FIDO2, WebAuthn, Passwordless ja Passkeys

[Paapaa]

Bitwarden sisällyttää jatkossa FIDO2 Webauthn -tuen myös ilmaiseen versioon.

FIDO2 WebAuthn 2FA now in all Bitwarden plans including free! | Bitwarden Blog

Bitwarden envisions a world where nobody gets hacked and now includes FIDO2 WebAuthn two-factor authentication in all plans, including free. Everyone gets a security boost with FIDO2 WebAuthn credentials such as hardware security keys.

bitwarden.com

Passkey-tuki myös tulossa, mutta ei vielä tietoa aikataulusta.

 

[Humanoid]

Bitwarden sisällyttää jatkossa FIDO2 Webauthn -tuen myös ilmaiseen versioon.

FIDO2 WebAuthn 2FA now in all Bitwarden plans including free! | Bitwarden Blog

Bitwarden envisions a world where nobody gets hacked and now includes FIDO2 WebAuthn two-factor authentication in all plans, including free. Everyone gets a security boost with FIDO2 WebAuthn credentials such as hardware security keys.

bitwarden.com

Passkey-tuki myös tulossa, mutta ei vielä tietoa aikataulusta.

Muistaakseni ovat lupailleet Passkey-tukea lokakuussa. Sitä taas en muista onko tuossakaan toteutuksessa avainten tuontia ja vientiä tiedostojen kautta, kuten KeePassXC ja StrongBox ovat tehneet.

 

[ztec]

Google suosittelee nykyjään salasanattomia tunnuksia oletusarvoisesti. Passkeys on nyt oletusarvoinen tekniikka!

Passwordless by default: Make the switch to passkeys

Google is making it even easier to get started with passkeys by offering the ability to set them up for all users — by default.

blog.google

 

[ztec]

En tiedä oliko Firefox 115 vai Googlen muutokset syynä. Mutta nyt toimii myös Firefox & Linux & Google kombo. Yhdessä vaiheessa jopa WebAuthn / 2FA / U2F oli rikki tällä kombolla ja pitkään. Vuoden tai kaksi tms. Ehdin totaalisesti kypsyä siihen. Tänään satuin testaamaan uudestaan. Homma toimi vihdoinkin, eikä heittänyt vaan jotain random erroria. Toivottavasti tämä suunta yleistyy, on aivan ihana tapa kirjautua palveluihin verrattuna moneen muuhun ikävän menetelmään. Kirjautuminen on nopeaa, helppoa, mukavaa. Monen palvelun login on nykyjään niin hanurista, että jopa vähentää palveluiden käyttöä, kun ei milään viitsisi logata sisään. Jos vaaditaan mm. käyttäjätunnus, salasana, 2fa ja sitten joku kirottu extra varmistus vaikka mailissa tai tekstiviestinä, niin ääh.

 

[Humanoid]

En tiedä oliko Firefox 115 vai Googlen muutokset syynä. Mutta nyt toimii myös Firefox & Linux & Google kombo. Yhdessä vaiheessa jopa WebAuthn / 2FA / U2F oli rikki tällä kombolla ja pitkään. Vuoden tai kaksi tms. Ehdin totaalisesti kypsyä siihen. Tänään satuin testaamaan uudestaan. Homma toimi vihdoinkin, eikä heittänyt vaan jotain random erroria. Toivottavasti tämä suunta yleistyy, on aivan ihana tapa kirjautua palveluihin verrattuna moneen muuhun ikävän menetelmään. Kirjautuminen on nopeaa, helppoa, mukavaa. Monen palvelun login on nykyjään niin hanurista, että jopa vähentää palveluiden käyttöä, kun ei milään viitsisi logata sisään. Jos vaaditaan mm. käyttäjätunnus, salasana, 2fa ja sitten joku kirottu extra varmistus vaikka mailissa tai tekstiviestinä, niin ääh.

Oli jo aikaki. Viimeksi valitti ettei selain ole muka yhteensopiva. Sen jäkeen on jäänyt kokeilematta. Vaikutti hieman keinotekoiselta rajoitukselta. Passkeys on toiminut kyllä testikäytössä hyvin.

 

[user9999]

Passkeys tuki.

Amazon

Amazon adds passkey support as new passwordless login option

Amazon has quietly added passkey support as a new passwordless login option for customers, offering better protection from information-stealing malware and phishing attacks.

www.bleepingcomputer.com

Paypal laajentunut kunnolla.

How Do Passkeys Work?

Securing accounts, logins, and personal information is a top priority. Find out what a passkey is, how passkeys work, and how they can help bolster online security.

www.paypal.com

 

[ztec]

Tämä käyttöönottosarja tulee varmaan jatkumaan lujaa. Uskosin, että kaikki palvelut, jotka edes vähän välittää turvallisuudesta, ottaa Passkeyssit jatkossa käyttöön.

