FIDO2, WebAuthn, Passwordless ja Passkeys

[Paapaa]

EIkai passkeys sentään jaa samaa privaattiavainta joka laitteelle, tuohan olisi tietoturvallisesti täysin epäonnistunut ratkaisu

Munkin mielestä se jaetaan. Palvelimella julkinen avain ja laitteiden välillä synkronoidaan se privaattiavain. Mutta olen kyllä täysin eri mieltä että se olisi "täysin epäonnistunut ratkaisu". Se on kaikella tavalla parempi ratkaisu kuin nykyinen malli, joka on se "täysin epäonnistunut ratkaisu", jossa ihmisillä on paskoja ei-uniikkeja salasanoja joita käytetään joka paikassa, tai salasanoja, jotka unohtuvat, eikä käytetä 2FA:ta koska se ei ole pakollinen tai se on epämukavasti toteutettu.

Lisäksi ymmärsin, että Passkeys mahdollistaa single-device-avaimet, joita ei voi synkata vaan toimivat vain yhdeltä laitteelta. Tällä saa sitten lisäturvaa.

Mun ainoa ajatus on: mitä me vielä odotellaan? (Joo, että kehitystyö on valmis)

 

[dataaja95]

Mun mielestä jakaa, ainakin sen perusteella mitä olen dokumentaatioon tutustunut. Jos olen väärässä tämän suhteen, olen sitä mieltä, että se on varsin positiivista.

Juuri siitähän aikaisempia ratkaisuja on haukuttu, että avaimia ei voi kopioida. Niin tuossa sitten korjataan se "vika". Joka samalla tietenkin heikentää turvallisuutta. Eikä tätä sotkua yhtään paranna ne palvelut, joissa joku fiksu on päättänyt, että palveluun ei voi laittaa useampaa kuin yhden avaimen.

Jos tosiaan näin, niin itse näkisin tuon todella pahana puutteena, kun privaattiavain on sama kaikilla laitteilla, et voi peruuttaa esim kadonneen laitteen käyttöoikeuksia, ellet halua lukita itseäsi ulos, tai luoda täysin uusia avaimia ja aloittaa kaiken alusta. VOiko tuo toteutus tosiaan olla näin onneton tietoturvallisesti. Toki aina mennään käytettävyys vs tietoturva, mutta silti. Toki ymmärrän myös sen, että tämä ominaisuus ei ole suunnattu kaltaisilleni foliohatuille, vaan peruskäyttäjille. Keskustelussa mainittu fido2 on oikein mukava lisä jonkun rautapohjaisen avainmanagerin kanssa ssh-avainten hallintaan.

 

[Paapaa]

Jos tosiaan näin, niin itse näkisin tuon todella pahana puutteena, kun privaattiavain on sama kaikilla laitteilla, et voi peruuttaa esim kadonneen laitteen käyttöoikeuksia, ellet halua lukita itseäsi ulos, tai luoda täysin uusia avaimia ja aloittaa kaiken alusta. VOiko tuo toteutus tosiaan olla näin onneton tietoturvallisesti. Toki aina mennään käytettävyys vs tietoturva, mutta silti.

Ensinnäkin sä unohdat, että passkeyn voi jättää laitekohtaiseksi. Silloin sitä ei synkata muille laitteille ja tuo pelko katoaa. Toiseksi, niihin privaattiavaimiin ei pääse käsiksi avaamatta vaultia, jossa ne on. Ja se vaatii 2FA-tunnistautumisen. Ymmärsin myös, että voit luoda uudet public/priva-parit halutessasi. Noin voisi tehdä jos laite katoaa ja jos on pelko. että siellä olisi joku lokaali pääsy priva-avaimeen.

Ja lopuksi, kuinka usein sulla katoaa laitteita vs. kuinka usein käytät niitä credentiaaleja legitiimisti? Aivan. Siksi käytettävyyteen satsaaminen on aivan äärimmäisen tärkeää, jotta salasanoista päästään eroon ja ihmisert oikeasti ottavat tuon käyttöön. Synkkaus laitteiden välillä on siis hyvin tärkeä ominaisuus, jota ilman tuo ei voi yleistyä mitenkään.

En myös ymmärrä noita "tuo toteutus tosiaan olla näin onneton tietoturvallisesti"-kommentteja, kun tuo on tietoturvan suhteen valovuosia edellä nykyistä järjestelmää. Tämän EI ole tarkoitus olla turvallisin mahdollinen järjestlmä kaikissa kuviteltavissa tilanteissa, vaan paljon turvallisempi kuin nykyinen yleisin tapa kirjautua palveluihin. Ja sen tuo täyttää. Tuon takana on FIDO, joka kyllä tietää tarkalleen, millaisia kompromisseja tekee:

Passkeys (Passkey Authentication)

A FIDO credential that is backed up (usually to the user’s platform account; e.g., Google Account or AppleID), allowing users to restore the credential to, and use it from, another device. From a user experience standpoint, this will be very similar to how one interacts with a password manager...

fidoalliance.org

(Ja pidätän oikeudet muutoksiin, on mahdollista että olen ymmärtänyt jotain väärin. Uusi asia itsellenikin.)

