Käck-Tech Podcast
Käck-Tech Podcast är podden för dig som älskar teknik! Varje vecka bjuder vännerna Andreas och Ruben på en rolig och nördig diskussion om de senaste nyheterna och trenderna inom konsumentteknik. Från smarta mobiler till smarta hem, från gaming till streaming, från AI till VR. Lyssna på Käck-Tech Podcast och få tips, råd och inspiration om hur du kan använda teknik för att förenkla och förgylla ditt liv! Avsnitt släpps varje torsdag och bonusavsnitt släpps i tid och otid, så glöm inte att prenumerera!
Käck-Tech Podcast
Lösenordsfri framtid: YubiKeys, passkeys och säker inloggning – med Dain Nilsson
I detta avsnitt gästas vi av Dain Nilsson, Senior Director of Software Engineering på Yubico, företaget bakom den populära säkerhetsnyckeln YubiKey. Vi dyker djupt i lösenordsfri inloggning, passkeys och varför framtiden definitivt är lösenordsfri.
Dain förklarar pedagogiskt varför lösenord är föråldrade och hur fysiska nycklar, biometriska lösningar och smartare autentisering gör livet både säkrare och enklare. Vi pratar också om cybersäkerhetstrender, kvantdatorer och varför alla – ja, verkligen alla – borde använda lösenordshanterare redan idag.
Dessutom: Dain tipsar om hur man gör karriär inom cybersäkerhet och berättar varför hans första försök att skapa en säker digital dagbok involverade en gul ost i Paint.
Länkar från veckans innehåll
Obs! Vissa länkar nedan (Affiliate) kan generera en kommissionsintäkt för oss vid köp, utan extra kostnad för dig. Våra åsikter är & förblir helt opåverkade av dessa intäkter!
- Tidigare avsnitt om lösenordsfria lösningar
- Yubico
- dainnilsson (Dain Nilsson) · GitHub
- Köpa Yubikey (Affiliate)
Vill ni läsa mer om oss och podden kan ni klicka på länkarna nedan:
- Hemsida
- Skicka feedback - kacktech@gmail.com
- Mer om Andreas
- Mer om Ruben
- Mer om Käck-Tech
- Stötta podden via Buy Me a Coffee
- Stötta podden när du handlar på Amazon (Affiliate)
- Vår hype Spotify spellista
Obs! Transkriberingen är autogenererad och kan därför innehålla felaktigheter.
Jobbar du överhuvudtaget med lösenordning? Ja, jo men asså vi kommer inte undan lösnord, det är, det är, många av världens system bygger fortfarande på det så, så att jag jobbar lite med lösnord fortfarande. Har du bra lösenordshygien? Ja, nej men jag tycker väl det, jag har en lösnordshanterare som genererar mina lösnord åt mig så till att jag har unika lösnord och så vidare, så att jag är ja, ganska bra. Bättre än medel. Jag var oroad om svaret var nånting annorlunda. Men använder du YubiKey för att öppna lösenordshanteraren? gör jag, absolut. Ja, det är så. Hur många YubiKeys äger Oj, jag har tappat räknen. Jag är så många för test och så vill man testa med gamla nycklar och nya nycklar. Men jag har väl, förutom några backuper som ligger på olika ställen så har jag väl två som jag använder dagligen. okej. Du har ändå backupper. Och så har jag en på nyckelringen med NFC som jag kan blippa mot min mobil. Och så har jag en sån här liten nanonyckel som sitter i min laptop som knappt sticker ut alls. Va? vad smart. Vi har faktiskt både USB-A och USB-C varianter. Jag tycker att A-varianten är trevligare för då får den verkligen helt plats, liksom inuti porten Ah, okej. princip. Um, C-varianten sticker inte ut mycket. men jag vägrar ju uppgradera till en dator som inte har en USB-A-port för att det måste liksom vara kvar. Men, men, lever du... Snälla, kan vi bara prata om USB-A och USB-C? USB-C är så värdelöst jämfört med Varför det? Det är det väl inte alls? Vet du varför det är det? Det går, alltså, ingenting sitter som det ska. Det sitter alltid och glappar lite, det får inte plats. Det känns som att alla USB-C-kablar och uttag är lite missmatchade. Det funkar. Älskar att det är en standard, älskar att allting har samma uttag. Alltså... Jag älskar alla möjligheter som finns med USB-C-utgången som liksom så. Sen kan vi prata om hela kablar och vad som går att skicka med vissa kablar och standarder. Annan grej. Men det är ju såhär att det inte sitter fast. Alltså, det, det, det är inte samma sugkraft. Men det är det sämsta argumentet jag hör från iPhone-användare. Det är så här... det handlar inte om, det handlar, men det är inte lightning jag pratar om, USB-A. Jag menar med till exempel den här nyckeln du har nu. Den hade ju suttit och glappat och inte suttit så snyggt, känner jag. Spontant, i USB-C jämfört med USB-A. Min känsla här nu. Ja, alltså jag håller ju med om att USB-A helt klart har sina fördelar. Särskilt om man då som jag som sitter och ska byta mellan olika UBI-keys. Hundratals gånger om dagen. Att sitta och rycka ut en USB-C-kontakt och byta enhet massa, massa gånger. Jag vet inte, det känns som att det sliter på porten, medan USB-A, den glider in, den glider ut. Det, Sen måste man ju alltid vrida på den tre gånger, men hela grejen. quick! Ja, men, ehm... Det är ju den bästa dissen man kan ge till en, till en IT, liksom, IT-tekniker. Du känns som en, en person som vänder USB-porten på fel håll varje gång. det? Gör inte alla det? Jag gör det. Nej, fast jag har sett folk bli väldigt förnedrade av den. det så. Jag tycker vi kör introt och så får vi igång den här showen istället. Som ni kanske hörde så har vi en gäst med oss idag. Jag tänker inte vara långrandig. Jag tycker att han får presentera sig själv. Vem har vi med oss idag? Jaha, jag heter Dejne Nilsson och jag jobbar på ett företag som heter Yubico, mest känd för våra Yubikeys och jag är här för att prata om lösnordsfri inloggning. Ja, i mångt och mycket. Men vi ska börja med, vem är Dane Nilsson? Han är, du jobbar på Ubicom och du jobbar som Director of Engineering. Precis, ja, det gör jag och jag jobbar väl, alltså jag har jobbat ganska länge på Jubico, så jag har haft lite olika roller genom tiderna. Just nu sysslar jag mycket med den mjukvaran som ligger liksom utanför själva nyckeln, det är bara open source libraries och SDK och appar. Och lite sådana här grejer. Alltså allt som pratar med nyckeln, förstår hur den fungerar och kanske gör lite saker mer än lokalt. Inte så mycket typ integrationer med andra system och sådant. Utan mitt fokus, mitt teams fokus det är liksom, Ja men konfigurera och använda Yubikeen på den enheten där du stoppar in den Alright. Men hur hamnar du liksom, hur hamnar man i ska vi kalla det cybersäkerhetsbranschen eller ska vi kalla det authentiseringsbranschen? eller blickar om. Ja men cybersäkerhet låter väl lite mer spännande. Ja, det låter, det har en viss klang. Ja men jag, jag har väl alltid typ haft ett intresse för Lite ironiskt kanske, jag pluggade på KTH och jag läste en enda kurs som hade om kryptografi att göra. Och det var den enda kursen som jag hoppade av under hela min utbildning. Så, ja, men jag var ändå väldigt intresserad. Även om det kanske inte låter som det. Första halvan av kursen var föreläsningar och de var jättespännande. Andra halvan var en massa grupparbeten som inte alls kändes så kul, så jag bytte till en annan kurs. Men jag tyckte krypto var super. Spännande, och har väl alltid gjort det. Är det så att teorin är mer intressant än praktiken? Tvärt om menar jag, är praktiken mer intressant än teorin? Ja men, jag generellt tycker väl oftast att praktiken är mycket mer intressant än teorin bakom det mesta. Jag är inte, alltså jag har väl en ok förståelse för matte, så när det kommer till kryptografi så springer det snabbt iväg till en nivå som är utmärkt. långt över mitt förstånd. Men jag förstår ändå, liksom, jag förstår de här kryptografiska byggstenarna och hur de fungerar och hur de kan interagera. Och det tycker jag är väldigt spännande. Fattar. Det är faktiskt, alltså, ja, får se om det är en spännande historia eller inte. Men, när jag var typ sju, åtta år, så min bästa kompis, jag tror hans pappa jobbade med datorer, så de hade massa datorer hemma. Så det var skitspännande. Och min bästa kompis blev liksom, eh, Han var datorexperten, fast han kunde ju ingenting egentligen. Men jag hade fått en, en sån här diskett. en sån Och jag ville att han skulle visa mig. Hur kan jag... skriva text som bara jag kan se på en disketten, typ en dagbok eller något. Och då