Tässä GitHub:

About passkeys - GitHub Docs

Passkeys allow you to sign in safely and easily, without requiring a password and two-factor authentication.

docs.github.com

edit, yhdys sanat

 

[Humanoid]

Tämä käyttöönotto sarja tulee varmaan jatkumaan lujaa. Uskosin, että kaikki palvelut, jotka edes vähän välittää turvallisuudesta, ottaa Passkeyssit jatkossa käyttöön.

Tässä GitHub:

About passkeys - GitHub Docs

Passkeys allow you to sign in safely and easily, without requiring a password and two-factor authentication.

docs.github.com

GitHubin implementaatio on siinä mielessä erikoinen, että se tukee Passkeysiä myös pelkästään 2FA:na. Eli on mahdollista käyttää edelleen käyttäjänimeä ja salasanaa, mutta Passkeys korvaa TOTP:in. Tai sitten voi laittaa koko tunnuksen Passkeysin taakse. Kätevää, etenkin tässä vaiheessa, kun homma on vielä kuitenkin aika uusi, ja ihmiset haluavat totutella tuon käyttöön.

 

[Infy]

Jos salasana jää edelleen kirjautumisvaihtoehdoksi, vaikka Passkey käytössä, niin menee idea koko hommasta.

 

[Humanoid]

Jos salasana jää edelleen kirjautumisvaihtoehdoksi, vaikka Passkey käytössä, niin menee idea koko hommasta.

Tässä vaiheessa tuo on ihan loogista, että tunnus ja salasana säilyy myös käytössä. Porukka vasta totuttelee koko Passkeysiin. Näin vältytään mahdollisilta ongelmita, että koko tili menisi lukkoon. Kaipa tuon voi pakottaa pelkkään Passkeysiin niin halutessaan. Jos ei nyt, niin varmasti myöhemmin.

 

[ztec]

Lisäksi Passkeyssin käyttäminen johtaa siihen, että sitä salasanaa tarvitaan harvemmin. Eihän se salasan itsessään ole ongelma / riski. Kun kirjautumiset tapahtuu passkeyssillä, niin salasanakaan ei vuoda.

Eihän se salasana ole erilaisia recovery key avaimia kummallisempi asia.

 

[Infy]

Lisäksi Passkeyssin käyttäminen johtaa siihen, että sitä salasanaa tarvitaan harvemmin. Eihän se salasan itsessään ole ongelma / riski. Kun kirjautumiset tapahtuu passkeyssillä, niin salasanakaan ei vuoda.

Kyllä, jos salasana on kunnollinen eikä sitä ole käytetty missään muualla.

 

[ztec]

EFF julkaisi aivan mainion Passkeys tutorialin:

What the !#@% is a Passkey?

A new login technique is becoming available in 2023: the passkey. The passkey promises to solve phishing and prevent password reuse. But lots of smart and security-oriented folks are confused about what exactly a passkey is. There’s a good reason for that. A passkey is in some sense one of two...

www.eff.org

Siinä on hyvin kiteytetty tässäkin langassa käyty juupas eipäs keskustelu siitä, mitä Passkeyssit on ja mitä ne ei ole. Ja miten älyttömän sekavasti ja epämääräisesti toi on markkinoitu kansalle väärillä tiedoilla.

 

[Paapaa]

EFF julkaisi aivan mainion Passkeys tutorialin:

Eilen aukesi, nyt herjaa "Access denied".

 

[mikajh]

Eilen aukesi, nyt herjaa "Access denied".

Niin näyttää. Tässä kuitenkin osa 2: Passkeys and Privacy

 

[Paapaa]

Bitwarden saa versiossa 2023.10.0 tuen Passkey-avaimille. Mutta vain selainlaajennos tässä vaiheessa:

Release Notes | Bitwarden Help Center

Bitwarden frequently updates its leading password manager to improve the user experience and fulfill feature requests from customers.

bitwarden.com

 

[escalibur]

Bitwarden saa versiossa 2023.10.0 tuen Passkey-avaimille. Mutta vain selainlaajennos tässä vaiheessa:

Release Notes | Bitwarden Help Center

Bitwarden frequently updates its leading password manager to improve the user experience and fulfill feature requests from customers.

bitwarden.com

Mielestäni aika hyödytön ominaisuus tässä vaiheessa, kun se ei tue mobiililaitteita, eikä koko passkeysin varmistamista. Vaultin exporttaus ei siis sisällä passkeysin tietoja. Hyvä alku mutta vielä on tekemistä.

