Kata sandi akan menimbulkan biaya.

 (fy.blackhats.net.au)
1 poin oleh GN⁺ 2023-07-14 | 1 komentar | Bagikan ke WhatsApp
  • Banyak perhatian terhadap "passkey" dan kemungkinan perubahan dalam metode autentikasi
  • Obsesi terhadap passkey dapat membuat penggunaan security key menjadi tidak perlu
  • Masalahnya terletak pada perbedaan antara resident key dan non-resident key
  • Resident key menyimpan private key di security key itu sendiri, sedangkan non-resident key bergantung pada credential ID untuk dekripsi
  • Resident key menghabiskan ruang pada security key dan dapat cepat penuh
  • Non-resident key tetap aman dan bergantung pada fitur keamanan yang sama seperti TLS
  • Autentikasi pengguna tetap dimungkinkan tanpa resident key
  • Masalah muncul dari hype berlebihan tentang passkey dan kebingungan atas definisinya
  • Passkey awalnya diperkenalkan oleh Apple sebagai cara menggunakan Touch ID/Face ID sebagai web authenticator
  • Definisi passkey telah berubah dan kini berarti resident key
  • Definisi ini telah menyebar luas dan menimbulkan masalah bagi pengguna security key
  • Security key memiliki ruang penyimpanan terbatas dan pengelolaan credential yang kurang memadai sehingga resident key sulit digunakan
  • Persyaratan bahwa semua pendaftaran harus memakai resident key menurunkan pengalaman pengguna
  • Hal ini bertentangan dengan tujuan agar pengguna dapat memilih authenticator yang mereka inginkan
  • Di dunia passkey, hanya beberapa jenis authenticator yang benar-benar berfungsi dengan baik
  • Usulan untuk menyelesaikan masalah ini adalah mengecualikan security key dari persyaratan passkey, dan mewajibkan persyaratan penyimpanan untuk perangkat yang diautentikasi
  • Secara keseluruhan, hype berlebihan terhadap resident key sebagai passkey menghambat kemampuan pengguna untuk memilih authenticator yang mereka sukai.

Bacaan terkait

1 komentar

 
GN⁺ 2023-07-14
Opini Hacker News
  • Kunci keamanan fisik mungkin bukan pilihan terbaik sebagai passkey karena tidak memiliki fitur autentikasi dua langkah pada ponsel atau desktop.
  • Passkey didefinisikan sebagai pasangan kunci yang disinkronkan melalui iCloud Keychain, dan definisi tersebut telah diperluas ke metode sinkronisasi cloud lainnya.
  • Kunci keamanan tidak penting bagi sebagian besar pengguna, dan passkey adalah pilihan yang lebih baik untuk menggantikan kata sandi.
  • Desain protokol untuk passkey dan resident key dikritik karena potensi masalah keamanan dan kompatibilitas.
  • Kondisi resident key dan secure element saat ini membingungkan dan perlu diperbaiki.
  • Artikel ini mungkin sulit dipahami oleh orang yang tidak memiliki latar belakang keamanan atau kriptografi.
  • Untuk beralih ke standar autentikasi baru, Anda mungkin perlu mengeluarkan uang untuk membeli kunci perangkat keras baru.
  • Kunci perangkat keras memiliki ruang penyimpanan terbatas, dan penambahan prosesor aman untuk penyimpanan massal dapat meningkatkan biaya.
  • Artikel ini memberikan penjelasan yang jelas tentang passkey dan dampaknya.
  • Sebagian pengguna tidak ingin bergantung pada Google, Apple, atau Microsoft untuk sinkronisasi passkey.
  • Solusi terpusat untuk token berbasis perangkat keras dan sinkronisasi resident key adalah hal yang diinginkan.
  • Jika perangkat hilang atau disusupi, metode autentikasi dengan mengandalkan kepemilikan sesuatu bisa menjadi masalah.
  • Sebagian pengguna percaya passkey memberi terlalu banyak kendali kepada pemerintah dan perusahaan, sehingga merugikan privasi dan keamanan.