tänkte jag så här, det måste ju gå liksom, det är självklart man vill kunna ha hemlig text som är lösnårdsskyddad på något sätt. Åtta år vill ha hemligheter på datorn, det är ja men precis, var så här, ja men jag kan visa dig hur du gör. Så öppnar han Paint. Och så ritar han en typ bild med, han ritade en ost för mig. Han gjorde en triangel och en fyrkant, och jag undrade vad han höll på med. Och så tog han textverktyget och så bytte han till en liten annan nyans av gul. Och valde det minsta, minsta typsnittet, och så började han skriva. Liksom, det blir bara pixlar på den här osten, men med text som är väldigt liten. Och så menar han liksom att, ah men, här, om man ser den här utzoomad, då kommer du inte kunna läsa vad det står. Men om man vet att det är texter, då kan man zooma in och se vad som står. Hiding in Ah, och jag kände såhär, mm, jag köper inte det här, det måste finnas ett bättre sätt. va, liksom, varför har vi ens datorer om vi inte kan göra coola saker som lösnårdsskyddar våra, så att vi inte kan göra coola saker som lösnårdsskyddar våra. Ja, jag vet inte. Banankaksrecept. något. sight. Men jag tänker så här. Alltså jag gillar hans tanke. Men när du sen har, du kan ju inte editera en, en, en, en paintbild i efterhand. Den så praktiskt. Det finns ju sån mjukvara som gör så mer på riktigt. Vad heter det? Steganografi tror jag det heter. Alltså när man gömmer, det var det som var att man typ... Från början tatuerade hemliga medlanden på huvudet på munkar och sen lät håret växa ut så det var liksom dolt. Men det finns ju mjukvara som faktiskt bakar in data i en bild på ett sätt som inte ska synas. Men det är inte, ja, i sig krypterat på något sätt så bara man vet att det finns där så går det ju att ta fram. Så det är väl krypterat i form av att du måste veta hur du gör för att få fram datan. Alltså det är ju lite så kryptiskt. Kan vi klassa det som kryptografier? Hahaha. Men det är ju lite så att ett bra, ett riktigt krypto, där ska du kunna veta exakt hur det fungerar men ändå inte kunna knäcka det för att du behöver den hemliga nyckeln. Ah, men! Hemliga nyckeln. Ja, i alla fall. Jag var alltid intresserad. Intresset fortsatte väl med datorer och sånt. Och när jag faktiskt lärde mig att det finns något som heter kryptografi som kan göra det här på ett riktigt sätt. Som kan skydda data bakom ett lösnord eller något annat. Då kände jag att jag var fast. Jag måste göra någonting med det här. Och då blev det Yubico. Så blev det Jubicode till slut. Och trots allt så visade det sig att även om man hoppar av kryptografi-kursen så kan det bli kryptografiskt i slutändan ändå. Men jag tror att det är mycket viktigare att ha ett brinnande intresse för någonting än att faktiskt ha pluggat det. För det är, jag menar, jag jobbar med jättemånga som är helt självlärda för att de, ja, antingen pluggar någonting annat eller bara, ja, det var ju helt enkelt intresset som gjorde att de lärde sig. Man lärde sig på fritiden, man intresserar sig för någonting. Det tror jag är ju värt mycket. Det känns ändå som att IT och liksom programmeringsbranschen är ju en sån värld där det fortfarande är, kodomkodom, lätt att komma in och göra saker som självklart, så länge du har intresset för det. Det känns som att datanördar har det, nu inte enkelt, men om du har ett intresse för det så, så är det ju bra. kan man komma ganska långt på det. Det är inte många andra branscher som det känns som att det är lika enkelt att göra det. Spontankänsla här nu. Men jag tror att en stor fördel är väl att, Ja. Vi älskar datorer och förstår datorer och det gör att vi kan lära oss det också. Jag menar, om mitt intresse var träslöjd, jag inte kan någonting om datorer, så det är inte lika lätt för mig att lära mig själv då. Då måste jag hitta resurser att lära mig på, medans, ja men, datorintresset är ju det som gör att jag också lär mig mer om datorer. intressant. Men, vad är din liksom, nu måste vi fråga för det här, nu har du ändå nått en viss nivå av det här med kryptografi och dataintresse. Jag såg en lite spännande ikon i vårat inspelningsprogram. Vad är ditt val av operativsystem? Mm, Jaha, jag kör Linux. Det har jag gjort ett, ja, ja men bra tag. Fast, ja, alltså det var nog efter jag började på JupyCore så när jag började faktiskt använda Linux mer. Jag är uppvuxen med Windows. Har nog aldrig riktigt kört Mac-grejer så mycket. Men Windows och sen, jag tror, om man ska jobba med mjukvarutveckling så inser man ganska snabbt att de bra verktygen Man vill ha något som är väldigt terminaltungt och så. Linux funkar väldigt bra där. Windows, nu kommer folk hata mig som jobbar nu. Går ner på Windows och säger nej jag köper PowerShell och det är jättebra. Men ja, det var min Fast så här, det finns ett visst, min bild, min bild är ändå att det finns ett visst sånt här, inte hat mellan, det är kanske ett tvivl, men det finns en viss sådan rivalitet mellan Mac och Windows. Men det finns alltid lite extra respekt för den som kör Linux. iPhone iallafall. Ja, men det har ju Nerdcred helt Ja, men verkligen så. Verkligen så. Sen finns ju de som bara, vad är det ens? Men det finns ju alltid, Ja men det är också skillnaden på att som privatperson köra Linux på sin privata dator eller liksom i såhär, det är ju nörd deluxe. Att göra det i ett liksom, Jobbsammanhang och liksom jobb med programmering och datorer. Det är inte lika sjukt. Och sen så 90 percent av alla världens servrar och datorer och olika system går ju på Linux. Så det är ju inte heller jättesjukt egentligen. Ruben, du vet att det är ju 70 percent av världens befolkning går ju omkring med en telefon som rullar Linux. Ja, du tänker så. Ja, det är sant. Ja, Android är en Linux-kernel. Så att, det är inte så ovanligt som man tror, det är bara att det kanske inte är Förpackat på ett så man, det är inte så det är paketerat när man tänker på det. Alltså det som höll mig kvar på Windows länge, det var ju gaming, liksom att spela spel. Då var man ju tvungen att ha Windows. Nu för tiden, jag skaffade en Steam Deck när den kom och det har verkligen fått mig att börja spela spel igen. Och jag är så fascinerad över... Hur bra det faktiskt funkar. Alltså det är Linux, du kör ändå Windows-spel genom det här Proton-lagret. Och, ja, nej men, jag minns, jag har liksom minnen från att ha försökt köra en del spel på Linux för ganska många år sedan. Genom Wine och diverse andra verktyg. Och det var såhär, ja, man kanske kunde få Warcraft 3 att funka och lite såhär grafiska artefakter här och var. Men, ja, nu funkar allting klockrent. Ja. det är nästan, alltså där har ju ändå Valve lyckats väldigt, väldigt bra. För att det är ju nästan så att Windows-spelen funkar bättre på Steam Deck som rullar Linux än vad den funkar på Windows. är ju helt otroligt, men ja, så är det ju. Det är starkt jobbat måste jag ändå säga. Men! Vi skulle ju prata om lösenådsfri inloggning. Du jobbar väl mest med Yubikeys misstänker jag? Men det finns ju också Passkeys som bygger på liknande teknik. Ja, men så här, alltså, passkeys är liksom, det är en del av ett protokoll, lite mer, och de finns lite i olika former. Precis som att du kan ha lösenord i huvudet eller i en lösenordhanterare, du kan ha passkeys på en Yubikey. Och det tycker vi funkar jättebra, det kör jag själv. Så... Ja, det är liksom, det är inte antingen eller utan det är, du kan använda YubiKey med passkeys eller utan passkeys. Du kan ha passkeys utanför YubiKey när du är i den, de går lite hand i hand. Alright. Men i din lösenådshanterare sparar du inga Passkeys? Nej, jag kör mina passkeys på en YubiKey och använder lösningsorteraren för lösenord ganska strikt så. Nu har vi, vi har ju pratat om Passkeys och Yubikeys lite tidigare i den här bråden. Men det är ett tag sedan. För nya lyssnare, kan du enkelt förklara liksom hur lösenordsfri autenticering funkar och hur det skiljer sig från att använda traditionell lösenord för en vanlig användare? Ja, men jag ska försöka. Så, om vi utgår från lösenord då. Lösenord, alla vet hur lösenord funkar, hoppas Men de har ju massa problem. Alltså, man måste ha olika lösenord till alla sajter. De ska vara långa