Forum Övrigt Nyhetskommentarer Tråd Inlägg

15 miljarder konton använder nycklar

1 2
Skriv svar
Permalänk
Medlem
Skrivet av Perforex:

Nycklar är för krångliga för gemene man, särskilt om man har flera enheter eller om man delar inloggningar.

Kör själv Ubikeys för Bitwarden/e-post/apple konton (dock som 2FA endast) då dessa konton måste hållas säkra. Dock är implementationerna inte alltid bra då vissa e-post leverantörer inte låter användaren ta bort återställnings alternativ så som SMS vilket försvagar säkerheten enormt.

Kräver backup så klart av både nycklarna och återställningskoder.

Använder nycklar via Bitwarden på vissa sidor för att testa, dock rätt meningslöst då lösenordet fortfarande används som alternativ.

Det går fortfarande att återställa åtkomst via e-post vilket är bra för användaren men dåligt för säkerheten, din nyckel är aldrig säkrare än din e-post.

Lycka till att förklara för någon hur de ska dela en nyckel med en annan person för att ge åtkomst till tex Netflix.

Gå till inlägget

Håller med, det är en tekniskt bra lösning gjord av utvecklare, för utvecklare och som sen måste förklaras av utvecklare hur den fungerar = 99% av alla andra förstår ingenting

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hejss:

Varför har inte sweclockers passkeys?

Gå till inlägget

För att det kostar pengar att implementera, samt för att värdet och därmed risken att någon vill tillskansa sig olovlig access är minimal?

Visa signatur

Guide: Sätta upp en RAM-disk för Nvidia Instant Replay (f.d. Shadowplay)
http://xkcd.com/386/
http://readthefuckingmanual.com/

ZING! pam-PAM pam-PAM!

Redigera
Citera flera Citera
Permalänk
Medlem

Är ju svårt bara bli av med SMS vid två faktor verifiering. Många vill du ska använda deras egna inlåsta löningar eller SMS. Går vissa fall att manuellt lägga in dessa på den app du använder, men den går inte alltid genom.

Har klagat på koden är felaktigt och sen någon dag senare pluppar den upp och går använda i vissa fall. Så hela systemet är varken homogent och fungerar smärtfritt om den inte har stöd för just din två faktor verifierings tjänst.

Så att det sällan används nycklar i stället för lösenord är inte konstigt, när man inte ens kan komma ifrån SMS.

Visa signatur

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Sebbepojken:

Tack för utförlig beskrivning! Och det är lite roligt att fler än jag yrar om mobiler i den här tråden

Bara för skojs skull provade jag skapa en passkey hos Google för ett av mina konton där nu. De säger då:

"Med nycklar kan du logga in på Google-kontot på ett säkert sätt med bara ditt fingeravtryck, ansikte, skärmlås eller en säkerhetsnyckel. Nycklar och säkerhetsnycklar kan även användas som ett andra steg när du loggar in med lösenordet. Se till att dina skärmlås är privata och säkerhetsnycklar säkra, så att bara du kan använda dem."

Fattar fortfarande inte hur det skulle fungera på min dator hemma? Där har jag ingen pinkod, ingen fingeravtrycksläsare, ingen kamera, inget lösenord, inget skärmlås - det är bara att trycka på strömknappen och börja "spela data". Nu gjorde jag det från jobbdatorn som har allt det där och nu har jag tydligen en passkey kopplad till den utan att de berättat för mig hur det fungerar - jag tryckte bara på "Skapa nyckel" och så gjordes det åt mig utan vidare instruktioner om hur den används 🤷‍♂️ Bitwarden dök upp och frågade om vilket konto jag ville knyta nyckeln till. Har den skapat ytterligare en rad på mitt Google-konto i Bitwarden? Vad var i så fall allt snack om biometri och fingeravtryck om det bara är en rad i Bitwarden?

Jag försöker inte ens spela dum nu - jag förstår uppriktigt sagt inte vad det är jag har gjort när jag skapade nyckeln. Eller ja, rent tekniskt förstår jag med hjälp av din hjälp. Men jag förstår inte hur det påverkar min autentiseringsresa för det här kontot när jag kommer hem från jobbet. Så nu har jag istället raderat nyckeln igen. Det skapade bara osäkerhet och en känsla av "vad händer om jag inte kan logga in?". Jag gissar att Bitwarden hade klivit in och löst saken, men återkopplingen mot "fingeravtryck, ansikte, skärmlås eller en säkerhetsnyckel" är väldigt otydlig. Har jag skapat en säkerhetsnyckel och lagt den i Bitwarden-valvet? Ser i så fall inte vad det är för skillnad på det och att ha användarnamn och lösenord där Och fattar inte hur jag ska gå tillväga när jag loggar in på YouTube på TV:n i vardagsrummet, för den stödjer ju inte Bitwarden. Landar det då i att jag måste ha tillgång till en enhet med mitt Bitwarden på?