 

[dataaja95]

Ensinnäkin sä unohdat, että passkeyn voi jättää laitekohtaiseksi. Silloin sitä ei synkata muille laitteille ja tuo pelko katoaa. Toiseksi, niihin privaattiavaimiin ei pääse käsiksi avaamatta vaultia, jossa ne on. Ja se vaatii 2FA-tunnistautumisen. Ymmärsin myös, että voit luoda uudet public/priva-parit halutessasi. Noin voisi tehdä jos laite katoaa ja jos on pelko. että siellä olisi joku lokaali pääsy priva-avaimeen.

Ja lopuksi, kuinka usein sulla katoaa laitteita vs. kuinka usein käytät niitä credentiaaleja legitiimisti? Aivan. Siksi käytettävyyteen satsaaminen on aivan äärimmäisen tärkeää, jotta salasanoista päästään eroon ja ihmisert oikeasti ottavat tuon käyttöön. Synkkaus laitteiden välillä on siis hyvin tärkeä ominaisuus, jota ilman tuo ei voi yleistyä mitenkään.

En myös ymmärrä noita "tuo toteutus tosiaan olla näin onneton tietoturvallisesti"-kommentteja, kun tuo on tietoturvan suhteen valovuosia edellä nykyistä järjestelmää. Tämän EI ole tarkoitus olla turvallisin mahdollinen järjestlmä kaikissa kuviteltavissa tilanteissa, vaan paljon turvallisempi kuin nykyinen yleisin tapa kirjautua palveluihin. Ja sen tuo täyttää. Tuon takana on FIDO, joka kyllä tietää tarkalleen, millaisia kompromisseja tekee:

Passkeys (Passkey Authentication)

A FIDO credential that is backed up (usually to the user’s platform account; e.g., Google Account or AppleID), allowing users to restore the credential to, and use it from, another device. From a user experience standpoint, this will be very similar to how one interacts with a password manager...

fidoalliance.org

(Ja pidätän oikeudet muutoksiin, on mahdollista että olen ymmärtänyt jotain väärin. Uusi asia itsellenikin.)

Kiitos tästä, toki ymmärrän myös sen, että kyseinen järjestelmä on rakennettu osittain käytettävyys edellä ja jonkinsortin kompromisseja tuo yleistymiseksi on pakko tehdä. Onhan kyseinen järjestelmä valovuosia nykyisiä salasanakäytäntöjä edellä ja toivon myös itse tuon yleistymistä. Yleisimmät salasanat taitavat olla edelleen 1234 ja password, jos tuon avulla päästään tuollaisista eroon, niin sehän on hieno juttu.

 

[Paapaa]

Kiitos tästä, toki ymmärrän myös sen, että kyseinen järjestelmä on rakennettu osittain käytettävyys edellä ja jonkinsortin kompromisseja tuo yleistymiseksi on pakko tehdä. Onhan kyseinen järjestelmä valovuosia nykyisiä salasanakäytäntöjä edellä ja toivon myös itse tuon yleistymistä. Yleisimmät salasanat taitavat olla edelleen 1234 ja password, jos tuon avulla päästään tuollaisista eroon, niin sehän on hieno juttu.

Se olisi musta ihan mullistava juttu netin tietoturvan kannalta. Mutta veikkaan, että menee pitkään että tuo oikeasti yleistyy.

Vielä tuosta synkkauksesta. Synkataanhan kaikki credentiaalit nytkin salasanamanagerin avulla joka paikkaan, eikä tämä ole ongelma sen suhteen, että joku laite katoaa. Ne credentiaalit on vain siellä pilvessä ja saatavilla vain jos siihen manageriin pääsee kirjautumaan. Sama passkeysin kanssa: ne synkataan samalla tavalla eri laitteille, jotta niitä voi käyttää. Mutta se ei tarkoita, että kuka tahansa saa ne käsiinsä joka tuon laitteen saa käsiinsä. Luultavasti laitteen kadotessa käyttäjä voi kirjata ja lukita kaikki vaultit, jolloin sisään ei pääse enää pelkästään PIN:llä tai sormenjäljellä. Mutta tätä pitää testata kun tulee mahdolliseksi.

1Password taitaa olla ensimmäisiä salasanamanagereita, joka saa tuen Passkeyseille. Itse odottelen Bitwardenia, jolla ei taida vielä lähiaikana olla tulossa tuolle tukea, mutta tänä vuonna silti.

 

[Humanoid]

1Password taitaa olla ensimmäisiä salasanamanagereita, joka saa tuen Passkeyseille. Itse odottelen Bitwardenia, jolla ei taida vielä lähiaikana olla tulossa tuolle tukea, mutta tänä vuonna silti.

KeePassXC:stä on löytynyt jo kuukausia kehityshaara joka tukee WebAuthn/Passkeysia. Tosin taitaa kestää siinäkin tovi ennen kuin on julkaisussa asti.

 

[escalibur]

Ilmeisesti Bitwardenilla ei ole kiire asian kanssa, koska passkeysia tukevien palvelujen määrä on yhä melko pieni. Saisivat kyllä muutkin herätä tilanteeseen.

 

[ztec]

Tässä luennossahan Passkeyssit on selitetty tarkasti ja demotaan myös miten toimii:


Ei kai synkronoimattomilla avaimilla ole mitään tekemistä Passkeys:n kanssa? Nehän on silloin ihan tavallisia FIDO2 avaimia. Mutta tosiaan tuossa synkronoinnissa vaaditaan autentikointi, eli ne avaimet ei täysin automaattisesti kopioidu kaikille laitteille. Tuohan on toiminut jo Android 9:stä asti, eli vuosia ja vuosia.