och inte gå att gissa, det vill säga de ska vara liksom svåra att komma ihåg. Och, alla de här bitarna med lösenord, gör att det är väldigt svårt att ha bra lösnordshygien, som människa i alla fall. Om du ska ha de här i din hjärna så funkar det inte, du måste i princip ha en lösnordshanterare. Och lösnordshanterare, det löser en hel del av problemen. Många av problemen ligger hos slutanvändaren. Lösnord har också ganska mycket problem. hos själva tjänsteleverantören. Alltså, en sajt blir hackad, de har varit dåliga och lagrat lösenorden i klartext eller dåligt haschad eller någonting och så plötsligt har det läckt ut. Så att det är liksom, det är inte bara användaren själv som är ansvarig, utan det är alla som är ansvariga. då finns det många som säger, ja, men man ser till att tjänsteleverantören gör si och så och lagrar på det här sättet, så är det säkert. Om man ser till att anslutningen är helt krypterad så kan ingen... liksom snabba upp lösningar på vägen och man ser till att användaren har sådana här bra lösningar och då använder de lösningar som tillhör det. Ja, visst, det finns lösningar, men allting bygger på den mänskliga faktorn på något sätt, att alla måste göra rätt hela tiden. Passkeys och annan då, sådana här typ av lösningsfri inlåning, där vänder man lite på det och försöker baka in, alltså man tänker om från grunden och säger okej, kan vi bygga ett system som inte har de här problemen, istället för att försöka patcha bort dem sen. Se till att man inte kan göra fel. Så jag tror termen passkey, den kom lite som en sån här marketinggrej och den fastnade och den blev ganska, ganska catchy så. Jag tänker liksom, password, ett ord som låter mig komma in. Passkey, det är lite samma sak, antingen password eller passkey. Man hör lite att de kan ersätta varandra. Key då tänker jag på en husnyckel, en fysisk nyckel. Nu måste en passkey inte vara en fysisk nyckel, som jag var inne på, utan den kan lagas av en lösningshanterare. Men vi tar liksom bort det här, det är inte så att användaren ska bestämma vad är det en passkey och ska försöka hitta på någonting svårt. För det är vi dåliga på, utan då har man gjort ett system där man genererar en en sån där privat asymmetrisk nyckel som inte går att gissa av någon. Och istället för att skicka den hela vägen bort till tjänsteleverantören där den skulle kunna bli uppsnappad på vägen, eller de skulle kunna läcka den, så använder man då asymmetrisk kryptografi, där man istället genererar en signatur som bara funkar en gång, som man hittar. Det vill säga, man bevisar att man har den här privata nyckeln utan att delge den. Då tar man bort det här momentet att, ah men, på serversidan så kanske de inte har lagrat den rätt. De har ingenting hemligt att lagra där, då kan de inte råka läcka Och så bygger man in i protokollet att den är låst till en enda sajt, så du kan inte återanvända en passkey på många. Så liksom, på alla de här olika fronterna så har man sett till att bygga ett system där det inte går att göra de här misstagen som folk gör med rörelsenord. Så det är väl, det är väl en stor skillnad så. sen... Har man också försökt baka in ganska mycket privacy-aspekter, där om du använder en Yubikey och du använder den med många sajter, ja, då ska inte de här sajterna kunna gå ihop och jämföra sig, att okej, de här olika kontorna är registrerade med samma Yubikey, så nu kan vi se att det är samma fysiska person. Så då har man liksom byggt in det här i protokollen så att det ska gå att göra. Det ska liksom inte gå att spåra folk, så att, ja nej men det är en ganska, på många sätt, tekniskt trevlig lösning på det här autentiseringsproblemet skulle jag säga. Jag är ju dum i huvudet då, Hahaha, okej. så jag vill ställa en fråga här nu. Kan man på något sätt, för att man ska förstå det här för någon som inte är så teknisk, hur kan man likställa det med lösnord på något sätt? Är det som ett lösnord som fast ändå inte är ett lösnord? Jag förstår inte. Jag tänker lite så här, tänk dig ett hänglås va, med sifferkombination. Det är ju ditt lösenord. Kan du de här sifferkombinationen så kommer du in. Vem som helst kan komma in, men de måste veta sifferkombinationen. Versus Mm. då ett hänglås med nyckel. Det är en fysisk nyckel som bara du har. Ja, du kanske kan göra en kopia av den, men så länge du har, koll på dina olika kopier, så kan du vara ganska säker på att det är ingen som kommer komma in i den där. Du kan inte råka försäga dig. Det är ingen som kan se ditt, din kod när du matar in den. Så att, det är liksom, båda låser upp låset, men det ena är en fysisk grej som bara du har, och det andra är, det ena är en fysisk grej som bara du har. Någonting som, ja, förhoppningsvis bara du vet om, men vem som helst skulle kunna veta om det. Okej. Men om man har den analogin, kan flera personer ha unika nycklar för samma lås? Ja, och det är väl det som är fördelen med passkeys också, att om du tänker dig, ja, lägenhetsnyckel. Du har säkert flera kopior för att du ska ha en, kanske flera familjemedlemmar som ska ha en. Du kanske ska ha en hos en granne eller någonting. där. Om en nyckel försvinner, ja, bra att du har en reserv, du kommer fortfarande in, men du kommer antagligen vilja byta ut hela låset för att det är samma nyckel. När man pratar passkeys, då gör man inte så, utan tänk, det är mer som att man skulle ha, ja men, seriekopplade lås på dörren på något sätt. Nu bryter Anna-Marie ner lite grann, för det hör man inte riktigt, men liksom, då kan du, om en nyckel försvinner, då tar du bara bort just det låset, för det finns bara en nyckel för varje sånt. och så ersätter du just den med ett nytt, då måste du inte gå till din granne och säga då jag måste byta, ta den här nyckeln istället för jag var uppe och förfundra och byta lås. Så att, på så vis är det mer isolerat till, okej, den nyckeln tappades bort, bra, då är det bara just den som spärras. pratat om det lite, men vad är den typiska skillnaden mellan en fysisk, kallar vi det passkey, även om den är fysisk? Det är lite missvisande att säga det för jag skulle säga att, för Yubikeen rymmer ju flera passkeys, det är mer, Yubikeen blir ju på något sätt din nyckelring kanske i analogin medans varje passkey är en nyckel till en, liksom till olika får man ändå säga att YubiKey har lyckats ganska bra för att jag skulle aldrig säga någonting annat än en YubiKey. dörrar. Mm, ja men Säkerhetsnyckel, nej, digital säkerhetsnyckel ligger inte lika bra i munnen på det sättet. Okej, så vad är en fysisk passkey mot en då fysisk, uh, en virtuell passkey mot en fysisk YubiKey? Vad blir skillnaden mer än att du kan ha flera stycken passkeys på en YubiKey? Ja, men precis. Och så de alternativen som finns i praktiken för Passy är antingen så har du en fysisk nyckel som en YubiKey, eller så har du en mjukvarubaserad lösning, en app i din mobil eller, ja, som en lösning som hanterar dig i princip. tror idag så är det väl, Google-ly och Apple-ly också så att det blir liksom, de blir kopplade på något sätt till ditt Google eller iCloud-konto och så följer de liksom med kontot lite överallt. Synkas mellan enheter och sånt där. Jag gillar ju den fysiska nyckeln för att dels, kryptografiskt, den här själva passkeyhemligheten genereras av ett specialiserat chip i den här jubikeen. Och den kommer aldrig lämna jubikeen. Stoppar du in den här i en dator så vet du liksom att det är inte som ett USB-minnat det kan kopieras till datorn. Utan det ligger där, det enda som kommer ut är de här engångssignaturerna. då blir det mer som... Ja, nu kan man ju kopiera lägenhetshusnycklar, men bortsett från det, det blir mer såhär, ja. Den här har jag, så länge jag vet vad den är så vet jag att ingen kan komma åt, ingen kan lossa upp det här låset. Om jag har en passkey som är kopplat till mitt Google-konto och det synkas av Googles moln, Det går att komma åt från min mobil, min dator, min surfplatta som jag har på rastrumsbordet. Jag litar ju ganska mycket på att Google gör det här rätt, eller Apple eller vem det nu är. Dels så är det mjukvara som kör på en mer generell plattform som kan göra allt möjligt. Det är knepigt att få det rätt