Gå till inlägget

Jadu. Som sagt, det här som är problemet. Jag har ingen aning om vad som hände/var meningen med ditt googlekonto Skall kanske börja prova mot mitt bitwardenkonto för att testa lite själv. Men ang TVn så skulle jag gissa att det är tanken att göra vad andra TV appar gör (i alla fall på Kodi), be användaren logga in på en url typ domain.com/verify där du får slå in en 4 - 6 siffrig kod som står på TVn för att paira. Logga in på URLen gör du såklart med din enhet som stödjer passkeys.

Men som jag sa tidigare så finns det inga krav att det skall vara biometri eller så för att låsa upp passkeys. Bara att det finns något och att de privata nycklarna skyddas. Dock har företag med mobilfokus (typ google) valt att trycka på skärmlås/biometri eftersom det är vad de flesta av deras användare faktiskt använder till vardags

Som någon sa på annat ställe i tråden. Utvecklat av utvecklare/säkerhetsfolk utan att någon egentligen har funderat på hur man skall lära allmänheten hur det fungerar. Vissa delar av techvärlden är inte så bra på detta. Folk som faktiskt är duktiga på UI skulle varit med och jobbat med standarden dag 1. Definiera språk, ikoner och koncept för hur det skall funka.

Edit:

Hittade denna sida för att testa. Går att regga med en icke existerande email om man vill: https://www.passkeys.io/

Fungerade supersmidigt att lägga till i Bitwardens firefox plugin, och den synkar till min telefon utan problem. Men min telefon (Fairphone 4, Android 13) har inte stöd för tredjeparts passkey managers, endast googles inbyggda. Det verkar vara en del av nyare Android releaser men tydligen saknas det även i Fairphone 5 som kör Android 14. Så yeah, utmärkt....

Senast redigerat Info om testning
Redigera
Citera flera Citera
Permalänk
Medlem

Jaha ja, där körde jag i diket. Trodde "passkey" var synonymt med hårdvarunyckel av något slag - implementerad med fysisk USB-pinne eller mobiltelefon. Så "passkey" är alltså en lösare form av säkerhet som inte kräver en "fysisk sak" i sig. (Det går att flytta "databasen" mellan enheter, d.v.s. att kopiera den fritt.) En snäppet mer avancerad lösenordshanterare med andra ord, tillhandahållande 2FA. Sådana lösningar är ointressanta för mig, börjar jag stöka så skall det vara med fysiska nycklar.

Att läsa om det här en gång om året räcker tydligen inte för att hänga med!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mc68000:

Jaha ja, där körde jag i diket. Trodde "passkey" var synonymt med hårdvarunyckel av något slag - implementerad med fysisk USB-pinne eller mobiltelefon. Så "passkey" är alltså en lösare form av säkerhet som inte kräver en "fysisk sak" i sig. (Det går att flytta "databasen" mellan enheter, d.v.s. att kopiera den fritt.) En snäppet mer avancerad lösenordshanterare med andra ord, tillhandahållande 2FA. Sådana lösningar är ointressanta för mig, börjar jag stöka så skall det vara med fysiska nycklar.

Att läsa om det här en gång om året räcker tydligen inte för att hänga med!

Gå till inlägget

Det kan vara en fysisk usb-pinne. Jag kör med Yubikey i olika varianter. Min favorit just nu är den som har fingeravtrycksläsare. Men som sagts tidigare vill inte alla behöva köpa en sak för att kunna logga in, tyvärr har det ju ökat komplexiteten och minskat säkerheten. Nu får man en popup i Windows för att välja om man vill ha mjukvarunyckel eller hårdvarunyckeln. I Linux är det smidigare för mig, surfa till min sida och lägg fingret på Yubikey'n. Eller anslut med ssh och lägg fingret på Yubikey'n.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har fått en (två) yubikeys av jobbet för autenticering till ett system. Men för att komma dit behöver jag ge användarnamn + lösenord + en kod från yubikeyn. Är det bara en dålig implementation? Är meningen med passkeys att jag bara ska behöva använda nyckeln? Eller är det bara en av faktorerna i en MFA?

Visa signatur

* i7-4790K * EVGA GeForce GTX 1070 Ti 8GB * Asus Z97-E * 32GB DDR3 * SuperNOVA 750 G2 * Fractal Design R5 * NH-U14S * Samsung 850/860/970 EVO 0.5/1/2TB

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Kjel8:

Jag har fått en (två) yubikeys av jobbet för autenticering till ett system. Men för att komma dit behöver jag ge användarnamn + lösenord + en kod från yubikeyn. Är det bara en dålig implementation? Är meningen med passkeys att jag bara ska behöva använda nyckeln? Eller är det bara en av faktorerna i en MFA?

Gå till inlägget

Nu är inte jag någon expert, men som jag förstår det så kan man använda en YubiKey på flera olika sätt. Man kan använda den som en faktor i en MFA lösning (OTP), eller så kan man använda den för att att lagra en passkey.

