Framfarten för lösennycklar (passkeys) fortsätter. Listan över webbplatser som erbjuder inloggning med lösennycklar växer. Lösenordshanterarna 1password, Proton Pass och Bitwarden kan numera skapa, använda och synkronisera lösennycklar. Andelen användare som har börjat använda lösennycklar kryper allt närmare den magiska 50 %-gränsen.
Mitt i all framgång väcks det samtidigt kritiska röster. Inkonsekvent funktionalitet och förvirrande användargränssnitt sätter käppar i hjulen för anammandet. I veckans poddavsnitt passar vi därför på att fundera över hur utrullningen av lösennycklar har gått och vad som behöver göras för att inte världens första potentiella lösenordsersättare ska sluta som en parentes i historien.
Kapitel i avsnittet
- 00.00 Inledning
- 01.47 Dropbox Sign läckte användarnas lösenord
- 05.38 Dagens Nyheter avslöjar polisläckor
- 08.53 2FAS får stöd för Apple Watch
- 10.10 Lösennycklar idag och imorgon
Omtalat i avsnittet
- Dropbox blogginlägg om lösenordsläckan från Dropbox Sign
- DN:s artikel Polisläckorna
- DN:s artikel Läckor svåra att spåra – även när misstänkt polis ringats in
- Tvåfaktorsautentiseringsappen 2FAS
- 1passwords lösennyckelöversikt Passkeys Directory
- Bitwardens lösennyckelöversikt Passkeyindex
- Bitwardens lösenordsundersökning 2024
- Bitwardens beta-app för IOS och Android
- Blogginlägget ”Passkeys – a shattered dream”
Detta poddavsnitt och dess tillhörande artikel är publicerade under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.
Tack för en bra genomgång. När bitwarden blir klar kommer jag prova. Men jag önskar en förklaring på hur man hanterar utlåsning. Sen jag skaffade tvåfaktors-autentisering för mitt Google konto så är jag ju livrädd för att bli för evigt utelåst om jag tappar min mobil. Jag behöver ju mitt Google konto för att ladda ner bitwarden så att jag kan logga in på Google. Blir det samma med den passkey som är sparad i Bitwarden?
Jag tillhör de som inte börjat använda lösennycklar ännu men varit på gång. Det var intressant det du berättade om att lösennycklar inte går att exportera från 1Password, åtminstone inte än och inget löfte utgett om att det ska komma att gå. Jag använder 1Password, så något för mig att hålla ögonen på och förhålla mig till.
Detta leder mig till en aspekt du inte tog upp i detta avsnitt men som du har haft uppe förut, nämligen hur inloggningsplatser hanterar användare som glömt sitt lösenord. Har detta hanterande ungefär samma säkerhetsrisk som för lösenordsplatser?
Om man nu idag använder lösennycklar i Apples, Googles, Microsoft eller 1Passwords lösennyckelssystem, eller som du tog upp en möjlig brist i Apples mjukvara där nycklar försvinner, och man vill byta nyckelhanterare så är vad jag förstår en rimlig metod som användare att använda “Jag har glömt/tappat bort min lösennyckel”. Eller hur gör man? Förutom arbetet att göra detta om man har ett par hundra nycklar, så sätter det säkerhetsimplementering av denna typ av hantering för stor säkerhetsutmaning om många använder det och lösennycklar ska vara den riktigt säkra metoden framöver.
Finns det inloggningsplatser som kan hantera flera nycklar per användare, dvs så att jag kan ha en nyckel när jag t ex sitter på Microsoft och en annan nyckel när jag sitter på Apple, för samma person och konto?
Jag är inte djupt insatt i lösennycklar, inte SSH-nycklar heller som jag dock använder. Men visst är det stora likheter mellan koncepten?