15 miljarder konton använder nycklar

Men konstigt, varför skulle en digital tjänst vara säkrare än någon annan? Klart folk är oroliga för att låta en sådan sköta alla lösenord man har. "Det är 100% säkert!"...tills det inte är det.

Varför har inte sweclockers passkeys? Kunde vara intressant information att tillfoga artikeln tycker jag. Många tjänster verkar vara långsamma att införa det. Vore kul att höra ert perspektiv

Och vad tycker Andrew Shikiar att man bör använda då?
Eller ska vi lata personer leta rätt på den infon själv?

Är det all annan programvara än det inbyggda lösenordshanteraren i t.ex Firefox/Chrome? Isåfall, vilken av uppsjön av programvara? Ska man betala för sig? Varför det, istället för gratis dito?
Vilek programvara funkar för evigt, och inte bara tillsvidare? Varför ska jag lägga tid/energi på att skapa upp nåt system för lösenord i ett program som kan vara borta om 6 månader?
Många frågeställningar, men vet man inget, så...

Jag tycker att nycklar förutsätter två saker som jag som användare inte alltid har:
A) Förtroende för leverantören av nyckel-systemet. Vad händer om det en dag inte fungerar? Det vill jag inte veta. Dessutom vill jag inte lägga mer av mitt liv hos MS m.fl.
B) Att jag faktiskt sköter backup av återställningsnycklar osv. Görs det inte perfekt känns det istället som ett enkelt sätt att låsa sig ute från allt.

Nej, jag håller mig till bra lösenord och 2FA där det behövs. Då kan jag fortsatt vara en slarver och ändå komma åt mina tjänster.

För mig är problemet så enkelt som att ingen tjänst enkelt försökt berätta för mig vad nycklar är och hur de fungerar. Vissa tjänster har börjat prompta om att logga in med det istället för lösenord, men utan att berätta varför. Då väljer jag bara "Nej tack" och går vidare med livet 🤷‍♂️ Jag har unika e-postadresser och lösenord på varje tjänst jag använder så jag upplever spontant inte något behov av att logga in på ett annat sätt.

Det lilla jag har snappat upp är att man verkar förväntas använda sin mobil till en stor del av alla inloggningar? Det tycker jag bara verkar jobbigt eftersom jag inte alltid har den bredvid mig. Och hur fungerar det de dagar man är utan telefonen i så fall? Har kanske missförstått eller läst för lite - men jag fattar inte hur det skulle vara bättre än användarnamn och lösenord för mig.

Orsaken är väl att det är inte tillräckligt tydligt vad man ska göra.
tror jag.

Det här med nycklar låter så bra.

Men varje gång jag känner att jag vill ta tag i det och börja använda nycklar så inser jag vilket träsk det har blivit.
Det känns lite som Linux med hundratals distros, om du inte gör en djupdykning så blir det svårt för gemene man att göra ett val att välja just Linux.

Men det är en skillnad mellan frivilliga Linuxdistros och nycklar.
Här försöker de stora bolagen fånga in dig i sitt ekosystem och göra det krångligt att använda andras och vips så har 90 % av alla datoranvändare lagt ner och fortsätter använda sitt kära lösenord 123456.

Jo det finns lösningar för att använda nycklar över olika plattformar och sajter men det lägger till ytterligare förvirring.
Så för nu fortsätter jag köra en lösenordshanterare även om det också kräver att doppa tårna i vattnet till viss del.

Förresten, hittade detta😮…
6 månader tidigare…

Er försvenskning av det här ordet är dålig, allt för mycket kontext förvinner från engelskan, jag tycker ni ska sluta med det eller komma på en bättre översättning.

Vad gäller själva funktionen är det ju i princip samma sak som bankid, men i stället för att ha autentiseringen hos bankid så har du det hos, google, microsoft, amazon eller var du nu vill logga in.
Det är ej heller knutet till din identitet, utan i stället din telefon, så blir du av med den är det kört för dig.

Okej princip som är dåligt förklarad och dåligt rent praktiskt (pga "tappat telefonen"-problematiken).

Det största problemet verkar helt klart vara att den stora massan, där jag inkluderar mig själv, inte begriper hur skiten fungerar och att det finns en massa om och men.

Det här är det stora problemet med passkeys just nu, och förklaras väldigt väl i den länkade artikeln från ArsTechnica. Jag rekommenderar att läsa den.

