Passkeys or no passkeys?

krank

Lättkränkt cancelkultur-kommunist
Joined
28 Dec 2002
Messages
37,030
Location
Rissne
OK, så jag har sett passkeys rekommenderas mer och mer på sistone, och jag har gjort ett försök att greppa hur de funkar.

Om jag hajjat rätt så är det alltså helt enkelt ett public-private key pair där t.ex. jag har den privata och google har den publika. Och så är den privata lagd krypterat lokalt och måste låsas upp av typ någon form av bevis-på-att-jag-är-jag, t.ex. fingeravtryck eller ansiktsigenkänning. Rätta mig gärna. Det finns sätt att synka privata nycklar mellan enheter, och man kan göra backups som man sparar nånstans säkert.

Det jag inte riktigt greppar är hur detta är meningsfullt mer säkert än vanlig 2FA. Alltså, just nu har jag ett slumpmässigt genererat 64 tecken långt lösenord till allt utom tre saker: google, microsoft och min lösenordshanterare. Där har jag långa men inte slumpmässiga lösenord, för de behöver jag ju ibland skriva in. Jag använder också 2FA via en authenticator-app som genererar koder och som också backuppar sig till molnkonto. Jag har utskrivna och någorlunda hemligt lagrade backup-2FA-koder till de viktigaste kontona, däribland authenticator-appen.

Det här har jag upplevt ger en duglig balans mellan bekvämlighet, säkerhet och att jag är en paranoid klant som slarvar bort skit och tar sönder apparater eller måste ominstallera dem ibland.

Det jag funderar på är ifall, och hur, passkeys meningsfullt ökar någon av de tre aspekterna ovan utan att minska någon av de andra.

Jag fattar det som att det gör saker lite mer bekväma, möjligen lite ökad risk att bli utlåst, och lite mer säkra.

Men rätta mig som sagt gärna.
 
Last edited:
Den teoretiska styrkan är att just du måste vara där. Om någon stjäl din telefon och vet telefonens lösenord kommer de fortfarande inte åt mer, eftersom du inte är på plats.

Det finns ett gammalt motto om multifaktorautenticering, att man vill ha ”something you know, something you have, something you are”.
 
Jag tror du är mer påläst än vad jag är men ungefär så har jag också uppfattat det. Jag tror vinsten är att själva inloggningsförfarandet blir lite enklare men framförallt att den bakomliggande infrastrukturen är enklare för företaget att införa. När jag loggar in på mitt Google-konto behöver jag bara trycka på OK för att mailadressen (dvs. kontonamnet) och sedan OK igen för att logga in med mitt finger, därefter håller jag fingret på sensorn på lappisen och jag är inloggad. Det där med att öppna en app, leta upp Google och kopiera en kod samt klistra in den i webbläsaren är borta.
 
Back
Top