Kun tuli keskustelua noista sloteista ja niiden käytöstä ja riittävyydestä, niin mm. Googlen Passkeys ratkaisu on tehty niin, että se ei käytä omaa slottia, vaan käyttää sitä yhtä yleistä avainta / (Non-discoverable FIDO2 credentials), samaan malliin kuin U2F toimi. Tosin, mikäänhän ei tietenkään estä siitä huolimatta luomasta palvelukohtaista avainta, jos niin haluaa. Onhan tämä hieno vaihtoehtojen suo.
Enkä lainkaan ihmettele jos käyttäjien päät menee moisesta pyörälle, kun mitään yksinkertaisia vastauksia ei ole. Vastaus on, että se riippuu ihan siitä mistä roikkuu ja miten haluat sen tehdä.
Koskee siis sekä käyttäjää, käytettyä avainta / passkeys client implementaatiota (avainhallintasovellusta) ja service provider puolta eli auntikoinnin pyytäjää jne.
Jos tarjoaisin jotain oikeasti kriittistä palvelua Suomessa, niin mä laittaisin tuohon 2FA:n, eli 1) Passkeys (biometrisenä) ja 2) Virallinen henkilökortti tms. Sitten kirjautuminen on niin vahva kuin se käytännössä voi olla. Lisähyöty lienee marginaalinen, mutta joskus sekin on tarpeen. Sekä sitten vielä erillinen tapahtumakohtainen vahvistus, vaikka erillisellä sovelluksella / laitteella. Sit on foliohattua kerrakseen. Ja jos ja kun, ollaan tällä tasolla, niin tietysti laitteiden koventaminen tappiin asti on ihan kriittistä, sekä verkkoyhteyksien äärimmäinen rajaaminen. mm. Näiden autentikointi-keinojen lisäksi, esim. IP rajaukset on varsin mainio keksintö. Jos palveluun voi kirjautua vain esim. parista tunnetusta IP:stä, se rajoittaa kummasti sitä, miten varastettuja tunnuksia voidaan hyödyntää. - Joskin kuten aikaisemmin todettu toikin on täysin turhaa jos kyseessä on APT / RAT tason hyökkääjä. Joskin tuota riskiä voidaan mitigoida jonkin verran sillä, että tuosta koneesta taas ei voi kommunikoida mihinkään muualla kuin VPN gateway:n, ja sen kautta ei voi kommunikoida mihinkään muualle kuin siihen turvalliseen palveluun. - Ihan varteenotettavia pointteja, jos on jotain kriititstä dataa käsittelyssä. Jokainen mahdollisuus monitasoiseen suojaamiseen kannattaa silloin hyödyntää. -> Fyysiset erilliset tietokoneet eri tietoturva-tasoille vaatimusten mukaan.
Ping
@Paapaa