Väldigt kort: Tekniken bakom passkeys är super och löser problem som lösenord har genom teknik istället för att förlita sig på att användare "gör rätt". Det fixar användning av samma lösen till fler konton, svaga lösen och phising men låter samtidigt en användare komma ihåg endast "ett" lösen/pin. Väldigt kort förklarar så skapas det ett privat/publikt nyckelpar för ditt konto när du registerar en passkey för ditt konto. När du skall logga in så begär hemsidan att du skall bevisa att du har kontroll över den privata nyckeln och din klient kommer bara att gå med på att signera request som kommer från rätt domän (fick för mig detta var kryptografiskt garanterat utöver "bara" https, men jag kan inte bekräfta det nu). Klienten kommer också begära att du autentiserar dig lokalt med en PIN/lösen/biometri innan den kommer signera något. Det är i princip en Yubikey, men i mjukvara så du inte behöver köpa något.

Implementationen är däremot katastrofalt dålig. Dåligt förklarat, kass portabilitet mellan platformar etc, dåligt genomtänkt och konsumentfientlig konkurrens mellan techjättarna. Se bara ditt inlägg och det om "logga in med mobil". Det är inte ett krav att det skall vara så, men vissa platformar har valt att göra så, andra inte. Visste du till exempel att du kan använda bitwarden (och säkert andra passwordmanagers) för att synka passkeys mellan alla enheter? MEN, även om du gör det så kanske iOS kommer visa en ruta och fråga om att skapa passkeys. Missade du att det var iOS och inte bitwarden? Wooops. Nu har du ett konto där det blir ett H-Vete att logga in på din Androidsurfplatta. Grattis! Och lycka till att räkna ut att det var det du gjorde "fel" för 2 månader sen nu när det inte funkar som du tänkt dig på plattan.

Även bland entusiaster är det missförstånd och förvirring om hur det funkar, och det är fullt förståeligt med tanke på hur dålig kommunikationen varit. Hur skall allmänheten ha en chans att förstå hur det funkar och göra rätt? Jag tycker det är intressant och jag tror på tekniken, men jag använder precis 0 passkeys för att jag inte är säker att jag inte kommer göra något dumt. Utrullningen av passkeys är en sådan enorm förkastad möjlighet...

Tack för utförlig beskrivning! Och det är lite roligt att fler än jag yrar om mobiler i den här tråden

Bara för skojs skull provade jag skapa en passkey hos Google för ett av mina konton där nu. De säger då:

"Med nycklar kan du logga in på Google-kontot på ett säkert sätt med bara ditt fingeravtryck, ansikte, skärmlås eller en säkerhetsnyckel. Nycklar och säkerhetsnycklar kan även användas som ett andra steg när du loggar in med lösenordet. Se till att dina skärmlås är privata och säkerhetsnycklar säkra, så att bara du kan använda dem."

Fattar fortfarande inte hur det skulle fungera på min dator hemma? Där har jag ingen pinkod, ingen fingeravtrycksläsare, ingen kamera, inget lösenord, inget skärmlås - det är bara att trycka på strömknappen och börja "spela data". Nu gjorde jag det från jobbdatorn som har allt det där och nu har jag tydligen en passkey kopplad till den utan att de berättat för mig hur det fungerar - jag tryckte bara på "Skapa nyckel" och så gjordes det åt mig utan vidare instruktioner om hur den används 🤷‍♂️ Bitwarden dök upp och frågade om vilket konto jag ville knyta nyckeln till. Har den skapat ytterligare en rad på mitt Google-konto i Bitwarden? Vad var i så fall allt snack om biometri och fingeravtryck om det bara är en rad i Bitwarden?

Jag försöker inte ens spela dum nu - jag förstår uppriktigt sagt inte vad det är jag har gjort när jag skapade nyckeln. Eller ja, rent tekniskt förstår jag med hjälp av din hjälp. Men jag förstår inte hur det påverkar min autentiseringsresa för det här kontot när jag kommer hem från jobbet. Så nu har jag istället raderat nyckeln igen. Det skapade bara osäkerhet och en känsla av "vad händer om jag inte kan logga in?". Jag gissar att Bitwarden hade klivit in och löst saken, men återkopplingen mot "fingeravtryck, ansikte, skärmlås eller en säkerhetsnyckel" är väldigt otydlig. Har jag skapat en säkerhetsnyckel och lagt den i Bitwarden-valvet? Ser i så fall inte vad det är för skillnad på det och att ha användarnamn och lösenord där Och fattar inte hur jag ska gå tillväga när jag loggar in på YouTube på TV:n i vardagsrummet, för den stödjer ju inte Bitwarden. Landar det då i att jag måste ha tillgång till en enhet med mitt Bitwarden på?

Så länge som det inte är fullmoget och gemensamt standardiserat och fungerar likadant överallt så kommer jag fortsätta ignorera det.

Vanliga hederliga BRA och UNIKA lösenord i lösenordshanterare (vars databas är hårdkrypterad och 100% under min egen kontroll) är så smidigt och välfungerande och fullt tillräckligt säkert att jag inte ser något behov av alternativ.

För övrigt är jag ingen fan av MFA heller, det är bara ett jävla omständigt förbannat bök.