On kyllä sen verran syvä toi tekniikkapino tässä systeeemissä, että voin vaan kuvitella miten paljon ja miten riemukkaita ongelmia tulee olemaan. mm. Tällä hetkellä ihan perus U2F on jopa rikki Firefoxissa Linuxilla.

Google Password Managerissa pitäsisi olla jo Passkeys ominaisuus, mutta en saanut sitä toimimaan just kun testasin.

 

[Paapaa]

Ei kai synkronoimattomilla avaimilla ole mitään tekemistä Passkeys:n kanssa? Nehän on silloin ihan tavallisia FIDO2 avaimia.

Musta tuo ei pidä paikkaansa. Passkey voi olla single -device eli se ei synkkaa. Ja FIDOn mukaan kaikki hardisavaimet jotka tukevat FIDO2n discoverable credentialseja ovat Passkey-yhteensopivia. Eikä niitä voi synkata. Eli vanha Yubikey on jo Passkey-valmis, eikä sitä voi synkata.

Näin päättelin FAQsta:

Passkeys (Passkey Authentication)

A FIDO credential that is backed up (usually to the user’s platform account; e.g., Google Account or AppleID), allowing users to restore the credential to, and use it from, another device. From a user experience standpoint, this will be very similar to how one interacts with a password manager...

fidoalliance.org

Eli, kaikkia synkattavat tai synkkaamattomat discoverable FIDO2-avaimet ovat FIDOn mukaan Passkey-avaimia.

 

[ztec]

Eli, kaikkia synkattavat tai synkkaamattomat discoverable FIDO2-avaimet ovat FIDOn mukaan Passkey-avaimia.

Joo, eli jos sen noin päin haluaa ajatella. Ne toimivat myös Passkey avaimena, koska Passkey on FIDO2 avaimen tekniikkaan perustuva.

Vähän samanalaista kuin Google Authenticator, Microsoft Authenticator ja kaikki muut authenticator softat jotka itseasiassa on TOTP stadanrdiin perustuvia. Siksi just joskus ärsyttääkin kun jossain saitissa sanotaan, että käytä sitä tiettyä autentikointisoftaa, vaikka mikä tahansa muukin toimisi.

 

[ztec]

Sitten tuossa Passkeyssissä jäi vielä yksi asia hämäämään, kun testasin tänään lisää. Näyttäisi siltä että osassa saitteja se vaatii käyttäjätunisteen erikseen. Eikös toi ollut lähinnä U2F:n ominaisuus? Kun taas niissä saiteissa joissa on oikea ja täysiverinen FIDO2 Passwordless käytössä, elikkäs resident-keys. Kuten Microsoft:n palvelut, ainoa missä olen muuten moiseen tähän asti törmännyt. Niin silloin ei tarvita mitään käyttätunnusta, valitaan vaan että login ja kaikki tiedot tulee automaattisesti avaimen perusteella. Itseasiassa käyttäjätunnus on tallennettu sinne avaimelle yhtenä kenttänä, koska kun käyttää erilaisia debug työkaluja, niin se näkyy, eli käyttäjätunnus on salaamattomana tallessa. Sekin tietysti voi herättää pahimmissa foliohatuissa vihaa.

 

[Infy]

Mites tää passkeys-hommeli toimii, jos hommaan uuden TV:n ja siihen pitäs kirjautua palvelun X tunnuksella, ja mulla on puhelimessa passkeys-sovellus?

TV:n pitäs siis pystyä kommunikoimaan puhelimessa olevan sovelluksen kanssa, misse se private key asuu, mitä tarvitaan tunnistautumiseen palveluun X?

 

[Paapaa]

Mites tää passkeys-hommeli toimii, jos hommaan uuden TV:n ja siihen pitäs kirjautua palvelun X tunnuksella, ja mulla on puhelimessa passkeys-sovellus?

TV:n pitäs siis pystyä kommunikoimaan puhelimessa olevan sovelluksen kanssa, misse se private key asuu, mitä tarvitaan tunnistautumiseen palveluun X?

Taitaa näyttää QR-koodia, jonka kuvaat luurilla, jolla olet kirjautunut tilille, jossa kaikki passkeyt ovat.

 

[Infy]

QR-koodi on kummunikaatio vain yhteen suuntaan. Puhelimen pitäs allekirjoittaa TV:ltä tuleva kirjaumishaaste private keyllä ja lähettää se takasin TV:lle. Vai hoitaako puhelin asian suoraan internetin yli palveluun X?

 

[Paapaa]

Mutta se on kummunikaatio vain yhteen suuntaan. Puhelimen pitäs allekirjoittaa TV:ltä tuleva kirjaumishaaste private keyllä ja lähettää se takasin TV:lle.

Se taitaa sen jälkeen ottaa Bluetooth-yhteyden laitteiden välillä ja hoitaa sillä seremonian loppuun. Tuossa taisi olla ajatuksena että näin varmistetaan laitteiden fyysinen läheisyys. Sitä en tiedä, miten homma toimii jos Bluetoothia ei ole käytettävissä.

