Jeg formoder at kontoen låses efter x forsøg, ligesom med kreditkort pins.
--
lorem ipsum et dolores

#1 Det ville den gøre uanset om du benytter kodeord eller passkeys, så det argument kan ikke rigtig bruges. Men meningen med passkeys er at det er meget mere sikkert end kodeord. Jeg kan bare ikke lige se at passkeys er mere sikkert end kodeord, i det eksempel jeg kommer med.
--

#2: Jeg svarede i forhold til din sidste sætning: "Men får jeg stjålet mit desktop computer er det ret nemt at gætte min PIN kode 1234 end et 15 tegn langt kodeord." Hvis du kun kan gætte nogle få gange, så er det svært at bryde en kode med 9999 kombinationer. Jeg formoder at passkeyen dækker over en langt stærkere krypteringsnøgle, som så bruges til den faktiske kommunikation. Denne nøgle ligger på dit device, fx din telefon, som igennem en bestemt sikkerhedsarkitektur sikre at det er meget svært at komme ind til denne nøgle. Her kan telefonens biometriske værktøjer fx bruges til at låse op for denne nøgle i tilgift med en pinkode.
--
lorem ipsum et dolores
--

Sidst redigeret 16-10-2023 16:10

#3 Jeg er helt med på at Passkeys er langt mere sikkert end kodeord, da Passkeys er delt i Public og Privat keys, og benytter sikkert en bedre kryptering. Men når mit Passkey er en PIN kode på min computer, kan jeg ikke se det er mere sikkert. Men det er rigtigt at man kan bruge sin telefon som Passkey, og så via telefonen, kan man få adgang til sin desktop computer. Men den del kan jeg slet ikke få til at virke. Når jeg logger ind på min desktop, får jeg ikke mulighed for at benytte min telefon. Men kan se at det er et problem andre også er løbet ind i.
--

Passkeys er desværre blevet det nye hype og når noget ryger forbi marketing hos Google og Apple så bliver det hele lidt noget rod at finde udad. Når det er sagt så er public key crypto meget mere sikkert end random passwords og især hvis man bruger det samme password, (men det gør ingen jo) :P Grunden til passkeys er bedre er fordi det ingen steder gemmes et password og fordi der ikke sendes noget password, her validere du fra din lokale enhed via en pin. Derfor udgår fishing delen. Men har servicen (Google) et fallback via password/sikkerheds spørgsmål eller en sekundær mail så er konto'en ikke mere sikker (og det glemmer Google at fortælle) Derfor er den bedste løsning efter min mening at benytte nøgler fra Yubico som har en public key som er hardware bound, det kræver at du fysisk er ved en af dine nøgler og en af dem skal fysisk stjæles fra dig, Men det betyder også at der er en risiko for at de kan misbruges hvis de kan gætte din pin. Det er bedre end at synce sine passkeys med Google eller iCloud efter min mening. Jeg tror rigtigt først synced passkeys kommer til at blive godt når alle de store password managere får det implementeret således at det er i dem som denne public key gemmes. Jeg tror vi kan forvente en bølge af folk som bliver låst ude med passkeys, når de skifter telefoner eller enheder. Her er lidt godt læsestof :) https://www.passkeys.io[...] https://resources.yubico.com[...]
--
"Always bear in mind that your own resolution to succeed, is more important than any other one thing."
--

Sidst redigeret 16-10-2023 22:33

Sticky password kan bruges med fingeraftryk. https://www.stickypassword.com[...] Computerlås https://www.pricerunner.dk[...] Taster du stædig password ??? Google Password https://passwords.google.com[...]
--
This Is The Way