Vlákno názorů k článku
Google Titan Security Key se prodává v USA za 50 dolarů od LDASCZ - Možná jsem paranoidní, ale já v tom vidím...

Na speciální chladničku na víno prostor ve stávajícím bytě prostě nemáme, sklep už vůbec ne :P
A 5 stupňů v lednici je ideální teplotě rozhodně blíž, než vedra tohoto léta (i když v lednici máme jen růžové, pro které se doporučuje 7 stupňů, červené ne.)

Nebudu.
Léta mám yubikeys.

Ptám se, zda máš pro své tvrzení nějakou oporu.

A co si zjistit, jak to funguje?

A četls to ty? Stručně, „U2F je v pořádku, Yubico jsou zřejmě svině co kradou cizí práci“.

Zranitelnost ve WebUSB snižuje jen jeden bezpečnostní přínos který má U2F navíc a umožňuje tak phishing – který ovšem umožňuje i generátor jednorázových kódů a SMS s kódem. Takže v případě že si dá útočník práci navíc s obcházením U2F, snižuje se bezpečnost jen na úroveň toho generátoru (se zachováním pohodlí U2F) a zůstává vyšší než SMS (která se dá obejít zcela krádeží čísla).

Tak já nebyla ta kdo vytáhl naprosto nesouvisející zranitelnost jako ukázku jak špatně to je. O konspiračních teoriích typu „si fakt myslíš že se zveřejňuje všechno“ se snad bavit nebudeme, to by se nedal používat nejspíš žádný dvoufaktor a tyhle klíče by nakonec stejně dost možná vyšly nejlíp.

Mimochodem, nevlastním ani Titan Security Key, ani Yubikey a zatím používám na většinu věcí generátor jednorázových kódů Authy. Takže bych byla dost divná fangirl. Jen zůstávám realistka a jakékoliv zabezpečení považuju za prolomitelné, s tím že různé varianty přináší různou obtížnost zneužití. A tady mi zatím U2F vychází jako jedna z nejlepších variant.

Do diskuse jsi vstoupil s "zabackdoorovany".

Kazdopadne jako dalsi uroven ve vrstvene obrane je to super. Ano, jde to i lip. Ale cim lepe ("bezpecneji") tim zase horsi UX.

>fangirl google ;)
Používám Firefox a hlavní mail už mám přesunutý dávno na Protonu na vlastní doméně. Dál?

A ano, samozřejmě že se do toho s nějakou snahou dá dostat. Pokud věříš na magickou neprolomitelnou bezpečnost, asi je opravdu jakákoliv diskuse o bezpečnosti zbytečná. Protože bezpečnost je vždycky o nalezení co nejodolnějšího řešení proti pravděpodobnému útočníkovi.

U bezpečnosti „jedno heslo na všechno“ je potenciálním útočníkem automat s databází leaků, u bezpečnosti typu „generátor hesel s klíčenkou“ (na každém místě jiné silné heslo) už to je poněkud obtížnější, u SMS dvoufaktoru se útočník musí postarat o zachycení SMS s klíčem (pokud vím, zrovna u SMS to bohužel jde), nebo nejspíš o něco snáz krádež čísla social engineeringem u operátora, U2F už se obchází fakt špatně.

A teď mi prosím řekni, které z existujících 2FA řešení je odolné proti potenciálnímu třípísmenkovému backdooru. Obávám se že dokud si nevyrobíš vlastní klíčenku založenou na RiscV, nenajdeš nic úplně odolného. A nakonec stačí aby k tobě zašel někdo s gumovou hadicí a jakýkoliv kouzelný dvoufaktor je k ničemu.

Neznám konkrétní problémy které by přímo vedly ke ztrátě všech dat. Pořád tam vidím pouze zvýšení bezpečnosti, silnější než jiné používané formy 2FA s potenciálníma mouchama. Jenže to bych pak nemohla používat žádný dvoufaktor a vlastně žádné online služby, protože bezchybné řešení neexistuje.

A nebo takhle, milý anone. Doporuč mi naprosto bezpečný dvoufaktor, který můžu bez problémů používat a který je neprolomitelný. Třeba si nakonec nekoupím USB token, ale něco úplně jiného. :)