jämfört med en... mikroprocessor som är gjord för sådana här applikationer. Det är liksom, attackrymden är så mycket större. Så jag förutsätter att de gör allting rätt. Så är det kopplat till mitt konto. Men det är också det, det ligger där i molnet någonstans. Om, uh, jag kanske är i ett land där staten verkligen vill komma åt och se vad jag gör och de kanske kan gå till Google med en domstolsorder och begära ut det här. Kommer Google kunna säga nej till det? Jag vet inte riktigt. Kommer det vara till beskyddat? Men nyckeln så vet jag, det är jag som styr Och dessutom det här med att, ja, har jag verkligen koll på alla enheter som är inloggade i min, mitt Google-konto? Den där gamla surfplattan som sen blev gammal och så gav jag bort den till min brors son, liksom. Kommer jag ihåg att verkligen logga ut där? Ja, jag vet inte. Det känns lite, för mig, um, Svårt att släppa på kontrollen så mycket för någonting som ändå är nycklarna till hela mitt digitala liv så. Sen finns det absolut en plats för de här appbaserade lösningarna också. Det är ju bra mycket smidigare med något som automatiskt synkar och alltid finns på alla mina enheter och så. Så att, ja, jag tror man kan använda båda till viss del. Jag har ju ändå tänkt en tanke. Jag har två tankar nu. Ena tanken. Du måste ju alltid ha med dig den här fyskanyckeln då. Och teorin. Säg att man är ute och reser. Eller ute och gör grejer. Eller bara hänger in ute på stan. Och du har den här till exempel för att låsa upp någonting i datorn. Eller i telefonen eller någonting. du tappar den. Vad gör du då? Ja, nej men det är ju lite jobbigt. Alltså, ja man måste alltid ha med sig den, vilket, det är väl lite det. Det får jag höra ibland, jag orkar inte ha med mig en nyckel överallt. Och jag förstår inte riktigt det för, vadå, du har väl Ja. med dig dina husnycklar, bilnycklar, alltså du har väl massa nycklar med dig hela tiden ändå. Jag har min på min nyckelknippa och det, ja, det har liksom aldrig varit ett problem så. Men ja, om jag skulle tappa den när jag är ute och reser. Alltså, om jag är hemma får jag förhoppningsvis ha en backup, det var vi lite inne på. Det bör man Jag tror vi pratade om tidigare avsnitt att liksom för att det här ska vara ett rimligt alternativ. Du måste ha två stycken. Det finns liksom inte en annan värld eller ett jobb. det, då kan man ju faktiskt, alltså då kan man sköta det där helt själv. Om jag tappar min Yubikey så kan jag använda den andra för att komma in i mitt konto. Jag kan avregistrera den första, jag kan skaffa en ny nyckel så kan jag ansluta den också. Det går ju oftast att, Även om du bara skulle ha en och den försvinner så kan du ju ha andra typer av sätt att autenticera dig på eller så finns det något sådant här recovery-flöde. För hoppningsvis kanske det finns sådana här engångskoder som man kan skriva ut, som man har i någon låda hemma någonstans. Det går också kanske att ha en annan typ av inloggning. Som förvisso är mindre säker, men jag tänker till exempel en sån där Authenticator-app med engångskoder som genererar liksom nyvaror var trettionde sekund. Och det är ju, nu är jag lite jävla sadokal, det är ju jättebra. Men det gör ju att ditt konto helt plötsligt har två engångskällor. Eller tre, eller Ja, ja men exakt. Så jag tycker ju inte det är jättebra. Men, alltså jag skulle säga att det största problemet med en sån inloggning är att den inte skyddar mot phishing, vilket Paskis faktiskt gör. Och, men då tänker jag ändå att okej, men om jag bara använder den här, så är det ju inte så bra. engångskoderna i liksom nödfall om jag tappar bort min Yubikey. Det här är i princip min backup. Då tror jag ändå att det är inte lika troligt att jag blir lurad för phishing för att Det kommer vara en sån konstig grej att plötsligt ska jag ange en sån här engångskod, men vänta, den använder jag ju aldrig, att man kanske tänker till en gång till. Så jag tror inte det är riktigt att använda såna engångskoder mest för recovery-syfte. Ja, jag tror att det är ganska okej, även om det är klart, det är ännu bättre med en till Yubikey. För det är väl ändå någonting jag har tänkt att det är lite skillnad att använda en Yubikey som privatperson. Kontra om man använder sitt företags-jag. För har du ditt företags-jag så har du antagligen en it-avdelning eller någonting som kan ge dig en ny nyckel. Som är en kopia och så kommer du fortfarande åt alla dina företagskonton och liknande. Är du, har du det själv så måste du ha koll på grejerna. Och då blir det ju en annan, ett annat jobb att ha det i, den kollen. Jag tror att det, det är min personliga åsikt att det är liksom lite den här instegs- biten om man ska ha det privat. I alla fall för min del. Ja, men det kan jag nog hålla med om att, ja, företaget kan ju alltid kontakta någon säkert och det är lite svårare att ringa till Apple och säga hej mitt, jag har tappat bort mina kontopgifter, kan du hjälpa mig komma in? Ja, ehm, Jag håller väl med om det, det är lite rörigt att du måste mer hålla koll på, varje sajt blir också en egen instans som du måste kunna ha ett vettigt recovery-flöde för, medans företaget är ett företag som du jobbar på, så att de kan se till att du kommer åt alla systemen genom en centraliserad tjänst antagligen. mm. Alltså jag använder den, YubiKey privat till allt jag kan använda den till. Jag är väl lite av en power user i det avsnittet, kanske. Men, ja, jag tycker det funkar rätt bra så. Jag upplever inte att det har varit så mycket jobbigt. Om jag är ute och reser, om jag måste jobba, så måste jag definitivt ha med mig min YubiKey. För där har jag saker som, alltså, där varje access kräver YubiKey. Mitt. Mitt Google-konto är också låst med en YubiKey, men det är ju egentligen, alltså på mobilen så behöver ju bara det, egentligen när jag skaffar en ny mobil och ska logga in för första gången, så jag behöver liksom visa att den här mobilen ska vara betrodd, och det är verkligen ja, och det kan jag bevisa genom en YubiKey. Sen är ju då mobilen betrodd tills jag, Ja, ska byta mobil eller måste, får vi återställa den eller någonting, så att det är ingenting jag måste ha varje dag för att jag måste kolla min mail, så. Det är för det har man en annan biometrisk upplossning som är tillräcklig liksom. ja precis, då har du något som du låser upp mobilen med bara. Andreas, vill Du var inne och njossade för någonting som jag ändå vill dyka tillbaka till. Jag tror det har nämnts förr, men återigen. Du är phishing säker om du använder Perskis eller Yubikeez. För du kan inte bli phishad. Ja, vi säger phishing resistant, vi säger inte att den liksom, alltså ingenting är ju hundraprocentigt, du får skydd mot phishing. Grejen med, alltså, phishing är ju det absolut största hotet mot, ja, i stort sett inte bara individer. Alltså, det är så man tar sig in i folks konton, det är via phishing. Man blir lurad att smata in sitt, eh... Ambenamn och lösnord på en sajt som visar sig inte vara den man trodde var. Och folk tänker att, nej men fan, jag går inte på sånt där. Jag kommer inte att bli lurad. Men man blir det. Alltså det är, att ha, man kan liksom inte ha säkerhet som bygger på att du får aldrig någonsin göra fel. Utan man måste bygga bort det där så det inte går. Och PASKIN är kryptografiskt låst till en viss domän, så att den går bara att använda, om jag har registrerat en passkey för att logga in på google.com, då är det den domän jag kan logga in med den passkeyn på. Så på så vis ger det ett skydd mot phishing. Det här kräver lite mer komplexitet i att webbläsaren måste liksom vara med och vara en betrodd del av processen, för Yubikeen vet inte vilken sajt du är inne på. Om sajten kan ljuga om vilken sajt det är, ja då kan den kanske lura dig att använda passkey på fel sajt där det kan skickas vidare via någon man in the middle som faktiskt, ja, gör att han kommer in på ditt konto. Men, så länge liksom, så länge datorn och webbläsaren är betrodd, så länge du inte har massa malware där, så, Så kan du i princip vara säker på att när du stoppar in en nyckel här och loggar in så kommer den användas för den sajten du faktiskt tror att det är. Du hade ju