as a smartphone or laptop. There is no part of the passkey stored online.
When the user needs to authenticate, their device uses the local passkey to cryptographically prove the user's identity to the online service.
This allows for secure authentication without the user having to remember or enter a password. The passkey never leaves the user's device.

The key advantage of passkeys is that they eliminate the need for passwords, which are vulnerable to phishing, data breaches, and other attacks. By keeping the entire passkey stored locally, passkeys provide strong, passwordless security without relying on any online storage or transmission of sensitive credentials.

Jag följde upp med:
What about syncing passkeys to Apple's iCloud or Google? Then they are not stored locally, are they? Or how does that work?

Svaret:
You make a good point. While the core concept of passkeys is to store the entire credential locally on the user's device, there are options to sync passkey data across devices using cloud services like iCloud or Google.
Here's how that works:

The passkey itself is still generated and stored locally on the user's device. It never leaves the device in its raw form.
When the user wants to sync their passkeys across devices, the device uses cryptographic techniques to securely back up and sync an encrypted representation of the passkey data to the cloud service (e.g. iCloud, Google Account).
On other devices the user owns, they can then download and decrypt the synced passkey data, allowing them to access their passkeys on multiple devices.
Even though the passkey data is synced to the cloud, the actual passkey credential is never exposed. The cloud service only has access to the encrypted backup, not the raw passkey itself.

So in summary, while the passkeys are initially generated and stored locally, users have the option to securely sync their passkey data across devices using cloud services, without compromising the core security benefits of the passkey approach. The local device is still the root of trust for the passkey credential.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac mini | M4 Pro | 48 GB RAM | 1 TB | macOS 15 Sequoia
• MacBook Pro 14" | M2 Max | 96 GB RAM | 1 TB | macOS 15 Sequoia

Redigera
Citera flera Citera
Permalänk
Medlem

Betalat många år för Lastpass Family till hela familjen men i takt med att priserna som alltid gått upp och jag ställt mig frågan om det är värt det så slog jag till och började hosta en egen instans av vaultwarden (Bitwarden-kompatibel implementation) hemma. Superlätt att sätta upp, kunde migrera hela familjens data superlätt och för dem så funkar allt i princip exakt likadant som innan. Finns extension till webläsaren, app till mobilen osv.

Visa signatur

Huvudriggen är en Gigabyte Aorus Xtreme | 128gb DDR5 6000 | Ryzen 7950X | 3080Ti
Utöver det är det för många datorer, boxar och servar för att lista :P

Redigera
Citera flera Citera
1 2
Skriv svar