 

[SamCer]

Menny iteltä ihan täysin ohi, että Passkeyt voi tallentaa myös Yubikeyhyn... Nyt vahingossa huomasin, kun olin menossa Google-tilin asetuksia muokkaamaan, niin se kysyi kirjautumisen yhteydessä jotain Passkeyn käyttöönotosta ja halusi painettavan Yubikeyn painiketta.

 

[Paapaa]

Ihan nätisti sujui Bitwarden 2023.10.0:n kanssa Passkeyn luominen ja käyttö Githubissa.

Sitä yhä mietin, että entä jos haluaisin Bitwardenin Passkeyn lisäksi käyttää kirjautumisessa Yubikeytä? Nyt se ei näytä olevan mahdollista (Githubissa). Eli turvallisuus on jossain määrin heikompi kuin pitkällä satunnaisella salasanalla + Yubikeyllä. Heikompi ainakin siinä mielessä, että fyysistä avainta ei tarvita. Tarvitaan toki pääsy Bitwarden-tiliin.

Onko tämä täysin GitHubin päätettävissä, että salliiko Passkeyn lisäksi turva-avaimen käytön?

 

[Humanoid]

Ihan nätisti sujui Bitwarden 2023.10.0:n kanssa Passkeyn luominen ja käyttö Githubissa.

Sitä yhä mietin, että entä jos haluaisin Bitwardenin Passkeyn lisäksi käyttää kirjautumisessa Yubikeytä? Nyt se ei näytä olevan mahdollista (Githubissa). Eli turvallisuus on jossain määrin heikompi kuin pitkällä satunnaisella salasanalla + Yubikeyllä. Heikompi ainakin siinä mielessä, että fyysistä avainta ei tarvita. Tarvitaan toki pääsy Bitwarden-tiliin.

Onko tämä täysin GitHubin päätettävissä, että salliiko Passkeyn lisäksi turva-avaimen käytön?

Normisti tuo kirjautuminen pitäisi toteuttaa niin, että se salasanamanagerin käyttämä kirjautumiskeino on mahdollista peruuttaa, jolloin fallbackataan siihen selaimen omaan Passkey-kyselyyn. Tätä kautta olisi sitten Yubikeykin käytössä. Ainakin KeePassXC:ssä toteutus on tehty noin, ja se kuulostaa varsin loogiselta.

GitHubissa voi varmaan määritellä usean eri Passkeyn, joten tuskin se rajoittaa erikseen sitä millä se avain on luotu.

 

[Paapaa]

Normisti tuo kirjautuminen pitäisi toteuttaa niin, että se salasanamanagerin käyttämä kirjautumiskeino on mahdollista peruuttaa, jolloin fallbackataan siihen selaimen omaan Passkey-kyselyyn. Tätä kautta olisi sitten Yubikeykin käytössä. Ainakin KeePassXC:ssä toteutus on tehty noin, ja se kuulostaa varsin loogiselta.

GitHubissa voi varmaan määritellä usean eri Passkeyn, joten tuskin se rajoittaa erikseen sitä millä se avain on luotu.

Olin vähän epäselvä. Mä haluaisin siis että kun kirjaudun Githubiin Passkeyllä, kysyisi GH myös Yubikeytä. Nyt musta ehkä virheellisesti tuntuu, että kirjautuminen ei olisi 2FA. Vai onko?

Jos mun salasanamanageri olisi vain salasanan takana niin se salasana riitttäisi pääsemään Githubiin? Tai ehkä ymmärrän tämän väärin.

 

[Humanoid]

Olin vähän epäselvä. Mä haluaisin siis että kun kirjaudun Githubiin Passkeyllä, kysyisi GH myös Yubikeytä. Nyt musta ehkä virheellisesti tuntuu, että kirjautuminen ei olisi 2FA. Vai onko?

Jos mun salasanamanageri olisi vain salasanan takana niin se salasana riitttäisi pääsemään Githubiin? Tai ehkä ymmärrän tämän väärin.

Ai tuolla tavalla. GitHub toimii käsittääkseni Passkeyn kanssa niin, että käytössä on seuraavat combot:

• Tunnus ja salasana + 2FA (TOTP)
• Tunnus ja salasana + 2FA (Passkey)
• Pelkkä Passkey

 

[mikajh]

Pelkkä Passkey

Ja tässä tullaan siihen, miten turvallinen tai turvaton tuo passkey-implementaatio on. Turvallisessa tapauksessa passkeyn käyttö edellyttää jotain 2FA-tyylistä, kuten PIN, biometria. Jos taas turvattomassa implementaatiossa mitään ei kysytä, eikä voi konffata päälle, niin sellaista ei kannata käyttää ainakaan joka paikkaan

 

[Paapaa]

• Tunnus ja salasana + 2FA (TOTP)
• Tunnus ja salasana + 2FA (Passkey)
• Pelkkä Passkey

Ja tuo on musta ehkä vähän outoa, jos Passkeyhyn ei voi yhdistää fyysistä 2FA:ta. Sillä nyt se Passkey ei salasanamanagerissa ole sidottu mihinkään laitteeseen. Pahimmillaan se on yhden salasanan takana.

