Može li brzinsko laičko objašnjenje šta je taj passkey ?

Ja sam na nekoj akciji bio piknuo 4 Yubikeya (2x USB-A i 2xUSB-C, svi sa NFC-om) i nadobudno složio USB-A (stoji piknut u komp) i USB-C koji mi je na privjesku za ključeve. Drugi par je u ladici podešen i kao eto, backup nekakav ako ovi riknu.



However, praksa je pokazala da kad se idem logirati u Google npr., i kad me traži da dodirnem key (koji mi je onako, ispod stola jer je tamo PC), radije odaberem opciju da mi pošalje potvrdu na mobitel i tamo se autoriziram.

Isto tako, na Androidu (14) mi recimo ne radi generiranje passkeya u WhatsAppu sa BitWardenom - nisam istraživao detaljnije što i zašto, ali neće.


Za sad - moj dojam je baš ovo navedeno u topicu - možda je na nekoj razini passkey dosta sigurnija stvar, ali dobra stara kombinacija sa password managerom, dobrim passwordima + TOTP radi 100% i nije *toliko* komplicirana da bi jedan fizički (ili mobilni) device toliko olakšao to.

Plus naravno, dobra "higijena" i ponašnje na internetu - i ne bi smjelo biti problema :)

Ukratko, umjesto da se logiraš sa user+pass+TOTP kombinacijom, siteovi/appovi (npr., Google) će ti ponuditi da posložiš login sa passkeyem.
Tu sad imaš ili mobile varijantu - dakle, "nešto" se spremi na tvoj mobitel u security enklavu (specijalan čip eto dediciran za to) i onda kod sljedećeg logina u Google samo kažeš username, a sadržaj te enklave otključaš biometrijom (faceID, otisak prsta).
Tu se izvrti neka matematika i puf - ulogiran si i Google je siguran da si to ti.


Imaš i fizičke keyeve (yubico) koji se na isti način mogu aktivirati i služiti tome.


Ako sam nešto krivo rekao - nek me ispravi netko :D

I šta ako se sjebe nešto sa tim passkeyem, onda trebaju recovery keys?

Ako si vezao passkey za mob. a mob krepa, ostajes bez tog passkeya, ali ti ostaju backup opcije za login (ovisno o servisu): backup kodovi, backup hardverski key na sigurnom mjestu kojeg si prethodno slozio, vjerojatno ako imas slozen 2FA mozes i njega nastaviti koristiti.

Koliko sam shvatio, passkey nije forsiran kao jedini nacin logina, barem ne na servisima koji su meni od interesa.

Kupio sam novi iPhone prije pola godine. Prilikom transfera podataka na novi telefon kod prijave novog telefona na Apple ID tražio me da prislonim svoj Yubikey na NFC prije nego prijavi novi uređaj i da utipkam PIN.

Drugim riječima bez hw ključa bad actor ne može ništa. Isto tako za FB, Google, LinkedIn, KeePass…

Uvijek postoji mogućnost da izgubiš sve ključeve i zaključaš se zauvijek. Zato imaš najmanje dva ključa. iPhone baš zahtjeva da imaš dva ključa.

Osim toga ključ koji ostaviš npr. starcima ili nekome također može koristiti taj netko za sebe. Bez tvog passworda ne može ništa.

Meni se do sada za bitne stvari najbolja pokazala MFA, negdje znam lozinke pa samo generiram kod, a one koje ne znam (more poslovnih kobasica) uglavnom imam u nekom Pass Manageru, iako mi to zna napravit problem pošto je baza lokalna, a tu i tamo se nađem na drugom računalu i onda sam slijep i gluh... A nekako me strah držat bazu nekom cloudu ili nečem sličnom...

Ne znam samo ima li nekakva sinkronizacija baze BitWardena između tipa više računala ili mobitela pa da mi lozinke uvijek budu tamo gdje sam ja:D

Vecina (ukljucujuci i Bitwarden) funkcionira kao cloud za passworde, a ti dodajes klijent appove gdje god zelis (browseri, uredjaji...). Caka je kod Bitwardena da ga mozes hostati i na svom hardveru tako da nemas veze s cloudom, ali sam odgovaras za sebe, nemas vise nikakve veze s Bitwardenom. Znaci trebas fully qualified domenu + certifikat (bez toga uopce ne radi), pa neki hardver, sve to jos jednom zastititi od zlih ociju i backupirati.