 

[Infy]

Tässä luennossahan Passkeyssit on selitetty tarkasti ja demotaan myös miten toimii:

Tossa videossa sanotaan, että tietoturvasyistä ja käytön helppouden kannalta, PassKeys avaimia ei voi siirtää alustalta toiselle (iOS <--> Android) ja että käyttö web-selaimesta on ilmeisesti rajattu vain kyseisen alustan toimittajan omaan selaimeen (Safari <--> Chrome).

Videon puhuja on Googlen edustaja niin sinänsä ei yllätys, saadaan käyttäjät sidottua alustaan aika tehokkaasti kun kaikki tunnukset on siellä etkä saa niitä siirrettyä.

Tarvitaan joku open source toteutus, mitä ei ole sidottu alustaan tai tiettyyn selaimeen.

 

[Paapaa]

Videon puhuja on Googlen edustaja niin sinänsä ei yllätys, saadaan käyttäjät sidottua alustaan aika tehokkaasti kun kaikki tunnukset on siellä etkä saa niitä siirrettyä.

Siksi itsekin odottelen rauhassa, että PW-manageri hoitaa homman. Sitten ei ole lukittu mihinkään vendoriin samallat tavalla ja luultavati ne avaimet saa sieltä PW-manageristakin exportattua jos tulee sellainen tarve ikinä.

 

[Infy]

Se taitaa sen jälkeen ottaa Bluetooth-yhteyden laitteiden välillä ja hoitaa sillä seremonian loppuun. Tuossa taisi olla ajatuksena että näin varmistetaan laitteiden fyysinen läheisyys. Sitä en tiedä, miten homma toimii jos Bluetoothia ei ole käytettävissä.

Tuosta tilanteessa em. videossa puhuttiin (5:30) jostain hybridi-protokollasta, johon liittyy bluetooth ja "some magic happening in the cloud in the background"

Itseäni kiinostaa juurikin se tekniikka miten asia tapahtuu pinnan alla.

 

[Infy]

Tuo video vastasi aikaisempaan TV-skenaarioon, QR-koodin skannauksella paritetaan TV:n ja puhelimen bluetooth-yhteys, jolla tuo kirjautumishaasteen vaatima kommunikaatio hoidetaan ja private key pysyy puhelimessa, niin kuin pitääkin. Sitten TV voi peräti luoda uuden laitekohtaisen passkeyn, millä kirjautumiseen paveluun X ei enää tarvita puhelinta.

 

[Humanoid]

Siksi itsekin odottelen rauhassa, että PW-manageri hoitaa homman. Sitten ei ole lukittu mihinkään vendoriin samallat tavalla ja luultavati ne avaimet saa sieltä PW-manageristakin exportattua jos tulee sellainen tarve ikinä.

Käytännössä tuolta ei tarvitse ulos kuin sen käyttäjänimen, URL:n, generoidun user ID:n ja avaimen .pem -tiedostona. Ei siis ole mikään iso juttu toteuttaa. Kyse on vain siitä etteivät nämä isot talot tahdo tehdä tukea tälle.

 

[ztec]

Itseäni kiinostaa juurikin se tekniikka miten asia tapahtuu pinnan alla.

Hyviä kysymyksiä. Mun kokemus on varsinkin open sourcen osalta ja monessa muussakin tapauksessa, että:
1) Älä usko foorumeita
2) Älä mutuile
3) Dokumentointi voi olla väärin tai vanhentunutta
4) Lue sourcet

Passkey Developer Resources

Hello passkeys, goodbye passwords! passkeys.dev is a collection of resources and insights to help you deploy passkeys, including practical user experiences, device ecosystem support, frequently asked questions, and more.

passkeys.dev

Tuolta löytyy implementaatiot useammallakin kielellä.

Saa tänne toki tehdä olennaisimmista havainnoista tiivistelmän.

Tuossa taulukossa näkyy hyvin miten reikäinen tuki vielä on:

Device Support

Detailed information about passkey support across devices and ecosystems

passkeys.dev

 

[dataaja95]

Käytännössä tuolta ei tarvitse ulos kuin sen käyttäjänimen, URL:n, generoidun user ID:n ja avaimen .pem -tiedostona. Ei siis ole mikään iso juttu toteuttaa. Kyse on vain siitä etteivät nämä isot talot tahdo tehdä tukea tälle.

Jep, helppohan tuo on toteuttaa, mutta miksi google tai apple lähtisi tekemään tukea alustalta toiselle siirtymiseen. Tällähän saadaan taas mukavasti käyttäjät lukittua heidän omiin järjestelmiinsä. No eiköhän tuolle tule järkevä opensourcetoteutus.

 

[Humanoid]

Jep, helppohan tuo on toteuttaa, mutta miksi google tai apple lähtisi tekemään tukea alustalta toiselle siirtymiseen. Tällähän saadaan taas mukavasti käyttäjät lukittua heidän omiin järjestelmiinsä. No eiköhän tuolle tule järkevä opensourcetoteutus.

Juuri tuolla kuvaamallani tavalla KeePassXC:n kehityshaara tekee asian

 

[SamCer]

Googlelta tuli tällänen yhteen gmail-tilin mailiin:

Dear User,

We’re writing to let you know that starting May 3, 2023, we’ll integrate passkey support for Google Accounts.
What do you need to know?

