Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: AimoE - 28.06.25 - klo:15.06

Otsikko: KeePassXC todentimena
Kirjoitti: AimoE - 28.06.25 - klo:15.06

Palaan vielä KeePassXC:n käyttöön todentimena. KeePassXC tukee 2FA-tunnistusta (mutta suosittelee tallettamaan TOTP-salaisuudet eri tietokantaan). Lisäksi se tukee passkey-tunnistusta. KeePassDX-puhelinsovellukseen passkey-tuki on tulossa (https://github.com/Kunzisoft/KeePassDX/issues/1421), mutta KeePassXC ei ole tarjolla puhelimiin, eikä se tue QR-koodin lukua.

Tärkein ero KeePassXC:n ja autentikaattorisovelluksen välillä kuitenkin on se, että autentikaattori käy ja kukkuu palveluna, joka tarjoaa apua heti kun sitä tarvitaan, kun taas KeePassXC täytyy erikseen itse avata siihen tietokantaan, jota tarvitaan.

Netti on nyt pullollaan sivuja, jotka kilpaa selittävät mitä passkey on ja miten kätevä se on. Useimmat vättävät, että passkey on automaattisesti myöskin MFA-ratkaisu, mutta hieman hajontaa löytyy; joidenkin mielestä passkey-autentikaattori vain ketjuttaa kirjautumistietoja toisiinsa, mikä ei oikeasti aidosti täytä MFA-vaaatimusta. Äkkiseltään vaikuttaisi, että koska KeePassXC täytyy ensin itse avata, tämä turhalta tuntuva lisätyö taitaakin tuoda MFA:n mukaan.

Jos nyt oikein ymmärrän, niin passkey-menettelyä voi verrata SSH-avaimiin sikäli, että autentikoija(sovellus) vastaa SSH-agentin ja avainrenkaan yhdistelmää. Laitteeseen sidottu passkey suojaa salaisuutta tiukemmin kuin avainrengas. KeePassXC:n passkey-tuki vastaa synkattavaa passkey-menettelyä, mutta synkronointi pitää tehdä itse.

Kertokaa mestarit mitä kaikkea olen ymmärtänyt väärin?

Otsikko: Vs: KeePassXC todentimena
Kirjoitti: SuperOscar - 28.06.25 - klo:16.33

Lainaus käyttäjältä: AimoE - 28.06.25 - klo:15.06

Tärkein ero KeePassXC:n ja autentikaattorisovelluksen välillä kuitenkin on se, että autentikaattori käy ja kukkuu palveluna, joka tarjoaa apua heti kun sitä tarvitaan, kun taas KeePassXC täytyy erikseen itse avata siihen tietokantaan, jota tarvitaan.

En oikein ymmärrä tätä kohtaa. Ainakin minun on aina täytynyt 2FA:ta tarvittaessa avata ensin puhelin (yleensä salasanalla tai biometrisellä tunnisteella), sitten käynnistää todennusohjelma kuten Google Authenticator tai nyttemmin Aegis, sitten mahdollisesti tunnistautua sille (taas salasanalla tai biometrisellä tunnisteella) ja vasta sitten alkavat numerosarjat vilkkua ruudussa. ”Tarjoaa apua heti kun sitä tarvitaan” on tästä aika kaukana!

Sitä en tiedä, kuinka paljon hankalampaa KeePassXC:llä sitten olisi.

Otsikko: Vs: KeePassXC todentimena
Kirjoitti: AimoE - 28.06.25 - klo:16.58

No niin, niinpä tietenkin. Eli KeePassXC ei olekaan kaikessa kömpelömpi.

Oikeastaan tää keskustelunaloitus alkoi siitä, että googletuksen yhteydessä satuin sivulle, jolla markkinoitiin selvästi huijaukseen tarkoitettua passkey-appia. Ei siis authenticator-termillä, vaan ihan vaan passkey-nimellä. Tuli yhtäkkiä tarve ottaa selvää enemmän ja sitoa termejä siihen, mikä on jo ennestään luotettavaksi tunnettua ja mikä ihan uutta.