 

[Humanoid]

Ja tässä tullaan siihen, miten turvallinen tai turvaton tuo passkey-implementaatio on. Turvallisessa tapauksessa passkeyn käyttö edellyttää jotain 2FA-tyylistä, kuten PIN, biometria. Jos taas turvattomassa implementaatiossa mitään ei kysytä, eikä voi konffata päälle, niin sellaista ei kannata käyttää ainakaan joka paikkaan

Tuo taitaa olla ihan Passkeys/WebAuthn-speksissä, että jos autentikointivaiheessa serveri edellyttää jonkinlaista varmistusta käyttäjältä, sellainen on suoritettava. Oli se sitten biometrinen tunniste, PIN-koodi, tai vain manuaalinen varmistus. Jos Passkeysejä testaa vaikka Yubikeyn oman testisaitin kautta, sen autentikointi on juurikin tuollainen "varmentamaton", koska luotetaan fyysiseen avaimeen. Kirjautuminen tapahtuu siis käytännössä Login/Auth-napista

 

[ztec]

Keepassista löytyy nyt versio, jossa on passkeys tuki mukana:

Index of /latest

Ja tuo on musta ehkä vähän outoa, jos Passkeyhyn ei voi yhdistää fyysistä 2FA:ta. Sillä nyt se Passkey ei salasanamanagerissa ole sidottu mihinkään laitteeseen. Pahimmillaan se on yhden salasanan takana.

Ainakin kaikissa mun käyttämissä ratkaisuissa on jo 2FA passkeyssä. Eli joko salasana, pin-koodi tai sormenjälki.

Ja tuo on musta ehkä vähän outoa, jos Passkeyhyn ei voi yhdistää fyysistä 2FA:ta. Sillä nyt se Passkey ei salasanamanagerissa ole sidottu mihinkään laitteeseen. Pahimmillaan se on yhden salasanan takana.

Eihän toi liity Passkeyssiin mitenkään, vaan ihan normi FIDO2 / avain-autentikointi. Jos käyttäjä haluaa säilöä avaimet turvattomasti, niin mikä sille voisi? Onhan tuo ollut aina mahdollista, valitettavasti ja joskus se on myös vaan todella kätevää, monestakin syystä.

 

[ztec]

Menny iteltä ihan täysin ohi, että Passkeyt voi tallentaa myös Yubikeyhyn... Nyt vahingossa huomasin, kun olin menossa Google-tilin asetuksia muokkaamaan, niin se kysyi kirjautumisen yhteydessä jotain Passkeyn käyttöönotosta ja halusi painettavan Yubikeyn painiketta.

Tuota, niin ei kai Yubikey:ssä, kuten muissakaan FIDO2 avaimissa ole mitään erityistä Passkeys tukea. Joten siinä mielessä toi on harhaanjohtavasti sanottu. Enemmänkin kyse on siitä, että Passkeys on FIDO2 pohjainen ratkaisu. Mutta tästähän on jo jauhettu ja jauhettu, miten ihmiset sekoilee näiden asioiden kanssa. Kieltämättä tuo on tehty aika sotkuiseksi ja harhanajohtavaksi moneltakin aspektilta.

 

[Paapaa]

Ainakin kaikissa mun käyttämissä ratkaisuissa on jo 2FA passkeyssä. Eli joko salasana, pin-koodi tai sormenjälki.

Jos salasanalla pääsee käyttämään sun Passkeytä, jolla pääsee sisään, niin miten se on 2FA? Mikä silloin on se toinen faktor jos salasanamanageri itsessään ei käytä kuin salasanaa?

Bitwardenissa siis ei kysytä mitään uutta factoria kun kirjaudutaan Passkey:llä sisään. Riittää että pääsee Bitwardeniin sisälle ja se saattaa olla vain 1FA:n takana.

 

[ztec]

Jos salasanalla pääsee käyttämään sun Passkeytä, jolla pääsee sisään, niin miten se on 2FA? Mikä silloin on se toinen faktor jos salasanamanageri itsessään ei käytä kuin salasanaa?

Se on se salasana-managerin avaintiedosto, jonka avaamiseen tarvitaan salasana = 2FA. Eihän tässä oo mitään uutta, näinhän nää asiat on ollut jo vuosi kymmeniä. Pelkällä salasanalla siis ei pääse mihinkään.

 

[Paapaa]

Se on se salasana-managerin avaintiedosto, jonka avaamiseen tarvitaan salasana = 2FA.