Passkey support will be integrated because they’re easier to use, and safer than most other forms of 2-SV. This authentication method will work on any devices that have registered passkeys, which includes all Android phones on which you’re signed in.

With this integration, you'll be able to sign in to your Google Account with just a passkey that uses your fingerprint, face, or screen lock if “Skip password when possible” is turned on for your account. You won’t need to enter a password to sign in to your account, or to select only a single phone to use as your built-in security key any longer.
What do you need to do?

No action is required from you. You can change this anytime by turning off Skip password when possible in your Google Account security page.
We’re here to help

If you need more help or information about this update please visit our HC article.

– The Google Accounts Team

Ilmeisesti otetaan käyttöön jaksoittain kuin muille gmail-tileille ei ollu tullut mitään mainintaa vielä.

[edit] Tottakait heti kun sain viestin kirjoitettua, ilmestyi toi viesti muillekin gmail-tileilleni, eli onkohan ne sitten pistämässä sen käyttöön kaikille samalla kertaa?

 

[=JP=]

Googlelta tuli tällänen yhteen gmail-tilin mailiin:


Ilmeisesti otetaan käyttöön jaksoittain kuin muille gmail-tileille ei ollu tullut mitään mainintaa vielä.

[edit] Tottakait heti kun sain viestin kirjoitettua, ilmestyi toi viesti muillekin gmail-tileilleni, eli onkohan ne sitten pistämässä sen käyttöön kaikille samalla kertaa?

Almost five months after Google added support for passkeys to its Chrome browser, the tech giant has begun rolling out the passwordless solution across Google Accounts on all platforms.

Google Introduces Passwordless Secure Sign-In with Passkeys for Google Accounts

Google is rolling out passkeys across all platforms, making it a passwordless solution for Google Accounts.

thehackernews.com

 

[SamCer]

Harmi ku Firefox tulee todella myöhään mukaan Passkeyn suhteen:

We are actively working on supporting this feature.

Here is our current roadmap (might change):

WebAuthn Level 1 + CTAP2 is riding the trains for Fx 114
WebAuthn Level 2 + 3 are planned to ride the Fx 116 train
Passkeys (though details are still about to figured out) earliest completion is Fx 120

Lähde: Support WebAuthn Passkeys

 

[ztec]

Firefoxissa toimi jo pitkään Level 1 ja Level 2. Mutta paransivat sitä ja sen jälkeen ei ole toiminut FIDO2 avaimet Firefoxin kanssa kuukausiin Linuxilla. Tiedä sitten milloin mahtavat korjata. Ehkä vanha rajapinta otettiin pois käytöstä ja alettiin tekemään parempaa, rikkoen kätevästi systeemt. Aina kun kaivelee TOTP koodeja kiukuttaa, kun voisi logata niin paljon helpomminkin sisään. Varsinkin kun on Level 2 tason biometrinen avain käytettävissä. Palveluihin kirjautuminen on siis tasan yhtä helppoa kun modernin puhelimen lukituksen avaaminen sormenjäljellä.

 

[user9999]

Pari Googlen tiliä niin nyt on passkey molemmissa käytössä.

Google-tilille ei tarvita enää salasanaa – pääsyavaimet käyttöön

Google-tilille voi vastedes kirjautua ilman salasanaa. Turvallisempi pääsyavain korvaa salasanat halukkaille. Käteviä ja turvallisia pääsyavaimia v

mobiili.fi

Spoileri

Mac:

iPhone:

 

[escalibur]

Tässä on vielä linkki alkuperäiseen blogiin:

The beginning of the end of the password

We’ve begun rolling out support for passkeys across Google Accounts on all major platforms as an additional option that people can use to sign in.

blog.google

Käyttöönotto-osoite: Account settings: Your browser is not supported.

 

[SamCer]

Pistin itelleni käyttöön tuolta ja Windows + Edge = toimii. En testannut Chromella, kun toi Edgen paske riittää (FF pääasiallinen selain). Firefoxilla, kuten jo mainittu, sitä tukea ei vielä ole, vaan on odotettavissa aikaisintaan versiossa 120. Linux (ainakin Ubuntu) + Chrome/Edge = merkattu ainakin toimivaksi.

 

[Paapaa]

Jos aktivoi passkeysit Googlessa, niin voiko halutessaan silti kirjautua vanhalla tavalla, vai disabloituuko se?

 

[SamCer]

Jos aktivoi passkeysit Googlessa, niin voiko halutessaan silti kirjautua vanhalla tavalla, vai disabloituuko se?

Juu voi. Itellä on päällä ja Linux + Firefox, jossa Passkeyt ei toimi, niin sisään pääsee myös perinteisillä tavoilla. Sama homma myös Windows + Edge, siellä oli jonkun valinnan alla normi kirjautuminen.

[edit] Kunhan et tee mitään muuta muutoksia tilille, kuin ton Passkey päälle, niin kaikki ok.

 

[Humanoid]

Tässä on vielä linkki alkuperäiseen blogiin:

The beginning of the end of the password

We’ve begun rolling out support for passkeys across Google Accounts on all major platforms as an additional option that people can use to sign in.

blog.google

Käyttöönotto-osoite: Account settings: Your browser is not supported.