varit körd om du hade haft lösenord i det enda signalet också. Ja, precis. Men så här är det. Har du. Har du malware på datorn så kan du inte lita på det du ser på skärmen. Du kan inte lita på det du matar in. All bets are off, det är kört. Du kanske tror att du loggar in på banken och skickar hundra kronor till person X. Men datorn med malware gör att du skickar tusen kronor till person Y istället. Det går inte att skydda sig där. Om du använder en dator där malware har kontroll, ja, då är du körd. Tyvärr. Det pratas mycket om såhär för- och nackdelar och sådär liksom, men Finns det någon risk som, med passkeys som inte finns med lösenord? Eller är det bara bättre? Hehe. alltså i princip skulle jag säga att det bara är bättre på nästan, ja men i stort sett alla sätt. Visst, lösenord, ja, du kan inte tappa ett lösenord på samma sätt som du kan tappa en djupgrej, men det där är som sagt, det löser du med backupper och andra liksom recoveryflöden. skulle säga. Möjligtvis en fördel med Lösnord är om du jobbar med väldigt liksom gamla system som inte har stöd för passkeys. Du måste ändå på något vis koppla en Yubikey eller liksom VMU kvar eller någonting liksom. Någonting måste hugga in och kunna göra det här i din dator. Och har du någon jättegammal legacy-system men där det inte går att stödja de här grejerna så ja, då kanske du inte kan använda passkeys. Men i stort sett skulle jag säga att det bara är. fördelar. Finns det några myter kring lösenordsfri inloggning som man stöter på? Eller som du skulle vilja slå hål på? Textning.nu Alltså jag tror att folk tror att det är krångligare än vad det Nu är det så att passkeys och lösnordfri det är ju en typ av alltså det stora problemet ur ett säkerhetsperspektiv är ju att bara lösnord är dåligt. Innan passkeys kom så handlade det mycket om att du skulle ha tvåstegs verifiering, att du ska ha, du har ett lösnord plus någonting annat, någonting som faktiskt är starkt i skillnad från ett dåligt lösnord. Och Det är klart att då blir det liksom, då blir det fler steg. Då blir det såhär, ja du mottar in användarlösenord som du gjorde innan, sen ska du ta fram en app som genererar en engångskod, eller du ska ha den här fyska nyckeln, eller du ska ha något smartcard. Alltså, det är klart att det blir mer krångel när man bara lägger till någonting. Passkeys byter ju ändå ut lösenord mot någonting annat, och då har man ju en chans här i alla fall att faktiskt göra det. underlätta hela processen. Och i de, de studier som vi ser, som har gjorts, jag vet att Google gjorde en ganska stor sådan studie på sin egna, sin egna personal, tror jag, alla fick, liksom, jupikeys och använde det. Och de såg ju att, Folk tyckte det var lättare att logga in med det här. Då var det jämfört med att ha andra nösnord och någonting annat. Jag tror de hade en app med engångskoder. För när du inte måste mata in, det finns alltid en risk att du matar in fel nösnord. Det tar längre tid när du måste göra allt det där. Och blir du av med det där och slipper en extra app för engångsnösnord. Då kan passkeyupplevelsen faktiskt bli väldigt smidig. Du kan liksom inte göra fel så mycket. Du ska bara välja. Ska du använda den här eller inte? Sen har du ju ofta en, någon form av skydd på din YubiKey för man vill ju också, ja, om jag nu tappar min YubiKey och någon hittar den så vill jag att den personen pluggar in den i datorn och kommer åt alla mina konton bara sådär. Så då är det ju lite samma sak som du har med ett bankkort eller någonting. Du har en PIN-kod. Om att då det är en fel PIN-kod för många gånger i rad utan rätt, ja, då låser sig nyckeln. Så att... Du har det, men det är ändå, det är ganska stor skillnad på en PIN-kod och ett lösnord. För du behöver bara ha en PIN-kod, ja, per enhet då, men du har ju liksom, du har kanske en eller två Yubikeys och det gör nog ingenting om du kör samma PIN-kod på Um, medans, ja, lösnordsfallet så måste du ha en per site. Och du, en PIN-kod behöver inte vara lång och komplicerad på samma sätt heller, i och med att du blir utelåst efter några få felaktiga försök. finns också jupikeys med fingeravtrycksläsare så att du kan ha den aspekten också om du tycker det är smidigare. det var det jag ville komma till, för jag har för mig att jag har sett Jurekiss med fingeravtrycksläsare, men är den vanlig i den setupen? Alltså den, den är rätt populär ja men det är många som, den var väldigt efterfrågad i alla fall innan vi gjorde den. Sen, ja, jag tror att den, den säger det nog ganska bra också. Jag har inga försäljningssiffror och så, men, Vi, Alltså, den har ju även en PIN-kod, liksom som en fallback, för så är det lite grann, så är det ju med din mobil också, att ja, ibland funkar inte den där fingeravtrycksavläsningen, du kanske har, ja, blöta händer eller du har skadat tummen eller någonting. Alltså, det finns många sätt när, ja, tillfällen då den inte funkar. Så du måste alltid ha en PIN-kod som en fallback. Och vi ser definitivt fingeravtrycks- Autenticeringen, eller biometrisk autenticering över lag skulle jag säga, som det är en convenience-grej. Det är inte att du får någonting som är säkrare än, liksom, PIN-koder att lösa, utan det är smidigare att använda. För vi vet också att, ja, det går att fejka fingeravtryck, det är inte super- Det varierar såklart mellan olika fingertrycksläsare, men det är det här man ser i Mission Impossible, typ man sätter en, jag vet inte, tejpbit på ett glas och tar någon gummigjutning och så. Alltså, det är inte särskilt komplicerat och dyrt att göra det. Ehm, Men gör folk det? För rätt person och rätt tillfälle, Rätt person, rätt tillfälle. Och det är mycket det här handlar om. Vad är mest säkert för dig? Eller vad är det du vill skydda dig emot? Och det är också det som gör att jag brinner så starkt för Yubikeys. Att för mig, och typ alla jag känner, Vi, liksom, behöver inte oroas för att det kommer agenter och snore fysiska saker från oss eller binder fast oss och tvingar oss att uppge lösningar. Utan det är ju någon som sitter i ett annat land som hackar min dator så kommer åt mina grejer, eller kommer åt mina konton och liksom snor, tömmer mitt bankkonto på pengar. Så, ja, så länge jag har en fysisk nyckel så är jag ju helt skyddad mot sådana typer av attacker. Det finns absolut lägen där fingeravtrycksinloggningen är mer säker. Om jag loggar in på någonting på min mobil på tunnelbanan, då kanske det är bättre att jag använder fingeravtryck än att ta in en PIN-kod, för jag är liksom omgiven av folk som kan se den där PIN-koden. Så man får liksom tänka sig lite, hur ska jag faktiskt använda det här, och vad jag rädd ska faktiskt hända. Intressant. Okej, men nu har vi, vi har pratat fram och tillbaka flera gånger här nu och, Som du säger, det är lite den här myten om att det känns som att det är svårare än vad det kanske egentligen är. Men vad tror du är liksom nyckeln för att den breda massan ska börja använda, eller släppa det här lösnådstänket och börja omfatta de lösnådsfria lösningarna, som till exempel en YubiKey? Ja, jag tror att det kommer med tiden. Det där är liksom, det är en process, det tar tid. Det finns liksom ingen snabb, så nu blir det löst. Men kollar man på till exempel en mobilbank-ID, det är ju en lösnomsfri inloggning. Du har... På många sätt så funkar det liknande som med Passkey, så att du ska logga in i någonting, du måste låsa upp själva den här appen som har din credential, antingen via fingertryck eller med en PIN-kod, som liksom autenticerar det lokalt och sen görs någonting Jag menar, om mobilt bank-ID, Det har ju ändå slagit igenom väldigt bra, mycket på grund av att det är så mycket som kräver att du använder det, så du har liksom inget val som men jag tror att idag, alltså, efter att det fick acceptans, när folk insåg att jag måste ha ett mobilt bank-ID för att komma åt min bank eller för att komma åt skatteverket eller försäkringskassan, så blev det liksom mer vanligt med att Andra typer av tjänster där jag kan välja att logga in med en mobilt bank-ID där jag kanske inte måste ha det. Det blir liksom valfritt istället för att måste. Och då väljer man kanske det för att