Password Manager

[Neo-ST]

Može li brzinsko laičko objašnjenje šta je taj passkey ?

[blackshtef]

Ja sam na nekoj akciji bio piknuo 4 Yubikeya (2x USB-A i 2xUSB-C, svi sa NFC-om) i nadobudno složio USB-A (stoji piknut u komp) i USB-C koji mi je na privjesku za ključeve. Drugi par je u ladici podešen i kao eto, backup nekakav ako ovi riknu.



However, praksa je pokazala da kad se idem logirati u Google npr., i kad me traži da dodirnem key (koji mi je onako, ispod stola jer je tamo PC), radije odaberem opciju da mi pošalje potvrdu na mobitel i tamo se autoriziram.

Isto tako, na Androidu (14) mi recimo ne radi generiranje passkeya u WhatsAppu sa BitWardenom - nisam istraživao detaljnije što i zašto, ali neće.


Za sad - moj dojam je baš ovo navedeno u topicu - možda je na nekoj razini passkey dosta sigurnija stvar, ali dobra stara kombinacija sa password managerom, dobrim passwordima + TOTP radi 100% i nije *toliko* komplicirana da bi jedan fizički (ili mobilni) device toliko olakšao to.

Plus naravno, dobra "higijena" i ponašnje na internetu - i ne bi smjelo biti problema

[blackshtef]

Citiraj:

Autor Neo-ST

Može li brzinsko laičko objašnjenje šta je taj passkey ?

Ukratko, umjesto da se logiraš sa user+pass+TOTP kombinacijom, siteovi/appovi (npr., Google) će ti ponuditi da posložiš login sa passkeyem.
Tu sad imaš ili mobile varijantu - dakle, "nešto" se spremi na tvoj mobitel u security enklavu (specijalan čip eto dediciran za to) i onda kod sljedećeg logina u Google samo kažeš username, a sadržaj te enklave otključaš biometrijom (faceID, otisak prsta).
Tu se izvrti neka matematika i puf - ulogiran si i Google je siguran da si to ti.


Imaš i fizičke keyeve (yubico) koji se na isti način mogu aktivirati i služiti tome.


Ako sam nešto krivo rekao - nek me ispravi netko

[Neo-ST]

I šta ako se sjebe nešto sa tim passkeyem, onda trebaju recovery keys?

[xlr]

Ako si vezao passkey za mob. a mob krepa, ostajes bez tog passkeya, ali ti ostaju backup opcije za login (ovisno o servisu): backup kodovi, backup hardverski key na sigurnom mjestu kojeg si prethodno slozio, vjerojatno ako imas slozen 2FA mozes i njega nastaviti koristiti.

Koliko sam shvatio, passkey nije forsiran kao jedini nacin logina, barem ne na servisima koji su meni od interesa.

[medo]

Kupio sam novi iPhone prije pola godine. Prilikom transfera podataka na novi telefon kod prijave novog telefona na Apple ID tražio me da prislonim svoj Yubikey na NFC prije nego prijavi novi uređaj i da utipkam PIN.

Drugim riječima bez hw ključa bad actor ne može ništa. Isto tako za FB, Google, LinkedIn, KeePass…

Uvijek postoji mogućnost da izgubiš sve ključeve i zaključaš se zauvijek. Zato imaš najmanje dva ključa. iPhone baš zahtjeva da imaš dva ključa.

Osim toga ključ koji ostaviš npr. starcima ili nekome također može koristiti taj netko za sebe. Bez tvog passworda ne može ništa.

[Mr.Ex.President]

Meni se do sada za bitne stvari najbolja pokazala MFA, negdje znam lozinke pa samo generiram kod, a one koje ne znam (more poslovnih kobasica) uglavnom imam u nekom Pass Manageru, iako mi to zna napravit problem pošto je baza lokalna, a tu i tamo se nađem na drugom računalu i onda sam slijep i gluh... A nekako me strah držat bazu nekom cloudu ili nečem sličnom...

Ne znam samo ima li nekakva sinkronizacija baze BitWardena između tipa više računala ili mobitela pa da mi lozinke uvijek budu tamo gdje sam ja

[xlr]

Vecina (ukljucujuci i Bitwarden) funkcionira kao cloud za passworde, a ti dodajes klijent appove gdje god zelis (browseri, uredjaji...). Caka je kod Bitwardena da ga mozes hostati i na svom hardveru tako da nemas veze s cloudom, ali sam odgovaras za sebe, nemas vise nikakve veze s Bitwardenom. Znaci trebas fully qualified domenu + certifikat (bez toga uopce ne radi), pa neki hardver, sve to jos jednom zastititi od zlih ociju i backupirati.

[medo]

KeePass drži sve u jednom fileu kojeg može otvoriti više klijenata odjednom. Taj file može biti bilo gdje.

Postoje browser pluginovi za auto fill. Postoji SSH Pageant plugin za public key login… postoji hrpetina pluginova.