Sitten odottamaan, että avaimet voi exportata muuhun käyttöön

 

[user9999]

iCloud avainnippu ilmoittaa, että jos passkey käytössä niin salasanan voi poistaa.

 

[Obi-Lan]

Jos sen passkey voi exporttaa vaan filenä niin ne varmaan varastetaan alta aikayksikön erinäisin hyökkäyksin ja huijauksin. Sikäli ymmärrän, että ne jemmataan erilliseen fyysiseen one-way tietoturhapiiriin.

 

[SamCer]

Jos sen passkey voi exporttaa vaan filenä niin ne varmaan varastetaan alta aikayksikön erinäisin hyökkäyksin ja huijauksin. Sikäli ymmärrän, että ne jemmataan erilliseen fyysiseen one-way tietoturhapiiriin.

Noin mäkin ymmärisin, et ne talletetaan TPM-piiriin. Ja Yubikeyhinkin voi tallettaa max. 25-avainta Yubikey 5:sta lähtien, tosin en pienellä googlauksella löytänyt että miten...

Ahh joo, ne voi myös tallettaa passwordmanageriin, mikäli passwormanager tukee niitä, esim. 1Password tukee jo nyt Passkeytä, mutta esim. Bitwarden ei vielä. Tuosta passwordmanagerien toiminnasta Passkeyn kanssa ei oo mitään hajua miten se toimii käytännössä....

 

[Humanoid]

Noin mäkin ymmärisin, et ne talletetaan TPM-piiriin. Ja Yubikeyhinkin voi tallettaa max. 25-avainta Yubikey 5:sta lähtien, tosin en pienellä googlauksella löytänyt että miten...

Ahh joo, ne voi myös tallettaa passwordmanageriin, mikäli passwormanager tukee niitä, esim. 1Password tukee jo nyt Passkeytä, mutta esim. Bitwarden ei vielä. Tuosta passwordmanagerien toiminnasta Passkeyn kanssa ei oo mitään hajua miten se toimii käytännössä....

Käytännössä ne tarvittavat tiedot tallennetaan sinne kuten salasanat nytkin. Privaatin avaimen voi tallentaa vaikka liitetiedostona. Näin tekee ainakin KeePassXC nykyisessä työn alla olevassa WebAuthn-branchissään. Lisäksi tämä vaatii selainlaajennukseen tunnistuksen WebAuthn/Passkeys-autentikaatiolle. Tai vaihtoehtoisesti salasanamanageri itse toimii softa-autentikaattorina johon selaimen omat toteutukset voivat napata kiinni. Käyttäjälle tuon ei pitäisi näkyä juuri sen erilaisempana toimintana kuin salasanamanagerin käyttö yleensä.

 

[SamCer]

Käytännössä ne tarvittavat tiedot tallennetaan sinne kuten salasanat nytkin. Privaatin avaimen voi tallentaa vaikka liitetiedostona. Näin tekee ainakin KeePassXC nykyisessä työn alla olevassa WebAuthn-branchissään. Lisäksi tämä vaatii selainlaajennukseen tunnistuksen WebAuthn/Passkeys-autentikaatiolle. Tai vaihtoehtoisesti salasanamanageri itse toimii softa-autentikaattorina johon selaimen omat toteutukset voivat napata kiinni. Käyttäjälle tuon ei pitäisi näkyä juuri sen erilaisempana toimintana kuin salasanamanagerin käyttö yleensä.

Ööööhh... Eli kun, OS + Selain + Salasanamanageri (Bitwarden omassa tapauksessa) kompo tukee Passkeytä, niin esim. Bitwarden ottaa kopin ja toimii välissä jotain tyyliin: Käyttäjä <--> Bitwarden <--> Selain <--> Passkey enabloitu sivusto?

[EDIT] Missä kohtaa ja miten sen priva-avaimen voi tallentaa esim. mainitsemasi tekstitiedostona? Eilen kun testasin toimintaa W11 + Edge kompolla, niin et mulla oli Yubikey 5 NFC kiinni koneessa, sain eteeni PIN-koodi kyselyn, josta muutaman virheen jälkeen pääsin eteenpäin kun sitä keleen PIN-koodia en ole tarvinnut missään muutamaan vuoteen. Oikean PIN-koodin jälkeen tuli vain ilmoitus jotain tyyliin että avain ei näytä tutulta, jonka jälkeen jompikumpi Cancel/OK päästi mut eteenpäin naittamaan koneen Bluetoothin kautta luurin kanssa, joka toimi ongelmitta.

Yubikey 5 NFC tukee Passkeytä max. 25 avainta. Mut olikohan itsellä nyt ongelmana se et en ollut naittanut W11:sta kyseisen Yubikeyn kanssa?

 

[Humanoid]

Ööööhh... Eli kun, OS + Selain + Salasanamanageri (Bitwarden omassa tapauksessa) kompo tukee Passkeytä, niin esim. Bitwarden ottaa kopin ja toimii välissä jotain tyyliin: Käyttäjä <--> Bitwarden <--> Selain <--> Passkey enabloitu sivusto?