Salasanamanageriin voi päästä pelkällä salasanalla. Ilman mitään muuta. Ja tällä salasanalla saa käyttöön siellä olevan Passkeyt, joiden käyttäminen ei vaadi mitään muuta factoria. Se on musta ongelma. Ja heikennys tietoturvaan, sillä se vaihtoehto on se että GH vaatii salasanan JA turva-avaimen. Nyt se vaatii vain Passkeyn.

 

[ztec]

Salasanamanageriin voi päästä pelkällä salasanalla. Ilman mitään muuta. Ja tällä salasanalla saa käyttöön siellä olevan Passkeyt, joiden käyttäminen ei vaadi mitään muuta factoria. Se on musta ongelma. Ja heikennys tietoturvaan, sillä se vaihtoehto on se että GH vaatii salasanan JA turva-avaimen. Nyt se vaatii vain Passkeyn.

Näinhän se on perinteisesti toiminut, ihan sama kaava toistuu sun SSH avainten ja GitHubin kanssa. Noin käytännössä kaikki ratkaisut jotka käyttää avaimia toimii. Siihen luotetaan, että avaimet on luotettavia, eikä tarvii muuta faktoria. Mäkin sellaista joskus peräänkyselin, mutta se on kuulemma speksien vastaista. mm. FIDO2 Level 2 laitteiden osalta samaa tuumailin jossain vaiheessa. Jos sitten kyseessä on joku palvelu joka tarvitsee poikkeuksellista tietoturvaa, niin ainahan voi vaatia vaikka kahta erillistä varmennusta tms. Kaikkea pitää aina soveltaa tilanteen ja tarpeen mukaan.

 

[Paapaa]

Näinhän se on perinteisesti toiminut, ihan sama kaava toistuu sun SSH avainten ja GitHubin kanssa.

No kun ei toimi. Kun mä käytän SSH:ta, tarvitaan se SSH-avain (joka on siis tiedosto, eli käytännössä merkkijono). Sen lisäksi tarvitaan Yubikey, jotta avainta voi käyttää. Sillä mä käytän ed25519-sk-avainta. Lisäksi SSH-hon saa salasanan. Eli factorreita voi lisätä. Toisin kuin Bitwarden + Passkey + Github -tapauksessa. En voi lisätä salasanaa. En voi lisätä Yubikeytä.

Mutta kun GitHub ei mahdollista että naittaisin siihen Passkeyhyn Yubikeyn - toisin kuin vaikkapa se SSH mahdollistaa. Tai salasana.

Musta toi tuntuu vähintään hassulta. Ja äkkiseltään ajateltuna pitkä satunnainen password + FIDO2 on turvallisempi.

 

[ztec]

Mutta kun GitHub ei mahdollista että naittaisin siihen Passkeyhyn Yubikeyn - toisin kuin vaikkapa se SSH mahdollistaa. Tai salasana.

Hyvä kun sanoit GitHubin, piti testata heti. Just kirjauduin fyysisellä Passkey Level 2 sormenjälkikirjautumisella ja oikein hienosti ja hyvin toimii. Ei mitään ongelmaa. En näe mitään syytä miksei toimisi ihan samalla tavalla Yubikey:n kanssa. Helppoa, kätevää ja turvallista 2FA:ta. Käyttäjäkokemuksena aivan mahtava, kuten olen aikaisemminkin sanonut. Tietty tietoturvamielessä ei ihan paras mahdollinen ratkaisu jos vetää foliohatun päähän.

Aikaisemmin välttelin tiettyjen palveluiden käyttöä, kuten GitHubia koska niihin kirjautuminen oli tehty niin hankalaksi ja hitaaksi.

 

[Paapaa]

Hyvä kun sanoit GitHubin, piti testata heti. Just kirjauduin fyysisellä Passkey Level 2 sormenjälkikirjautumisella ja oikein hienosti ja hyvin toimii. Ei mitään ongelmaa. En näe mitään syytä miksei toimisi ihan samalla tavalla Yubikey:n kanssa. Helppoa, kätevää ja turvallista 2FA:ta.

Mikä on "fyysinen Passkey Level 2 sormenjälkikirjautuminen"? Mutta siis kyllä, Passkeyn saa luotua Yubikeylle käsittääkseni, mutta sitä en nyt halua tai kysynyt, vaan nimenomaan Bitwardenin Passkey-toteutus kiinnosti, joka ei nähdäkseni tässä tapauksessa ole 2FA.

Jos taas tallentaisin Passkeyn Yubikeylle, niin käsittääkseni se vaatii silloin PIN-koodin eli olisi kyllä 2FA. Mutta se on sitten jo ihan eri asia omine ongelmineen. Yubikeylle esim. mahtuu vain muutaman kymmentä FIDO-avainta. Se tila loppuu nopeasti jos Passkey yleistyy. Toinen ongelma on se, etten halua muistella PIN-koodeja. Haluan vain yhden muistettavan asian (managerin master pw) ja 2FA tulisi aina avaimesta.

