Názory k článku
Passkey použito miliardkrát

Je tu někdo, kdo to od Google používá i na PC. Mě to nikdy nefungovalo. Použití bluetooth mi přijde silně limitující a naprosto nepraktické např. na pracovním PC nebo OS, který nemá podporu. Proto taky používám Bitwarden, jenže ten zase nefunguje na Androidu. Nebo co se dá na Passkey použít a funguje? Takže je to pěkný, ale implementace kulhá.

Bitwarden na Androidu funguje.

Mě to prostě nejde rozjet ale asi to buď starší Androidem. Vždy mi to nabízí Google Password Manager. Viz https://bitwarden.com/help/auto-fill-android/#setup-bitwarden-for-use-with-passkeys

Using passkeys with Bitwarden on Android is currently in beta. In order to activate Bitwarden as your preferred passkey provider it may be necessary to ...

Opravdu vám Passkey fungují s Bitwarden na Androidu?

Pardon, myslel jsem, že myslíte Bitwarden obecně. S použitím Passkey na Androidu jsem na tom asi stejně, jako vy – v nastavení systému Hesla a účty vůbec nemám volbu Passkey.

No pokud nejste prihlasen do beta projektu , tak ji tam fakt nuvidite.

Viz: https://bitwarden.com/blog/bitwarden-passkeys-mobile/

Používám to u všech služeb, kde to implementovali. Jako klíč používám GoTrust IdemKey, který rozdával CZ.NIC v rámci MojeID kampaně a pak ještě YubiKey 5C. U toho IdemKey je blbé, že tam těch PassKeys zase tolik nevleze.

Já pořád nedokážu pochopit, proč Google vyžaduje pro přihlašování bez hesla rezidentní klíč na autentikátoru, když se stejně vždycky nejdřív ptá na uživatelské jméno. Pokud se ptá na uživatelské jméno, může po jeho zadání vytáhnout ze své databáze uloženou výzvu a poslat ji do autentikátoru, podobně jako to fungovalo
dříve už od dob U2F či později Fido2. Rezidentní klíč by měl být potřeba jen pro přihlášení bez zadávání uživatelského jména.

Čistě teoreticky - nemohl by být problém při použití stejného klíče u více účtů, pokud to mají špatně implementované?

Ne, protože ta výzva je jen náhodné číslo, na základě kterého autentikátor odvodí svůj privátní klíč pro danou službu. To je jedna z pěkných vlastností U2F/Fido2, že jeden autentikátor může klidně sdílet několik lidí a provozovatel služby to ani nezjistí. Tahle výhoda s rezidentními klíči padá.

Coz ale muze byt i odpoved na otazku, proc to tak delaji. Ono to je vyhoda i nevyhoda zaroven, autentikator by mel identifikovat konkretni osobu a ne pomahat udrzovat stare koncepty ala "jedno sdilene heslo" - nove tedy jeden sdileny token, co putuje mezi X lidmi podle potreby. Me teda prijde rozumnejsi hledat cesty, jak token opravdu svazat s konkretnim clovekem.