Bitwarden ei ole vielä(kään) julkaissut toteutustaan, joten tuosta on hankala sanoa sen tarkemmin. Luultavasti se toimii juuri noin kuten kuvailit. Lisäongelmia heidän toteutukseen tuo varmasti se, että käyttäjän on mahdollista käyttää pelkkää selainlaajennusta. Tarkoittaen, että kaikki avainten salaukset ym. täytyy tunkea selainlaajennuksen sisään mahdollisine lisäkirjastoineen. Hieman ekstratyötä. Sen sijaan esim. KeePassXC prosessoi kaiken datan työpöytäsovelluksessaan avoimen Botan-kirjaston avulla.

EDIT: Mitä katselin tuota kehityshaaraa, niin näemmä kaikki tehdään TypeScriptillä, ja selain nappaa samalla tavalla WebAuthn-pyynnöt kuten KeePassXC:kin tekee omassa toteutuksessaan.

 

[SamCer]

Bitwarden ei ole vielä(kään) julkaissut toteutustaan, joten tuosta on hankala sanoa sen tarkemmin. Luultavasti se toimii juuri noin kuten kuvailit. Lisäongelmia heidän toteutukseen tuo varmasti se, että käyttäjän on mahdollista käyttää pelkkää selainlaajennusta. Tarkoittaen, että kaikki avainten salaukset ym. täytyy tunkea selainlaajennuksen sisään mahdollisine lisäkirjastoineen. Hieman ekstratyötä. Sen sijaan esim. KeePassXC prosessoi kaiken datan työpöytäsovelluksessaan avoimen Botan-kirjaston avulla.

EDIT: Mitä katselin tuota kehityshaaraa, niin näemmä kaikki tehdään TypeScriptillä, ja selain nappaa samalla tavalla WebAuthn-pyynnöt kuten KeePassXC:kin tekee omassa toteutuksessaan.

Kiitos selvennyksestä! Jos vielä vaan jaksat niin, mulla olis vielä pari kysymystä Passkeystä lisää .

Onko 1Passwordin toteutus jollain tavalla parempi vs. Bitwarden Firefoxissa, vai onko molemmissa sama ongelma, eli Plug-in?

Mulla on myös KeePassXC Bitwardenin rinnalla. Miten ne avaimet saa vietyä sinne eikä öööhh... Mihin ne nyt normaalisti tallennetakaan? TPM:n? OS:n johonkin tiedostoon suojattuna TPM:llä?

W11 + Edge, kirjautumisen yhteydessä en muista et se olis kyselly mitään avaimen tallennuspaikasta. Tosin voin olla väärässäkin kun hämmennyin siittä et W alkoi kyselemään PIN-koodia Yubikey 5 NFC:hen ja sen jälkeen ilmoitti jotain tyyliin "Tämä avain ei näytä tutulta..." ([EDIT] W11 + Edge kyselee avaimen PIN-koodia, vaikka Yubikey on irti koneesta) jonka jälkeen tuli vaihtoehto käyttää Bluetoothin kautta paritettua luuria, joka sekin piti olla tehtynä jo ennakkoon, jos oikein muistan.

Passkeytä on mainostettu helpoksi ottaa käyttöön ja helpoksi käyttää... Jollekkin Pertti Peruskäyttäjälle tää tuntuu vielä liian kankealta... Vai oonko mä onnistunu kompastumaan ja lentämään naama edellä lattiaan jokaiseen minimaaliseen kuoppaan?

Ja tuo Bluetooth vaatimus ketuttaa... Jos oikein ymmärsin niin, se on vain toimimassa läheisyysanturina (karsee sana suomeksi) ja itse avaimet siirtyy netin kautta? Oman pääkoneen emoon oli "onneksi" integroitu niin pääsin helpolla...

 

[Humanoid]

Kiitos selvennyksestä! Jos vielä vaan jaksat niin, mulla olis vielä pari kysymystä Passkeystä lisää .

Onko 1Passwordin toteutus jollain tavalla parempi vs. Bitwarden Firefoxissa, vai onko molemmissa sama ongelma, eli Plug-in?

Mulla on myös KeePassXC Bitwardenin rinnalla. Miten ne avaimet saa vietyä sinne eikä öööhh... Mihin ne nyt normaalisti tallennetakaan? TPM:n? OS:n johonkin tiedostoon suojattuna TPM:llä?

En tiedä 1Passwordin toteutuksen yksityiskohtia, kun ovat suljettua koodia. Ei KeePassXC vielä tue Passkeysia muuta kuin kehityshaaran yhdessä branchissa. Googlen ja Applen toteutus on siinä mielessä erilainen, että avaimet tallennetaan suoraan selaimen kautta heidän omiin palveluihinsa, eli niitä ei tarvi pyöräyttää minkään erillisen managerin kautta. Nuo eivät siis ole suoraan vertailukelpoisia esim. 1Passwordin kanssa.

 

[Juhaz]

Bluetooth-vaatimus vaikuttaa ihan loogiselta, se estää aika tehokkaasti aiemmin ketjussa spekuloidun väsytyshyökkäyksen mahdollisuuden, jos kelmin pitää olla parinkymmenen metrin säteellä uhrista. Mutta ainakin Googlen Chrome-toteutuksessa sille on näköjään vaihtoehtona myös se että puhelimen selain on kirjautuneena samalle googletilille.

 

[SamCer]

Bluetooth-vaatimus vaikuttaa ihan loogiselta, se estää aika tehokkaasti aiemmin ketjussa spekuloidun väsytyshyökkäyksen mahdollisuuden, jos kelmin pitää olla parinkymmenen metrin säteellä uhrista. Mutta ainakin Googlen Chrome-toteutuksessa sille on näköjään vaihtoehtona myös se että puhelimen selain on kirjautuneena samalle googletilille.

