Zapomnijcie o hasłach - Google stawia na inne rozwiązanie
Ja jednak pozostanę przy używaniu zwykłych, fizycznych kluczy sprzętowych.
Pomysl jest fajny, ale nie powierze swojego logowania korporacji ktora kontroluje jeden zamkniety ekosystem. Google przestanie cie lubic i za komentarz na YT i zablokuje dostep do konta i uzywanie passkey stanie pod znakiem zpytania. Czekam na rozwiazania od firm specjalizujacych sie w zabezpieczaniu haslami. Bitwarden, 1Password, Okta, Authy itp.
Nie wiem, musiałbym się w temat zagłębić, bo ładnie to wygląda, ale coś mi nie daje spokoju. Podpisy z użyciem par kluczy prywatnych/publicznych są znane, odkąd wymyślono kryptografię klucza publicznego. Więc chyba są jakieś powody, dla których ta metoda przez ostatnie 50 lat nie uzyskała większej popularności.
Pewnie koszt i popularyzacja urządzenia do uzyskania informacji biometrycznej np. skaner palca czy twarzy który nie da się podrobić zwykłym zdjęciem.
Samo rozwiązanie jest używane od tych 50 lat ale dawniej było używane np. w bardzo drogich zamkach do drzwi.
Ale ja nie piszę o biometrii (która zresztą ma swój zestaw wad), tylko o podpisie cyfrowym z użyciem pary kluczy.
Zresztą doczytałem o tym mechanizmie i GOL jak zwykle nie do końca wyjaśniło co tam konkretnie chodziło. Okazuje się, że nie chodzi o przesyłanie statycznego podpisu wygenerowanego kluczem prywatnym, żeby potwierdzić swoją tożsamość. Zamiast tego ma być mechanizm challenge-response, gdzie przy każdym logowaniu serwer wysyła "wyzwanie", które urządzenie użytkownika rozwiązuje przy użyciu klucza prywatnego, tworząc unikalną sygnaturę, a serwer potwierdza jej autentyczność z użyciem klucza publicznego. Yo już ma więcej sensu.
