chono Dosta interesantna tema i baš sam naišao na spominjanje implementacija FIDO-a s Yubikeyjevima kada sam malo proučavao koje sve aplikacije za upravljanje dvofaktorskom autorizacijom postoje. Zapravo se fizikalni ključ uvijek preporuča kao najsigurnija metoda. Međutim, kada god veće firme poput Googlea i Microsofta nešto guraju, uvijek gledam na to s malo više skeptičnosti. Zanima me što će podrazumijevati passkey sistem. Ako je riječ o povezivanju s mobitelom, nije li to samo 2FA, samo s jednim korakom manje? Također, kako riješiti slučaj gubitka ili krađe mobitela? Postoji li nekakva backup lozinka? Ako postoji, kako je to sigurnije od nekorištenja lozinki kada se ta ista lozinka svejedno negdje mora spremati?
Osobno, preferiram kombinaciju snažne zaporke i dvofaktorske autorizacije. Međutim, ima i primjera u kojima mi 2FA nije toliko dobro izveden. Steam je jedan od slučajeva. Ne sviđa mi se što si prisiljen dati broj mobitela kako bi omogućio 2FA. Preferirao bih generiranje QR koda i korištenje željene aplikacije za upravljanje kodovima.
Isto tako, bit će interesantno pratiti smjer razvoja takvih aplikacija. Primjerice, Aegis se preporuča kao open-source rješenje, no s druge strane Authy je nešto praktičniji jer omogućava prenošenje kodova preko platformi. Međutim, to za sobom povlači da se seedovi, koji su hashirani, prenose na Authyjeve servere, što ne daje potpunu kontrolu korisniku nad samim kodovima. Dosta široko područje o kojemu se da puno pričati.
Općenito mislim da je privatnost u digitalno doba jako zanimljiva tema o kojoj se da napisati more objava. Od toga kako ju mnogi zanemaruju pa do toga koliko open-source zajednica radi na promociji ideja poput GDPR-a i kontrole nad vlastitim podacima (EFF je odličan izvor informacija).
Za kraj, relevantni XKCD strip. 🙂