ja, det är väl ganska smidigt. Så att, ja, man måste ensam tvinga folk att utställas för det lite grann för att de ska inse att ja, det var inte mer krångligt än så. Så jag hoppas ju på att mer, att passkeys börjar användas mer, på banker och sådana typer av tjänster där du måste ha någon typ av extra säker inloggning. Tittar man på vanliga mejltjänster och sådant, då är det ju default är använda de lösenord och sen kan du lägga till någonting oftast som gör det mer säkert. Och ja, lägger du till någonting till en befintlig lösning så adderar du alltid lite mer komplexitet hur slimma den här lösningen ens är. Så om fler sajter börjar vara mer. Past key first, att de börjar liksom i den änden, och så styr folk mot det mer så tror jag att det kommer så småningom släppa. Finns det situationer där liksom en hårdvarunyckel inte är det bästa alternativet? Mm, bra fråga. Alltså, jag tänker ändå att om jag ska övertyga släkt och vänner och folk som inte är dataintresserade så. Alltså det är svårt med en hårdvarunyckel. Alltså att göra det argumentet. Eh, här den här grejen, tappa inte bort den. Du måste blippa den mot din telefon. Alltså redan där har jag tappat dem. Jag tror att mjukvarupasskeys är ju fortfarande mycket, mycket bättre än användaren av lösenord. Eller, ja, många andra, Tvåfaktor lösningar också. Så, liksom, som en inkörsport, absolut. många tycker att det är smidigare att ha det i mobilen. Särskilt när det är liksom helt integrerat som det nu börjar bli. Jag tror både i Android och IOS. mm, Du behöver inte ens installera någonting. separat. Det bara finns där. Det kommer upp en del logg som frågar dig om du vill skapa en passkey för den här sajten. Det blir väldigt enkelt att använda då. Men, då skulle jag istället slå ett slag för okej, då skapar du passkeys i ditt Google-konto eller i ditt iCloud-konto. Men hur låser du ner accessen till det kontot? Alltså, om någon kommer åt ditt Google, du har alla ägg i en korg, vilket, ja, många skulle säga att det är dåligt, men det kanske inte måste vara dåligt om det är en riktigt, riktigt bra korg, va? Men då vill du verkligen säkra den korgen, och du kan ju inte låsa upp ditt Google-konto med en passkey som ligger i ditt Google-konto heller. Så där tycker jag ändå att, ha en hårdvarunyckel för det i alla fall, så kan du ha den i en låda sen. Det är ju mitt stora problem. Att så här, komma åt min mail. Ja, men det är sommar 1, 2, 3 liksom. Ja. Alltså det, sen är det ju det är jättebra, men jag provar det direkt. För den Nej men, det är liksom, har har letat efter i flera år. Nej men har jag det, eller som kanske många redan har, ett väldigt enkelt lösenord så har man en mailedress man alla kan få tag på, hur enkelt som helst. För det är det som är ditt inlåningsuppgift på många ställen. Eller till exempel ditt iCloud, eller till exempel ditt Google-konto. Då är det ju kört. Och har du inte ett säkert lösenord där, som de flesta inte har, de har ett lösenord de kommer ihåg, som de också måste återanvända på alla andra ställen. Då är det ju ganska kört. Så det är ju det starkaste argumentet jag säger också till folk. Alltså, om du ska ha någonting, ha ett säkert lösnord, du inte har alla lösnord. För att de flesta, jag fick ju alltid slå ett slag för lösnord som hanterar, om inte annat. För att, förhållningskammer det. Men nu när det finns inbyggt, både i Google Android-världen, det finns inbyggt i olika webbläsare. I viss mån. Sen kan man till och med få till en webbläsare, spara ner och spara grejer där. Det är en annan grej. Men i iCloud finns det ju, och där tycker jag personligen, jag älskar ju Apple och Mac. ju väldigt bra. Men de flesta har ju väldigt enkelt sätt att komma åt det. Och då är det ju kört. Så det spelar ingen roll om man har det där. Det är ju där jag skulle vilja ha en fysisk nyckel. Då kan jag låsa ner det. Bra. Då kan den ligga någonstans. Jag kan ha med mig den, men det kommer bara åt detta. Sen kan jag, för min egna simpla del, kanske ha min lösningshanterare som jag kommer åt alla andra lösningar till. Vad var det mm, jag håller helt med och jag tror att, asså, det jag ofta hör från folk som inte är så vilja att aktivera passkris eller någon annan två-stegs-verifikation är liksom att, ah, det är ingen som kommer hacka mig eller om de gör det, jag har ingenting intressant liksom, det är, åh nej jag blir av vid någon mail, jag har ingenting där, jag är knappt aktiv på Facebook, jag är, asså Jag tror folk, folk inser inte vidden av den skada som folk kan åstadkomma med access till dina konton. Och att, ja, det är inte bara din mejl. Alla andra konton du har i princip går att återställa via den mejlen. Så kommer du åt din mejl, då kommer de åt alla dina andra konton också. Och ja, du kanske inte använder Facebook jättemycket, men någon kan utge sig för att vara dig. De kan börja lura din mormor, alltså dina släktingar, så vi ser det här hända gång på gång. Folk förstår inte. hur viktiga deras digitala identiteter är. De tänker, eh, jag har lite semesterfoton och, ja, oviktiga saker. Jag vill också hävda att det är samma person som har sommar123 på alla sina konton. Så att även om de kommer åt mailen så är det samma mail och ett lösenord på alla ställen dessutom. Ja, möjligt. Så då, ja, du kan absolut återställa alla lösenord via den mailen. Så att du har en... Du har en poäng där. men alltså, jag är ju liksom, Jag försöker alltid slå ett slag för att folk ska ha olika lösningar och grejer. Men det är svårt att få folk att förstå hur viktigt detta är. Jag repeterar de grejerna du säger nu också. Men det är jättesvårt att få folk att förstå hur viktigt det är. Och jag har ju suttit med folk där man liksom säger sitt lösenord rakt ut till mig. Jag bara, men det är det här jag har. Ja, men nu har du det på flera ställen. Ja, okej. Alltså nu litar jag på dig, jag kommer inte göra nånting åt detta liksom. Men byt nu, fort som tusan liksom. Nu är det en person för mycket som kan ditt lösenord när jag kan det. håller helt med, och det är, jag håller också helt med, det är jättesvårt att övertyga folk om det här? Ska vi just på lite framtidsspaningar? ja, men jag har en sista fråga som jag kom på nu när jag pratade om grejer. Om man i teorin skulle vilja att någon annan ska komma åt ens konto. Säger jag att jag har något konto så vill jag att någon ska komma åt det exemplet som jag kom på nu. Jag och typ min sambo delar på ett Netflix-konto, och jag vill att de ska komma åt det kontot. Kan man på något, och jag har låst, nu vet jag inte hur det funkar på de här styrningssajterna, för det är väl de vanligaste grejerna man delar med flera människor. Kan man då ge non-access vid en passkey? Eller måste de ha en, i så fall, en YubiKey? Eller hur funkar det, vet du det? Alltså, du kan nog inte, det är klart, tekniskt möjligt är ju väl allt, men jag skulle säga att låna ut en passkey så funkar inte på ett bra sätt. Kan man knyta flera passkeys till ett Precis, det var det jag tänkte komma till, att i så fall, om du vet på förhand att det är ni två som kommer att använda kontot, registrera två passkeys så att ni har varsin passkey. jubikey med passkeys på, men jag kommer också tänka på att det här är ju faktiskt ett tillfälle då lösnård kanske också i viss mån är smidigare, det är ju när du ska logga in på typ en smart-tv eller någonting, det är typiskt på en enhet som du kanske inte bara kan stoppa in en jubikey i och logga in i. Å andra sidan så löser de det ibland på ett ganska bra sätt genom att, ja, du är inloggad på mobilen i. den appen och sen så får du bara någon sån där pairing-kod eller någonting. Ja, QR-kod är den bättre. Så det är väl det som är den bra lösningen, men om man inte har implementerat något sånt, ja då blir det kanske Men om man har USB-utgång på sin tv, bör det funka? bökigt. Det beror väldigt mycket på hur, hur tvn funkar. det. Någonting Android-baserat skulle ju, alltså det skulle inte bli jätteförvånande om det faktiskt fungerade, för då kör de ju ändå det här oavsett. Men... Exakt. Något som är mer gjort för smart-tv har antagligen inte stöd för passkeys, tyvärr. nej, rackars! Det hade ju ändå varit