Totta, mut se ei vähennä ketutusta .

Omista raudoista tää nykyinen ja edellinen pöytäkone (joka toimii nykyisin serverinä) omaa integroidun BT:n. BT itsessään aktivoituna kokoajn on jo pirun iso tietoturva aukko, jota ei kiinnosta mikään palomuuri! Pöytäkoneessa ei varmaankaan niin iso ongelma, mut se että luurissa se pitää olla myös päällä on taas todella ongelmallista.

 

[user9999]

Applen iCloud avainnippu höpisee tuosta AirDropista. AirDrop vaatii Wifin ja Bluetoothin.

AirDrop security
Apple devices that support AirDrop use Bluetooth Low Energy (BLE) and Apple-created peer-to-peer Wi-Fi technology to send files and information to nearby devices, including AirDrop-capable iOS devices and iPad devices with iOS 7 or later and Mac computers with OS X 10.11 or later. The Wi-Fi radio is used to communicate directly between devices without using any internet connection or wireless access point (AP). This connection is encrypted with TLS.

 

[Paapaa]

Bitwardenilta tulossa kesällä Passkey-tuki:

This summer, Bitwarden users wanting to rely less on traditional usernames and passwords will be able to save, store, and manage registered passkeys associated with the websites and applications they use right within their vaults. The demo below shows how this will work.

Lisäksi myös Bitwardeniin voi loggautua sisään Passkeyllä (jota ei tietenkään voi tallentaa Bitwardeniin, vaan esim. Yubikeyhyn):

Users will also be able to use passkeys to access and unlock their Bitwarden vault, foregoing master passwords completely. This feature leverages the WebAuthn PRF extension, an emerging standard for passkeys that generates secret keys for encrypting vault data.

Bitwarden to launch passkey management | Bitwarden Blog

Welcome, passkeys – FIDO credentials stored directly on your phone or computer.

bitwarden.com

 

[ztec]

Missä kohtaa ja miten sen priva-avaimen voi tallentaa esim. mainitsemasi tekstitiedostona?

Avainhallinnasta export key, sehän onkoko Passkeyssin idea, että ne voi siirtää ja kopioida laitteesta toiseen. Ylenensä täysin automaattisesti ja huomaamattomasti. mm. KeepassXC tukee tätä, myös käyttäjien kesken. Eli voi olla jaetut ryhmä-avaimet käytössä, joka tietysti ei ole suositeltavaa, mutta eiköhän joku halua senkin tietenkin tehdä.

Samalla tavallahan KeepassXC:ssä myös TOTP avaimet on tallenettu vain ihan puhtaana tekstipohjaisena liitetiedostona, joka on oikein mainio ratkaisu.

Mukavasti noista tietyistä ratkaisuista unohtuu mainita se, että kun ne sulkee sun tilin satunnaisesta syystä X, niin menetät sitten pääsyn myös muihin palveluihin. Ainakin Google on oikein hienosti kunnostautunut tässä, Applesta en ole ihan varma, mutta voisin kuvitella että on ihan samoilla linjoilla.

 

[user9999]

1Password tukee nyt passkey juttua. Now in beta: Save and sign in with passkeys using 1Password in the browser

Suosittu salasanasovellus 1Password aloitti salasanat korvaavien pääsyavainten julkaisun

Salasanapalvelu 1Password tukee nyt pääsyavaimia. Ne ovat salasanoja turvallisempi tapa kirjautua. Salasanapalvelu 1Password kertoi aiemmin kaiken olev

mobiili.fi

Now in beta: Save and sign in with passkeys using 1Password in the browser | 1Password

Passkey support has arrived in 1Password. Learn how you can save and sign in to your online accounts using passkeys with 1Password in the browser.

blog.1password.com

 

[user9999]

Apple ID tulossa tuo passkey (iOS 17, iPadOS 17, and macOS Sonoma).

iOS 17 and macOS Sonoma Add Passkey Support to Your Apple ID

Starting with iOS 17, iPadOS 17, and macOS Sonoma, users with an Apple ID will automatically be assigned a passkey, allowing them to sign into their...

www.macrumors.com

Passkey support for Apple IDs will also be available for third-party apps and websites that support the "Sign in with Apple" feature.

 

[ztec]

FIDO2 lankaan mainittakoon, että vihdoinkin Firefox 114 versiossa toimii FIDO2 sisältäen myös CTAP2 / Passwordless tuen! Aivan mahtavaa. Nyt voi kirjautua palveluihin suoraan sormenjäljellä, erittäin näppärää. Kyllä tätä onkin sitten odoteltu. Pahinta oli se, että jossain välissä tässä oli ainakin puolivuotta myös U2F rikki, kun alkoivat soossaamaan tuon uuden rajapinnan kanssa rikkoen vanhan toiminnallisuuden samalla.

 

[ztec]

Windows päivitys tuo Passkeys ominaisuudet:

New security features in Windows 11 protect users and empower IT teams | Microsoft Security Blog

Windows 11 is designed to simplify security with features from the chip to the cloud that are on by default. Learn more about these new security features.

www.microsoft.com