Näyttäisi passkeysiä vaivaavan sama hypeähky kuin lähes kaikkea muutakin uutta tekologiaa. FidoAlliancen
passkeys- sivustolla on käytännössä pelkkää hypetystä siitä kuinka elämä muuttuu helpoksi ja kaikilla on kivaa kun otat passkey:n käyttöön. On hyvin hankala löytää lyhyttä yksinkertaistettua kuvausta siitä
miten passkeys toimii. Toki voi kahlata huiman määrän kehittäjädokumentaatiota läpi, mutta jos ei itse ole toteuttamassa passkeysiä käyttävää verkkopalvelua, niin tuossa on kohtuuttoman paljon vaivaa.
Muistan joskus vuosia sitten, kun ensimmäisen kerran kiinnostuin Dockerista, niin silloinen Docker sivusto yhtälailla keskittyi kertomaan kuinka elämä on helpompaa Dockerin kanssa, mutta mistään selvinnyt, että
mikä se Docker on. (chroot ympäristö steroideila)
Lieneekö tämä nyt oikea (ykisnkertaistettu) käsitys passkeysistä:
* webpalvelu kertoo käyttäjälle tukevansa passkeysiä
* käyttäjän laite generoi autentikointia varten avainparin
* julkinen avain tallennetaan webpalveluun
* salainen avain tallennetaan laitteelle biometrisen tai muun vahvan suojauksen taakse
* kun käyttäjä yrittää kirjautua palveluun, lähettää käyttäjä kirjautumispyynnön
* palvelu vastaa kirjautumishaaseteella
* käyttäjä lähettää salaisella avaimella allekirjoitettun vastauksen
* palvelu varmistaa annetun vastauksen käyttäjän julkisella avaimella
Kuten tässä jo aieminkin on keskusteltu, niin akilleen kantapääksi muodostuu tuo laitekohtainen avainpari. Turvallisuuden kannalta tuon salaisen avaimen synkronointi jonnekin on huono asia, mutta vastaavasti taas jokaiseen palveluun pitäisi rekisteröidä vähintään kaksi laitetta, jotta ei lukitse itseään pihalle laitteen hajotessa tai kadotessa.
Onko tällä hetkellä olemassa ratkaisua, jossa nuo salaiset avaimet saisi tallennettua ulkoiseen (joku fido dongle?) laitteeseen sen puhelimen tai tietokoneen sijaan ? Käyttötapauksena esim. joltakin vieraalta (työläppäri, kaverin kone, kirjasto, ...) koneelta kirjautuminen.
bitwarden.com
mobiili.fi