snyggt att ha en, uh, YubiKey som bara sitter i tvn och loggar in på allting. Jag har ju loggat in på min Steam-deck med min YubiKey, i alla fall. Ah, så det ja, det är ju Linux, det är ju ett operativt system, är Linux, såklart. det är inte så konstigt. Mm. Om vi ska lämna YubiKeys och PassKeys lite grann och gå över till lite framtidsspaningar och tips. Så, vad tror du då är de största trenderna inom cybersäkerhet just nu som man borde ha koll på? Ja, jag tror ju, det låter väl kanske tråkigt eller väntat, men AI-trenden här, alltså AI blir bättre och bättre och förut var det så att du inte kunde lita på det du läste på internet, men nu kan du inte lita på det du ser eller hör heller. Jag pratade om att phishing var liksom det största hotet. Det här, AI, möjliggör ju phishing som är på en helt annan nivå. Ni blir säkert, som jag, uppringda ibland av, ja, något telefonnummer man inte känner igen. Man tänker, ja, det kanske är viktigt och så svarar man och så är det någon jätteuppenbar scam. Det är någon som ringer och pratar knagglig engelska och försöker säga något som låter helt befängt. Och så tänker man, ja, det där kommer jag aldrig gå på. Men med AI så... Plötsligt så kanske det är Perfekt Svenska och någon som låter väldigt trovärdig och alltså de här attackerna blir så mycket bättre med AI så att jag tror verkligen att det kommer bara växa, Det gör ju också att deras kapacitet går upp något enormt istället för att behöva ha människor som ringer upp folk en efter en för att försöka lura oss. Så ja, en dator som gör det. Det går att skala mycket lättare. Det här har nog operatörerna ett litet projekt för att försöka skynda oss mot dem. I den mån man kan. Ja, precis. Det går ju att göra saker och sätta in vissa typer av skydd där. Men ja, det kommer verkligen vara en katt och råtta lek i många år framöver, Jag har en supernördig fråga. Vad har ni för, liksom, kryptering? Är det nånting man kan förstå för den, liksom, så här? dum person som mig då. Är det någonting man kan förstå eller är det liksom bara så här, det, det, svårkryptering så gör jag jättebra. Hehehe. är ju, själva kryptot så är ju väldigt standardiserat och inte jätte nytt och modern. Vi tittar på nytt och modern också men i den här branschen så vill man inte köra på för mycket nytt och modern. Man vill ha gammalt, beprövat som man vet fungerar. Så mest det vi håller på med är, jag nämnde det förut, asymmetrisk kryptering. Tack för mig. Och det kanske tål att förklara vad det är för någonting också i och för sig. skillnaderna då på det och det mer, ja men det enkla är symmetrisk krypto. Där har du liksom en hemlig krypteringsnyckel som du kan kryptera data med. Du tar ett medlande, du använder den här nyckeln och en sån här algoritm och så får du ut någonting som inte går att läsa. Och så motparten då, mottagaren, använder samma nyckel, samma algoritmer fast baklänges och så får de ut meddelandet igen. Och så länge ingen har den där hemliga nyckeln förutom du och mottagaren så är det säkert. I asymmetriskt krypto, då har du två stycken, då har du en nyckeluppsättning med två nycklar. En är en publik nyckel och en är en privat nyckel. Och istället för att du måste veta att mottagaren ska ha Samma hemlighet som ni då har kommit överens om gemensamt nån gång. För då har jag lite av ett bootstrapping-problem där, att okej, jag vill skicka nånting till dig. Hur ska jag skicka den hemliga nyckeln till dig först? Det går nästan inte att lösa utan att vi fysiskt möts, liksom i nån mörk gränd nånstans, och jag skriver på en lapp och ger till Måste det alltid vara en mörk dig. Ah, jag tror att det är en stor del av det hela, det måste vara en mörk gränd. måste... Det, annars funkar inte krypteringen. Men med då asymmetrisk krypto, då har jag min privata nyckel som bara jag behöver veta. Och sen om du vill skicka ett medel till mig, då behöver du bara veta min publika nyckel. Och den kan vem som helst få veta, det finns ingenting hemligt där. Och det är det som gör också att liksom vid authentisering med sånt där krypto så lagrar inte serversidan någonting känsligt. Det är en sån där publik nyckel. Så att det går liksom inte att göra någonting med den, mer att verifiera saker. Så då kan du använda min. publika nyckel för att kryptera någonting. Och sen kan ingen, inte ens du själv, dekryptera den. Du vet vad medelnät är för vad du som krypterade det, men ändå, om du inte visste det, så det finns inget sätt för dig att liksom gå tillbaks. Utan den enda som kan dekryptera det, det är jag med min privata nyckel. Och det här låter som magi, tycker jag. Liksom, hur kan det där fungera? Jag kan ändå förstå att, okej, du har, alltså symmetrisk krypto, du blandar det på ett visst sätt, och om någon annan blandar på samma sätt för att baklängas så får du tillbaks liksom det ursprungliga. Men hur kan du ha? Två helt olika grejer där liksom en gör åt ena hållet och den andra gör åt andra hållet och så går det inte att knäcka, ja. Men det finns, den, de två algoritmer som vi använder mest är RSA och det finns lite fler algoritmer kring elliptiska kurvor men man brukar kalla det bara för RSA. elliptisk kurv kryptografi. Och ja, de funkar på, det är olika matte, men båda gör lite förenklat ungefär samma sak. Och då kan man plugga in de här komponenterna i de här protokollen som PASCIS i och med att man bygger de här mer högnivåprotokollen på ett sådant sätt att, okej, vi behöver en byggsten som funkar på det här sättet. Det kan vara RSA, det kan vara elliptiska kurvor. Tack för mig, det var jättebra! Då kan det också vara någonting annat som vi inte har än. Och då kommer vi in lite grann på kvantdatorer, som också är ett intressant ämne som jag råkar veta att ni har en del frågor Vad roligt att du kommer in på det, för här var det gärna upp för nu. För jag tänkte nämligen fråga lite om det. Så jag snor dig lite innan du får svara. För jag har själv liksom gjort lite småforskning på detta på väldigt grundläggande nivå skulle jag säga nu. Men att just nu mycket kryptering görs med 2.56 AS-kryptering är någonting som används för att låsa in bland annat lösenordens valv och liknande. Och att man kollar just nu på att uppgradera det halvsnarframtid till 5.12 AS tror jag det är. Och att man behövde, om det var, ta mig till siffrorna nu om det är ett, det är ett, 16 000 kubits för att knäcka 256 AS i kryptering och de krypteringskvantatorerna som fanns innan var uppe på om det var 300 kubits med den nya Microsoft kvantatorn, den lilla snygga Sorana eller Majorana eller någonting av det. 1000 kubits så att exponentiellt så kommer detta öka rätt snabbt nu tror man. Och det kommer då potentiellt kunna vara ett hot för akcepteringarna. Det här är basic-nivån som jag förstår. Är detta sanning? Inte sanning? Funkar det? Du, vad var din tanke på detta? Det här var min tanke som jag ville få in till dig. frågan lite grann. Kommer kvantator innebära förändring och utmaningar för hur ni är här. Ja, nej men, okej, innan jag svarar vill jag bara säga att jag är absolut ingen expert på kvantdatorer eller de hoten, jag har inte ens särskilt inläst på dem, så att det jag säger, det kan finnas felaktigheter, men det jag Välkommen till klubben. Det är att, ja, det låter lite bekant att det finns någon sorts kvantdatorattack på AES, men generellt sett, AES är ett symmetrisk krypto, och framförallt så är det asymmetriska algoritmer som är sårbara för kvantdatorer. Jaha. Mm. Så det är liksom, det är RSA och elitiska kurvor som bygger på då problem som där man vet, man vet, man har algoritmer som a, har man en tillräckligt stor kvantdator som skulle kunna köra den här, då skulle man kunna knäcka den här nyckeln ganska snabbt. Så det är ungefär det jag vet, sen har man sagt i, jag vet inte hur många årtionden nu, att kvantitor håller på att bli mycket snabbare och snart kommer vi kunna knäcka Jag tror inte att det är jättebråttom och jag tror inte att det kommer bara öka, Från en dag till en annan, så plötsligt, oj, nu gick allting sönder. Utan, ja, det kommer vara en gradvis förbättring. Jag tror att, under tider av mycket hype så kommer det komma rapporter om att