Olen pettynyt.

 

[ztec]

Mikä on "fyysinen Passkey Level 2 sormenjälkikirjautuminen"?

Level 2 autentikointi - Authenticator Level 2 - FIDO Alliance

Löytyy myös käsittääkseni Yubikey Bio malleista.

Mutta tässä asiayhteydessä just totesin, että tuon turvallisuus on musta huono. Koska todnäk sormenjälkiä löytyy ja ne voidaan aina ottaa ja käyttää jne. Eli jos tarvitaan hyvää turvallisuutta, sormenjälkeä ei koskaan kannata käyttää. Se on vain low security tapauksiin kelpaava optio. - Olen siis sun kanssa samoilla linjoilla siinä, että toivoisin siihen lisäfaktoreita. Avain + sormenjälki on 2FA, mutta mielestäni se ei ole hyvä optio.

Niin siis jos avaimilla kirjaudutaan, niin eihän se palvelu voi siihen vaikuttaa miten hyvin tai huonosti käyttäjä haluaa ne avaimet suojata. Tuohan tuli myös aikaisemmin todettua.

Avaimia on myös kahdenlaisia resident ja non-resident avaimia. Non-resident avaimia voi olla vaikka kuinka paljon, koska ne kaikki käytännössä jakavat sitten vain sen yhden slotin. Eli eivät lopu kesken. Tuo on taas siitä kiinni, että millaisen avaimen haluaa reksiteröidä. Riippuen palvelusta jommat kummat avaimet on käytössä. mm. Googlen kanssa tuntuisi olevan non-residentit käytössä, kuntaas Microsoftilla on käytössä resident key ja GitHub näytti käyttävän resident key slotin kanssa.

Tässä mun avaimessa on 50 resident key:lle paikka, joten ei ne ihan heti lopu kesken. Mutta kyllähän ne loppuu jos joka huuhaa foorumiin rupeaa omat resident keyt luomaan. Residentit ja discoverable:t on kivemmat kirjautumisen kannalta. Mutta vie sitten sen slotin, toki, kun on kerran palvelukohtainen avain.

Toisaalta, tämä on silti mielestäni hitosti parempi vaihtoehto, kuin se, että joka palvelulla pitää olla oma hevonkakka 2FA appi asennettuna puhelimeen, jonka kautta sitten voi vahvistaa loginin. Se se vasta kuvottavaa onkin.

 

[mikajh]

Mutta kun GitHub ei mahdollista että naittaisin siihen Passkeyhyn Yubikeyn - toisin kuin vaikkapa se SSH mahdollistaa. Tai salasana.

Nykyisille Yubikeyille voi tallentaa 25 passkeytä

En keksi mitä lisäarvoa olisi tehdä kopioitavissa oleva passkey esim. Bitwardeniin ja sitten määrätä, että sitä ei voi käyttää ilman Yubikey X:ää vs tallentaa se passkey suoraan yubikey X:ään, josta sitä ei voi kopioida minnekään

 

[Paapaa]

En keksi mitä lisäarvoa olisi tehdä kopioitavissa oleva passkey esim. Bitwardeniin ja sitten määrätä, että sitä ei voi käyttää ilman Yubikey X:ää vs tallentaa se passkey suoraan yubikey X:ään, josta sitä ei voi kopioida minnekään

No se lisäarvo on juuri se, että Yubikeyhyn mahtuu vain ne 25 avainta. 25 ei ole mitään jos tämä yleistyy. Sitten se on siinä. Mä taas en näe mitään lisäarvoa tallentaa sitä Passkeytä Yubikeyhyn jos voisin sen tallentaa manageriin ja vaatia aina Yubikeytä. Jolloin ei ole mitään kokorajoitusta pelveluiden suhteen.

 

[SamCer]

Toimiiko muilla yhdistelmä: Linux + Firefox + Android (passkey) + Google?

Itellä se näyttää tilinasetuksissa, että luuriin olisi jo luotu se Passkey, mutta kirjautuminen ei onnistu sitä kautta, vaikka Bluetooth-yhteys kyllä toimii. Windowssissa se kyllä toimii (muistaakseni kun testasin joku aika sitten).

[edit] Ei toimi edes Windowssin puolella, eikä näytä toimivan Yubikey + Passkey:kään. Väittää että ei tunnista avainta (2kpl, kumpaakaan ei tunnista). Ei oiken vakuuta...