När man vänder den för OTP så är det normala att man måste ange användarnamn och lösenord, och därefter verifiera "närvaro" genom att röra sin YubiKey. Om man istället använder den med en passkey så behöver man eventuellt inte ange användarnamn och lösenord, utan det kan räcka med att använda sin YubiKey tillsammans med någon identifikator, så som PIN-kod, fingeravtryck eller liknande. Det kan finnas situationer eller applikationer som är krypterade, som inte kan krypteras/dekrypteras med hjälp av en YubiKey. I de fallen kan man behöva ange lösenord utöver den passkey som används. För kryptering krävs stöd för WebAuthn PRF extention, vilket inte stöds av alla system/webbläsare osv. Det saknas gissningsvis stöd i äldre YubiKyes också.

Så som svar på din fråga. Om systemet inte är krypterat (tänk krypterad filserver, lösenordhanterare eller liknande), så känns det i mina ögon absolut som en dålig implementation, så vida man inte tycker att extra säkerhet är viktigt för systemet i fråga. Om systemet är krypterat så kan det bero på att systemet inte ännu stödjer PRF, alternativt att metoden ni använder för att ansluta till systemet inte stödjer PRF (typ, Internet Explorer).

Någon annan här inne kanske har ännu bättre koll än mig och snart talar om för oss hur fel jag har.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag tycker nog det är lite ironiskt att många sidor och inlägg bara "men använder du en lösenordshanterare så blir det enklare". 🤷‍♂️

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Kuwanger:

Jag tycker nog det är lite ironiskt att många sidor och inlägg bara "men använder du en lösenordshanterare så blir det enklare". 🤷‍♂️

Gå till inlägget

Vad är det som är ironiskt med det? Det är ju korrekt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Binky:

Vad är det som är ironiskt med det? Det är ju korrekt.

Gå till inlägget

Jag fattade det som att hela poängen med det är att man inte ska behöva använda lösenordshanterare?

Redigera
Citera flera Citera
Permalänk
Medlem

Det mest intressanta med passkeys är ju, som några redan varit inne på, att en hackad tjänst inte kan sprida ditt lösenord då det inte finns lagrat någonstans där.
Väldigt många hacks har skett genom att folk inte orkar ha olika användarnamn och lösenord för varje tjänst.

Om man sedan använder google, apple, Yubikey eller lösenordshanterare spelar mindre roll om man bara ser till den ökade säkerheten för de som inte använt lösenordshanterare eller unika inloggningar tidigare.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Kuwanger:

Jag fattade det som att hela poängen med det är att man inte ska behöva använda lösenordshanterare?

Gå till inlägget

I see. Då missförstod du nog lite bara.

Som jag skrev ovan så är jag ingen expert, men som jag förstår det så kan du se det på följande sätt:

Det finns några olika poänger med passkeys, men en av de huvudsakliga är som @Salcin74 är inne på, är att en passkey inte kan spridas om en tjänst hackas, liksom Dropboxläckan 2012, eller Sweclockersläckan 2013. Detta då de helt enkelt inte lagras på tjänstens servrar. En annan stor fördel är att en passkey inte kan bli phishad, så själva passkeyn inte skickas mellan klient och server när man loggar in.

Passkeys är dock unika, precis som lösenord bör vara, för varje tjänst/hemsida osv. Det gör att man måste ha något sätt att lagra dem, precis som med lösenord. Det kan vara att det lagras på en enhet, så som en mobiltelefon, men det kan också vara lagrade i en lösenordshanterare. Här finns det vissa skillnader där en passkey kan vara knuten till en specifik enhet, men inte behöver vara det. Det är olika typer av passkeys. Man kan använda en hårdvarunyckel så dom en YubiKey för att förvara sina passkeys, men i det fallet kan du se på hårdvarunyckeln som en form av icke synkroniseringsbar lösenordshanterare.

Hoppas det bliev lite tydligare.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag är förvånad. Är inte "passkeys" de facto tvåfaktorsautentisering?

Edit: Eller det kom ut lite fel, 2FA kallas det väl för att det är 2 steg/faktorer, men jag menar "passkey" blir ju som andra steget/faktorn i 2FA. Alltså samma sak, fast mindre säkert då det är utan lösenordet, det första steget.

Redigera
Citera flera Citera
Permalänk
Medlem

Är ju inte så konstigt när fysiska passkeys kostar så jävla mycket. 800kr för en liten USB nyckel.
Lägg till att alla tjänster inte erbjuder det och det verkar inte finnas någon ”standard” i hur det ska fungera. Vissa kräver PIN, vissa inte, vissa kräver 2 passkeys, vissa inte, ibland funkar det på mobil, ibland inte och så mycket mer som bara gör en snurrig.
Visserligen funkar passkey på iOS bra också så man inte behöver en fysisk.

Redigera
Citera flera Citera
1 2
Skriv svar