oj, nu har någon gjort ett genomslag, och så granskar man det där lite mer och så ser man att, okej, fast De trodde det skulle växa med den här hastigheten och när vi har granskat så ser vi att det är orimligt på grund av C och så. Så jag är inte jätterädd. Men ja, absolut, givet tillräckligt mycket tid så kommer de här kvantitorerna bli bättre och det kommer försvaga de här algoritmerna som vi använder idag. till slut till den grad där de inte bör användas Lösningen på det är som med allt annat gammalt krypto, jag sa att man vill gärna använda det prövade krypton som funkar, men det som också ofta händer är att man hittar svagheter i krypton. vissa kryptografiska algoritmer och det är samma sak där, det är inte så att de bara går sönder under en natt utan ja, de försvagas lite grann man pratar om hur många bitars säkerhet man tror att en viss algoritm har och så tror man, ja men 128 bitar det är liksom det är med god marginal jättesäkert och så kommer man på att okej, men den här algoritmen gav inte riktigt 128 bitar utan det är nog snarare 120 bitar och sen så kommer man på en till attack och så blir det, ah okej det kanske bara var 100 bitar och så liksom gradvis försvagas när det kommer till authentisering så ska jag säga att då är det inte alls särskilt bråttom för den, det räcker med att man väntar tills den dagen då det är praktiskt möjligt att knäcka nycklar. Alltså då kan man byta till säkrare nycklar. För du kan inte göra någonting med en gammal nyckel. engångssignatur, den är förbrukad. Om du krypterar medelanden, om du har en massa hemlig data som är krypterat, och det måste vara krypterat under många, många år, tionden framåt, då behöver du nog vara mer orolig. För då liksom Ja, om det knäcks imorgon, det kommer det nog inte göra, det skulle vara hemskt, men om det knäcks om 30 år så är det fortfarande hemskt, så ja, då behöver det vara mer på din säkra sida. Men, ja, det finns algoritmer som bygger på en annan typ av matte som då man tror faktiskt är hemskt. Det kallas för, vad heter det, post-quantum cryptography, det är liksom algoritmer som använder matte som man inte tror är så känslig för kvantdatorer. Och då håller man nu på att standardisera de algoritmerna, man har en tävling i princip, man tar fram massa olika förslag, man låter forskare från hela världen, titta på de här, analysera dem, försöka bara ha sönder dem och se vad det finns för svagheter. Och sen så, ja, så hittar man, okej, nämen den här funkar inte på grund av det där, och den här funkar inte på grund av det där. Och så liksom, ja, nöter man ner det där till en eller några algoritmer som man tror att, ja, det här känns faktiskt säkert. Sen börjar man standardisera, okej, men... Så här ser matten ut, men hur ska vi faktiskt använda det här i en dator? Hur kan vi göra så att det är tillräckligt snabbt att använda med den hårdvara vi har? Fortfarande tillräckligt säkert? Kan vi ändra vilka parametrar behöver vi använda oss av? Hur ska vi serialisera medlanden? Så, ja, det finns liksom lösningar på det här problemet. slipas lite på. Och det är sånt, sånt tittar vi absolut på och tittar på och följer det här. Vi vill liksom inte vara för snabba och säga, ah, men nu finns det tre kandidater. Vi satsar på att göra alla tre för det är dyrt att ta upp massa tid. Men när det finns en kandidat och man är ganska säker på att den här ska vi standardisera, då kanske det är mer riktigt att börja kika på, hur gör vi den på liten hårdvara som inte drar så mycket el och så vidare. Smart. Ganska rimligt ändå. Ja, nej men, jag tycker det. coolt Verkligen. Vad är det, i din mening, vad är det vanligaste missöget privatpersoner gör när det gäller säkerhet online? Ja, det var nog det jag nämnde innan, det här med att underskatta hur viktigt det faktiskt är att tro att, amen, min mail är inte intressant, mitt Facebook-konto, jag har ingenting där, det gör ingenting om jag blir hackad, för det gör det, så att, um, var mer rädd om din digitala identitet, det är det rådet jag skulle, eller ja, det är väl det jag misstagat att inte vara det då, om jag är rädd. Har du några tips till dem som vill göra en karriär inom teknik och cybersäkerhet? För jag tänker att många som lyssnar blir inspirerade av detta och kanske vill göra det också. Ja, nej men, jag kan bara säga det som funkar för min egen del, och Kanske svårt, kanske inte ett bra råd att ge någon, men Eller såhär, satsa på det av rätt anledning, vad intresserad av det du ska jobba med. Jag tror att, för mig, mitt brinnande intresse av det här är det som har gjort att jag har lyckats bra. Jag tittade aldrig på det här och tänkte såhär ah, det där är en lukrativ marknad. Här ska jag liksom få en hög lön så därför ska jag satsa på det här. Utan, det här var spännande och det här var någonting som jag märkte att jag ville plugga på fritiden. Jag ville läsa om det här. Jag kunde dyka ner i alla möjliga sådana här rabbit holes om hur det här funkar. Jag vill veta hur det här funkar. Det är en bra grund för vad som helst skulle Sen är det klart, ja, en utbildning som matchar det man ska hålla på med är väl jättebra. man måste liksom inte ha pluggat exakt det man ska göra utan man kan väga upp för det på många andra sätt. Så håll sig uppdaterad och bara sluta aldrig lära dig. Lifelong learning. Klyssor? Mm. Sista frågan. Om du fick ge ett enda råd vad det gäller säkerhet till gemene man, vad skulle det vara? Ja, men i och med att gemene man fortfarande använder lösnord till allting i princip och har sommar 1,2,3 till allt så skulle jag nog säga att använda en lösnordshanterare för, ja, det är ändå, det är inte så svårt att göra. Det är ganska lätt även för gemene man och jag tror att du ganska snabbt kommer märka att det är ganska skönt att inte behöva komma ihåg. Ja, har du ett lösområde överallt så är det väl inte svårt det heller. Men om du kanske har tänkt att, ja men jag vill försöka, så jag har olika siffror beroende på vilken sajt det är, eller här är ett utrådstecken, här är inte det. Bara att komma ihåg de grejerna är ju svårt. Och det ökar ju inte din säkerhet så mycket heller. Så, lösområdehanterare är ett stort lyft för gemene man. Tack så mycket, Dane. finns det någonting du vill plugga i när vi avslutar? är där du kan köpa alla dina Yubikeys. Kom ihåg att ha extra i backup. Ge bort till släkt och vänner när julen kommer innan du vet ordet av det. Ja, nej, det är väl typ det. Perfekt för julstrumpan så. En yubi-key. Ehh, hur kommer man i kontakt med dig lättast? Åh, jag är inte jätteaktiv på de sociala medierna. Jag är är mest aktiv på GitHub faktiskt. Du kan hitta mig, Deine Nilsson där. Det är nog det lättaste sättet att komma i kontakt med mig, tror jag. Alright. Min skyld, skicka mig en länk i avsnittsbeskrivningen också. Om man vill korrigera någonting som vi har haft fel om, sagt någonting som inte stämmer eller om du bara vill tipsa om framtida ämnen eller resten så kan du vara med där till kaktekatgmail.com eller skriva till oss på valfri social media, vi är mest aktiva på Instagram och TikTok. Glöm inte att prenumerera på podden för att inte missa framtida ämnen. Ja, avsnitt helt enkelt. Och betygssätt oss gärna. Det gör att fler hittar på den, och ju fler som lyssnar desto bättre show kan vi göra. Det är ganska enkel sån här sociala mediematematik nu för tiden tror jag att vi kallar det för. Vill man sätta på den så gör man det via buymeacoffee.com slash kaktek genom en donation eller genom att använda en av våra Amazon Affiliate länkar genom Att då, eh, har vi refererat det så får vi en liten kickback av Amazon, det kostar er ingenting extra. Jeff Bezos, han har tillräckligt med raketer. Åh, med det sagt så tycker jag att vi avrundar, vill vi lägga till någonting? Tror på att man kan köpa Yubicis på Amazon. Man kan köpa Yubikeys på Amazon, garanterat, och då ger kickback till oss. Perfekt! Alright! Länk i avsnitt beskrivningen. Med en stor fet affiliate. Alright, då säger vi tack dig återigen för att du ville vara med. Och biolyssarna hörs igen om två veckor. så mycket för att jag fick med, det var superkul. Hejdå. Tack själv. Ha det gott. Ha Ja. Ciao.