 

[mikajh]

Mä taas en näe mitään lisäarvoa tallentaa sitä Passkeytä Yubikeyhyn jos voisin sen tallentaa manageriin ja vaatia aina Yubikeytä

Siinä on lisäarvona, että se on turvallista. Jos kopioitavissa olevan passkeyn tallentaa salasanamanageriin, niin se on herran hallussa, minne se päätyy. Vaikka odottaisi tuollaisia 2/MFA -lisäfeatureita siihen.

 

[Paapaa]

Siinä on lisäarvona, että se on turvallista. Jos kopioitavissa olevan passkeyn tallentaa salasanamanageriin, niin se on herran hallussa, minne se päätyy. Vaikka odottaisi tuollaisia 2/MFA -lisäfeatureita siihen.

Mutta varmaan silti ymmärrät ne edut. Ei mitään rajoitusta avainten lukumäärälle mutta silti paljon turvallisempi kuin se, että vaaditaan pelkkä Passkey eikä fyysistä factoria. En mä nyt helkkari voi olla ainoa joka näkee tässä puutteen

Ja ei se pw-manageri nyt ole mikään avoin paikka josta tavara katoaa minne sattuu.

 

[ztec]

[edit] Ei toimi edes Windowssin puolella, eikä näytä toimivan Yubikey + Passkey:kään. Väittää että ei tunnista avainta (2kpl, kumpaakaan ei tunnista). Ei oiken vakuuta...

Joo, mulla oli ihan vastaavanlaisia kokemuksia. Tällä hetkellä toimii, mutta on monta kertaa mennyt rikki, vaatinut uudelleen rekisteröitymistä. Välillä väittänyt, että palvelut ei ole tuettuna jne. Eli kun mallia veivataan joka päässä eri suuntiin jatkuvasti, niin käyttäjäkokemus jää varsin surkeaksi kun se voi olla rikki niin monesta eri paikasta ja eri tavalla ja viikonpäästä taas jotain on muutettu.

 

[SamCer]

Joo, mulla oli ihan vastaavanlaisia kokemuksia. Tällä hetkellä toimii, mutta on monta kertaa mennyt rikki, vaatinut uudelleen rekisteröitymistä. Välillä väittänyt, että palvelut ei ole tuettuna jne. Eli kun mallia veivataan joka päässä eri suuntiin jatkuvasti, niin käyttäjäkokemus jää varsin surkeaksi kun se voi olla rikki niin monesta eri paikasta ja eri tavalla ja viikonpäästä taas jotain on muutettu.

Edgellä näyttää toimivan Android luuriin tallennettu Passkey, mutta silläkään ei toiminu noi Yubikeyt Googlessa. Yubikeyt onneksi toimii vielä Linuxin puolella, mutta Android luuri taas ei... Noh, onhan toi vielä suht uusi tuttavuus, että jospa se siittä paranis ja muutenki pääosa ajasta menee Linuxin puolella ja Yubikeysien kanssa, niin jospa tuon vielä sietäis.

 

[ztec]

Mutta tosiaan kaikki ylimääräiset softapohjaiset varmistukset clienttipäässä on enemmän tai vähemmän turhia, kuten tuli tuolla password manageri langassa todettua. Jos ongelma on se, että kone ei ole sun hallinnassa, niin softassa tehtävät varmistukset on aika turhia. Tosin moni muukin vahvistus tulee turhaksi. Istuntopiparit lähtee heti, kaikki tiedot mitä koskaan annat koneelle lähtee myös. Sekä istunto voidaan kaapata lennossa ja sulle voidaan esittää väärää tietoa. -> Jos vaaditaan lisäkriteereitä, niin sitten pitäisi miettiä tuota asiaa kokonaisvaltaisesti miten se tehdän oikein. - Mutta tääkin on ihan itsestäänselvää, eikä tässäkään ole mitään uutta. Jos on epäluotettava alusta, niin sitten on, ja se on vähän hankala juttu. Kaikki luotettavat asiat pitäisi tehdä jollain muulla alustalla.

Samalla mielenkiinnolla odotellaan, tuleeko vielä joskus raportteja, että mmä Yubikey tai Passkeys avaimet olisi luovutettu viranomaisille. No se jää nähtäväksi tulevaisuudessa, asiasta on aika turha spekuloida.

 

[nestori]

Toimiiko muilla yhdistelmä: Linux + Firefox + Android (passkey) + Google?

Itellä se näyttää tilinasetuksissa, että luuriin olisi jo luotu se Passkey, mutta kirjautuminen ei onnistu sitä kautta, vaikka Bluetooth-yhteys kyllä toimii. Windowssissa se kyllä toimii (muistaakseni kun testasin joku aika sitten).

Ei toimi mullakaan Firefoxilla. Chromella toimii.

 

[SamCer]

Ei toimi mullakaan Firefoxilla. Chromella toimii.