KeePass drži sve u jednom fileu kojeg može otvoriti više klijenata odjednom. Taj file može biti bilo gdje.

Postoje browser pluginovi za auto fill. Postoji SSH Pageant plugin za public key login… postoji hrpetina pluginova.

tako koristim keepassxc. bazu sinkam skriptom na vise cloudova just in case. uz ovo sto je Medo nabrojao, radi i 2FA

To znam i to mi ne igra kao opcija jer je prekompleksna :)

To je ok za korištenje kao read-only baze, ali ne nudi nikakav update, odnosno nikakva promjena na jednom uređaju se ne vidi na drugom. Doduše može se u pozadini složit nekakava copy kripta...

Syncthing za sinkronizaciju KeePass baze na više uređaja i voljno.:)

Na kraju opet zavrsis sa par ekstra stvari za odrzavanje da bi imao "cloud" feeling, hmm...


Btw stigli keyevi, slazem pomalo sve od nule i seksam se s passkeyevima. Odustao sam iz prakticnih razloga od selfhostanja Bitwardena. Paralelno usporedio 1password i BW i na kraju ipak ostajem vjeran BW-u.

https://i.imgur.com/a2DaI8J.jpeg

Long story short, ovaj key ima PIN kojeg neki sajtovi traze, a neki ne. Evo primjera kako izgleda login proces na Google:
Upisi usera, upisi pass, udaberi logiranje hardverskim keyem, ubaci kljuc u usb, upisi pin kljuca, takni kljuc, logiran si.

Slicno je i na Androidu, dok dodjes do opcije NFC kljuca treba malo kliktati. Malo mixed feelings... Nije bas super prakticno to raditi svaki dan par puta dnevno.

Na Androidu najbolje radi softverski passkey generiran od strane moba. Samo fingerprint i vozi dalje.

Ukratko, hw key ce biti za emergency pristup core servisima na novim/nepoznatim uredjajima. Kroz Bitwarden cu podesiti sw passkeyeve ako su prakticno implementirani na tom sajtu. U suprotnom klasika, pwd+TOTP i cao.

IMHO nema tu nekaj puno održavanja, posebice kad se jednom podesi Syncthing, makar sve ovo smo već u nekoliko navrata spomenuli, pa kak kome paše. Bitwarden i KeePass se unatrag nekoliko stranica, kaj s moje, kaj s tvoje strane redovito izmijenjuju kao preporuke, a bome kak god se okrene, svako od tih rješenja je bolje od LastPass, 1Password i sl. pizdarija koje su na ovaj ili onaj način već bile hakirane.

Sejvaš file na jednom kompu a ostali odmah dobiju obavijest da se baza promijenila čim KeePass prozor dobije fokus.

Ako je drugi komp napravio neku promjenu ponudit će ti da merge-aš svoje s onim što je dodano.

Koristimo to tako već godinama bez ikakvih skripti, syncova i nismo izgubili niti jedan pass.

Kad su to implementirali? KeePass, KeePassDX i KeePassXC to nisu imali dok sam ih koristio do prije dvije godine. Događalo mi se već da skoro u istom trenutku napravim promjene na dva devicea i onda se nešto prepiše jer sync software ne zna što raditi u tom slučaju pa stariju verziju prepiše novijom, a zapravo su obje nove.

Ma znam, ali taj kućni PC koji je nekad bio HTPC only je već narastao sa rolama do te mjere da ih gledam gasit, a ne još dodavat:D Na kraju ću za posao upogonit BitWarden Cloud sa MFA i dobit tu "dostupnost" koja mi je poslovno interesatna i zdravo. Malo je nesigurnije nego lokalno, tj. čak ne smatram da je nesigurnije toliko koliko su mi paranoje radi drugih password managera koji se nisu proslavili, ali pitanje je koliko je lokalno sigurno kad to naštancam na par mjesta:) A i pitanje je koliko bi moj kućni PC iza T-com shit routera sa publishanim par portova prema internetu siguran:D

Nisam ovo znao jer ne koristim KeePass, ali hvala, dobar info.:chears:
Znam da toga nije bilo davno kad sam gledao ili je možda bilo, ali mi je prošlo ispod radara...

Ne vidim da se spominjao, već godinu dana koristim NordPass...

evo što za njega kaže AI :)
NordPass is known for its strong security measures and has never been hacked1
. It uses xChaCha20 encryption and operates on a zero-knowledge architecture, meaning only you can access your data
. Additionally, it has features like password health reports, secure password sharing, and email masking to enhance your security