Vlákno názorů k článku
Passkey použito miliardkrát od Honza M - Používám to u všech služeb, kde to implementovali....

Používám to u všech služeb, kde to implementovali. Jako klíč používám GoTrust IdemKey, který rozdával CZ.NIC v rámci MojeID kampaně a pak ještě YubiKey 5C. U toho IdemKey je blbé, že tam těch PassKeys zase tolik nevleze.

Já pořád nedokážu pochopit, proč Google vyžaduje pro přihlašování bez hesla rezidentní klíč na autentikátoru, když se stejně vždycky nejdřív ptá na uživatelské jméno. Pokud se ptá na uživatelské jméno, může po jeho zadání vytáhnout ze své databáze uloženou výzvu a poslat ji do autentikátoru, podobně jako to fungovalo
dříve už od dob U2F či později Fido2. Rezidentní klíč by měl být potřeba jen pro přihlášení bez zadávání uživatelského jména.

Čistě teoreticky - nemohl by být problém při použití stejného klíče u více účtů, pokud to mají špatně implementované?

Ne, protože ta výzva je jen náhodné číslo, na základě kterého autentikátor odvodí svůj privátní klíč pro danou službu. To je jedna z pěkných vlastností U2F/Fido2, že jeden autentikátor může klidně sdílet několik lidí a provozovatel služby to ani nezjistí. Tahle výhoda s rezidentními klíči padá.

Coz ale muze byt i odpoved na otazku, proc to tak delaji. Ono to je vyhoda i nevyhoda zaroven, autentikator by mel identifikovat konkretni osobu a ne pomahat udrzovat stare koncepty ala "jedno sdilene heslo" - nove tedy jeden sdileny token, co putuje mezi X lidmi podle potreby. Me teda prijde rozumnejsi hledat cesty, jak token opravdu svazat s konkretnim clovekem.