Dvoufaktorové přihlášování s passkey / Two-factor authentication using passkeys

Read in English below.

Pro přihlášení do vpsAdminu lze nyní jako druhý faktor využít passkey. Lze použít jak hardwarové tokeny (YubiKey, GoTrust IdemKey, apod.,), tak softwarové klíčenky (KeePassXC, KeePassium, iCloud Keychain, Google Password Manager, Microsoft Windows Hello, 1Password, atp.).

Passkey je možné kombinovat s TOTP, autentizačních zařízení si můžete nastavit více a pro přihlášení pak stačí jedno z nich.

V nastavení profilu ve vpsAdminu přibyla možnost dvoufaktorové ověřování vypnout nebo zapnout:

2fa_status

Dvoufaktorové ověřévání je ale aktivní jen když existuje aspoň jedno TOTP zařízení nebo passkey. Pro nastavení tedy nejdříve přidejte všechny passkeys co chcete používat a až potom si v profilu zapněte dvoufaktorové ověření.

TOTP naopak dvoufaktorové ověřování aktivuje automaticky, neboť číselný kód lze na rozdíl od passkey opsat i z jiného zařízení.

English

It is now possible to use a passkey as a second factor for logging into vpsAdmin. Both hardware tokens (YubiKey, GoTrust IdemKey, etc.) and software-based keychains (KeePassXC, KeePassium, iCloud Keychain, Google Password Manager, Microsoft Windows Hello, 1Password, etc.) can be used.

Passkeys can be combined with TOTP, and you can set up multiple authentication devices—only one is required for login.

A new option to enable or disable two-factor authentication has been added to the profile settings in vpsAdmin:

2fa_status

However, two-factor authentication is only active if at least one TOTP device or passkey exists. Therefore, you should first add all the passkeys you want to use and then enable two-factor authentication in your profile.

TOTP, on the other hand, activates two-factor authentication automatically since a numeric code can be copied from another device, unlike a passkey.

Does this change also allow U2F/ FIDO2 multi-factor mode authentication?

I’m not sure what you’re asking about. If this is about user verification, we use the default value (preferred), so it does ask for verification.

Cau, vyzkouseno a funguje i s bitwardenem.
S YubiKey 5 NFC a chrome widle mi systemovej dialog chce vyrabet nejakej pin, coz jsem nedokoncil, protoze napr do Googlu nebo Dropboxu ho nechtel (ale daval jsem ho tam uz delsi dobu zpet, treba se neco zmenilo…). Nejsem si jistej v cem je rozdil a mozna jsem lama a delam neco blbe… Zkusim na to mrknout jak budu mit chvilku navic a dal bych se vedet pokud nekdo nevi rovnou.

kazdopadne diky
S.

po 24. 2. 2025 v 9:03 odesílatel Jakub Skokan via vpsFree.cz Discourse <discourse@vpsfree.cz> napsal:

Super, dík. Ten PIN je právě user verification, je to tak ve výchozím stavu. Je fakt, že když je to u nás jen jako druhý faktor, tak se mi to nezdá nutné. Už by to PIN vyžadovat nemělo.

jeste jsem to zkusil
na widlich a chrome to furt chce pin, ale asi to bude nejaka specificka certovina, protoze Ubuntu 24.04 a FF jsem yubi klic pridal ok. pote se muzu zapomoci toho sameho yubi klice lognout i z tech widli…

út 25. 2. 2025 v 13:27 odesílatel Jakub Skokan via vpsFree.cz Discourse <discourse@vpsfree.cz> napsal: