Paypal vill ersätta lösenord med passkeys

Ok, klippa fingrarna var väl lite överdrift.

Men säg att du blir rånad på mobilen och kanske knockad t.o.m. då är det fritt fram för förövarna att länsa dina konton med tanke på att dom flesta använder fingeravtryck för att låsa upp mobilen, bankappen (mobilt bank-id) och paypal (mig inkluderat, jag är lika lat som någon annan )

Det var länge sen man skapade fakefingrar med fingeravtryck från ett glas. Visst, krävde dyr utrustning i en labb miljö men det brukar inte hindra kriminella. Inte de stora aktörerna åtminstone.

Och vad gör man då? Bytet från pekfingret till tummen i sin app?

Fingeravtryck känns sådär säkert. Men fler val är väl alltid bra? Men gud förbjude 2-faktorsautentiering...

Fingeravtrycken skickas ingenstans, de används endast för att låsa upp autentiseringsappen. Det är baserat på vanliga asymmetrisk kryptering, och fingeravtrycket används endast för att låsa upp sin privata nyckel på den lokala enheten. Det finns en bra beskrivning hos FIDO Alliance på hur det fungerar.

Men skulle fingeravtrycket ändå komma på vift så är det förstås ett stort problem, eftersom det inte bara går att ändra på samma sätt som t.ex. lösenord.

Kan någon förklara vad passkey är för något? Låter som lösenord till lösenordet

Biometrin har alltså egentligen ingenting med saken att göra, utan det handlar om centraliserad nyckelhantering. Biometrin handlar bara om åtkomst på den egna enheten.

Samma sak som Bank-ID med andra ord, för det kan ju också användas med biometri redan idag.

Men många använder samma eller extremt lika lösenord på många ställen och byter aldrig, och har dessutom samma mail överallt, så ett intrång där lösenord stjäls kan ge möjlighet till att komma åt många PayPal-konton. Med fingeravtryck, bankid mm så behövs mer riktade attacker med social engenering. Med tex yubikey skulle säkerheten kunna öka ytterligare genom att bara enheten nyckeln är ansluten till vid tillfället kan logga in, då skulle inte någon kunna ringa och be dig logga in någonstans åt dem.

Jag litar inte på att PayPal hanterar det här bättre än när började kräva tvåfaktorsautentikation via telefon för ett par år sedan.
Då blev jag och många andra med mig utlåsta från PayPal under minst ett halvår: Det gick inte ens att komma fram till deras svenska kundtjänst på nio månader.
Det hade enkelt kunna undvikas genom att provringa numret innan man slår på, men nej då.

Eftersom PayPal krånglat så mycket och eftersom de också börjat med Bitcoin så valde jag istället att säga upp PayPal. Det krävde bara ett klick, ingen bekräftelse via autentisering inte.

Bra idé tills hunden äter upp din mobil eller andra liknande saker. Problemet med typ bitlocker och annat som är "fint tänkt" är att även legitima användare kan bli utelåsta och då är det kört sen.

Jag är inte villig att ta den risken.

Så är det ju även med ditt bankid/mobila bankid, äter hunden upp din telefon/dosa så spelar det ingen roll, du kommer inte åt din bank eller var du nu ska logga in iaf. Sen bör det ju så klart vara möjligt att registrera ett par yubikey på sitt konto så man kan ha en backup.

Just det här är idiotiskt att fler inte implementerar. Ge mig möjligheten att ha en andra, säker väg in, om allt skiter sig...

Om min mobil låser ute mig/går sönder så kan jag fysiskt besöka min bank och få ett nytt på en annan enhet. nej, det är inte smidigt för fem öre men det går.

Synd att man inte kan göra samma sak med Facebook. Jag vet inte hur många timmar jag lagt på att försöka få tiillbaka mitt konto efter att blivit av med min telefon med Microsoft Authenticator. Fortfarande utelåst.

Det blir svårare att genomföra attacker om du inte kan logga in utan en fysisk pryl som t.ex. en Yubikey-usb-dongel. Det kan stoppa en stor del attacker. Det gör att de som utför attacker måste lägga mer resurser på varje attack och därmed gör det deras verksamhet mindre lukrativ.

Jag skulle väl likna det till att ha flera lås på sin dörr eller en bättre dörr. Det stoppar inte alla försök men folk låser ändå sina dörrar.

Det gäller att man har backup på sin passkey. Bra att flera börjar lägga till stöd. Sedan är frågan vilket ställe man ska välja för att lagra sin passkey. I Chrome, Iphone osv. Alla lösningar inte kompatibla med alla enheter

Mobilt bankid kan du dock ha upp till 3 på olika enheter, har en surfplatta och en extra mobil som båda har mobilt bankid förutom min vanliga telefon, lite så jag tänker om yubikey också

Provade att lägga till en Yubikey 5C NFC på iPhone nyss men det fungerade inte. Pop-upen där man ska skriva in sin pin kod försvinner så snabbt innan jag hinner göra något. Säkert en bugg.

Man kan hamna i rättegång trots att man är laglydig, till exempel om man blir anklagad för ett brott man inte har begått. Långt från alla rättsfall som går till rättegång resulterar ju i en fällande dom.

Dessutom var det ju mindre än ett år sedan som just PayPal ville leka polis och bötfälla de som spridde "misinformation" med $2500. Med ditt fingeravtryck skulle de kunna samarbeta med andra likasinnade teknikjättar som Amazon och släcka ner dina andra konton också, även om du bara kritiserar företagets agerande.

Liten update, lyckades lägga till en Yubikey via Chrome på Windows nu. Det går dock bara att ha en nyckel och inga backuper.