Jep. Itelläkin toimi kerran yhdellä tilillä kun FF:n vaihto Chromeen, tosin vähän oudosti. Se tunkee näyttöön QR-koodin, joka pitää skannata Google-apilla, painaa luurin näytöltä "Käytä avainkoodia" ja sen jälkeen vielä "Salli".

Nyt kun oon yrittäny toistaa temppua uudestaan samalla kombolla, niin ilmeisesti Bluetoothin kanssa jotain ongelmia jommassakummassa päässä kun ne ei nyt tuon Passkeysin kanssa löydä toisiaan, vaikka muuten Bluetooth yhdistää normaalisti koneeseen ilman Passkeytä.

[edit] Muutenkin tuo FF:n FIDO2-tuki on vielä vaatimatonta. Esim. Microsoft 365 Single-Sing-On ei toimi sillä. Linux + Chromella/Vivaldilla ei mitään ongelmaa.

 

[ztec]

Kun tuli keskustelua noista sloteista ja niiden käytöstä ja riittävyydestä, niin mm. Googlen Passkeys ratkaisu on tehty niin, että se ei käytä omaa slottia, vaan käyttää sitä yhtä yleistä avainta / (Non-discoverable FIDO2 credentials), samaan malliin kuin U2F toimi. Tosin, mikäänhän ei tietenkään estä siitä huolimatta luomasta palvelukohtaista avainta, jos niin haluaa. Onhan tämä hieno vaihtoehtojen suo.

Enkä lainkaan ihmettele jos käyttäjien päät menee moisesta pyörälle, kun mitään yksinkertaisia vastauksia ei ole. Vastaus on, että se riippuu ihan siitä mistä roikkuu ja miten haluat sen tehdä. Koskee siis sekä käyttäjää, käytettyä avainta / passkeys client implementaatiota (avainhallintasovellusta) ja service provider puolta eli auntikoinnin pyytäjää jne.

Jos tarjoaisin jotain oikeasti kriittistä palvelua Suomessa, niin mä laittaisin tuohon 2FA:n, eli 1) Passkeys (biometrisenä) ja 2) Virallinen henkilökortti tms. Sitten kirjautuminen on niin vahva kuin se käytännössä voi olla. Lisähyöty lienee marginaalinen, mutta joskus sekin on tarpeen. Sekä sitten vielä erillinen tapahtumakohtainen vahvistus, vaikka erillisellä sovelluksella / laitteella. Sit on foliohattua kerrakseen. Ja jos ja kun, ollaan tällä tasolla, niin tietysti laitteiden koventaminen tappiin asti on ihan kriittistä, sekä verkkoyhteyksien äärimmäinen rajaaminen. mm. Näiden autentikointi-keinojen lisäksi, esim. IP rajaukset on varsin mainio keksintö. Jos palveluun voi kirjautua vain esim. parista tunnetusta IP:stä, se rajoittaa kummasti sitä, miten varastettuja tunnuksia voidaan hyödyntää. - Joskin kuten aikaisemmin todettu toikin on täysin turhaa jos kyseessä on APT / RAT tason hyökkääjä. Joskin tuota riskiä voidaan mitigoida jonkin verran sillä, että tuosta koneesta taas ei voi kommunikoida mihinkään muualla kuin VPN gateway:n, ja sen kautta ei voi kommunikoida mihinkään muualle kuin siihen turvalliseen palveluun. - Ihan varteenotettavia pointteja, jos on jotain kriititstä dataa käsittelyssä. Jokainen mahdollisuus monitasoiseen suojaamiseen kannattaa silloin hyödyntää. -> Fyysiset erilliset tietokoneet eri tietoturva-tasoille vaatimusten mukaan.

Ping @Paapaa

 

[ztec]

Pari hakemistoa josta löytyy Passkeyssiä tukevia palveluita:

Passkeys.directory

A community-driven index of websites, apps, and services that offer signing in with passkeys.

passkeys.directory

Websites and Apps with Passkey Support

See which websites and applications already support Passkeys as an authentication method or are currently working on integrations.

www.passkeys.io

 

[Leo_Greta]

[edit] Onkin ollu jo hyvän aikaa ilmeisesti Bitwardenissa Passkeytuki selainlaajennosta myöden. En vain ole olltu huomannut sitä.

 

[Humanoid]

[edit] Onkin ollu jo hyvän aikaa ilmeisesti Bitwardenissa Passkeytuki selainlaajennosta myöden. En vain ole olltu huomannut sitä.

Tarkennus: Se on ainoastaan selainlaajennuksessa, ei Bitwardenin mobiilisoftissa.

 

[ztec]

Tarkennus: Se on ainoastaan selainlaajennuksessa, ei Bitwardenin mobiilisoftissa.

Androidista ja iOSta molemmista löytyy natiivi Passkeys AFAIK.