Vlákno názorů k článku Nový standard pro přihlašování: nenuťte uživatele měnit hesla od Palo - Biometria je dalsia slepa ulicka. Ako uz vela...

Biometria je dalsia slepa ulicka. Ako uz vela krat ukazali na odtlackoch prstov, tvarach, hlase, ... v modernej dobe nie je problem tieto veci fejknut. Odporucam kombinaciu: nieco viem, nieco mam, napriklad heslo + nieco taketo: https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/
No a samozrejme nejaku formu centralneho prihlasenia OAuth2, CAS, SAML, OpenID ... aby sa uzivatel nemusel 100x prihlasovat a mat 100x nejake heslo.

Biometrie má smyl, může krásně plnit roli "username" uživatele. Jinak kombinace toho že otisk prstu odemkne nějaký certifikát nebo klíč uložený lokálně je mnohem bezpečnější než jakékoliv heslo. Čemu nerozumím já je proč tlačit všechny ty zabugované password managery, prostě tomu nevěřím a přijde mi mnohem lepší mít všechny hesla v nějaké formě na papíře. Ostatně i u bitcoinu spousta lidí ukládá klíče do paper wallet a o žádném zneužití identity tímto způsobem jsem neslyšel

no nevim aky vyznam ma biometria - pokial sa bavime o urovni mobilneho telefonu kde by sa to skor dalo nazvat wannabe biometria, kedze ak existuje/da sa vygenerovat univerzalny odtlacok co odomkne 70% tak je to asi horsie ako heslo123

to by ta citacka musela byt o dost kvalitnejsia a drahsia - cize mobily by sa k tomu nedali pouzit.

jak píše starous, biometrika pouze nahrazuje jméno, tam ti pak nevadí, že 70 % jmén má stejný základ. Teď nemáme technické řešení, jak udělat přihlašování lidské a zároveň super zabezpečené, přihlašování biometrickými údaji vidím také jako nevhodné řešení.

Omyl! nenahrádza meno, ale presne identifikuje tvoju osobu veľmi silným faktorom - v prípade silnej biometrie ako DNA, krvné riečište, dúhovka. Problém je v tom, že tie snímače naozaj stoja viac, je nutné ich časom kalibrovať a hlavne nie sú štandardizované pre efektívne hromadné použitie. Takže čo výrobca to iná a nekompatibilná technológia, čo sa ťažko presadí na trhu pri malej návratnosti. Ďalší problém je v zabezpečení (legislatíva) takto získavaných osobných údajov, ktoré opäť komplikuje riešenie a dvíha cenu takýchto riešení. Zatiaľ...

Centrální uložení hesel někam do čmoudu znamená sice pohodlí, ale
- Někdo zlomí OpenID, má kompletní identitu přinejmenším statisíců jejich zákazníků. Což je špatně.
- Provozovatel takové služby má kompletní přehled o tom, jak často konkrétní osoba používá konkrétní služby a s jakým účtem. Takže ta služba nejenom, že musí být důvěryhodná, ale ještě taková, aby se dalo právně řešit pochybení v ochraně osobních údajů (přeprodej dat reklamkám atd.).
- Riziko, že provozovatel služby A zkusí aplikovat informace, kterýma se přihlašuješ, na konkurenční službu B, C a D a "nafejkovat" tam nějaký bugy typu změny nastavení, mizení informací,...

Takže já jako základ vidím:
- V rámci možností maximálně zabezpečený systém, ze kterýho se uživatel přihlašuje (ne pofiderní remote terminál s aktualizací jednou měsíčně, pokud se povede build)
- Vždycky šifrovat spojení
- Vždycky ověřovat, kam se připojuje (DNSSEC,...)
- Lokální uložení přihlašovacích údajů (klíče,...) ve formě, která dovoluje přístup jenom konkrétní aplikaci, nebo ruční manipulaci s nima. Kompromitováním jednoho systému se tak nekompromituje statisíce účtů na desítkách služeb...

Samozrejme pre firemne ucely nebudem pouzivat externu identifikaciu, musim mat interny servis ktory si strazim. Sifrovanie spojenia, ... vramci internej siete nie je nevyhnutne, DNSSEC taktiez.

A ja samozrejme nic nepisem o password manageroch, to je absolutna hlupost. Dufam ze chapete rozdiel medzi password managerom a OAuth.

Ona taky je biometrie a biometrie. Chce to mit zkusenost s necim jinym nez Touch ID pred vynasenim takovych soudu .) Viz. rozdil mezi snimanim otisku a krevniho reciste.

Ale pořád to je jen určení username nikoli heslo.

Je to určení a ověření identity uživatele, což je to, o co v autentizaci jde, ať je provedena jakoukoli metodou. Některé méně spolehlivé biometrické metody lze samozřejmě použít jen pro "odhad", o kterého uživatele by mohlo jít, a následně požadovat ještě další autentizační informace (třeba právě heslo), ale pokud nějaká metoda dokáže spolehlivě zajistit jednoznačnou identifikaci, tak ji lze rovnou použít i k autentizaci.

Jenze biometrie NEDOKAZE spolehlive zajistit jednoznacnou identifikaci. To uz bylo prokazano mockrat. Nehlede na to, ze je to EXTREMNE nebezpecne (coz uz bylo dokazano take), protoze nektere zlocince pak muze napadnout treba mi useknout prst, pokud odmitam neco odemknout (a je UPLNE JEDNO, jestli to snima reciste nebo ne, ja mam useknuty prst!!).
Nehlede na to, ze nekdo obcas o nejakou koncetinu pride. Nebo o oko. Neni to sice bezne, ale stava se to. A nebo staci ze si nekdo pilou narizne prst a vysledna jizva prestane fungovat. Nebo jenom bude mit docasne ruku v sadre.

Biometrie ma smysl JEN A POUZE jako DOPLNUJICI/US­NADNUJICI "username", jak tady uz padlo. Neni to jen "priblizna identifikace". Rozhodne ani nahodou ne autentizace.

Biometrie je skvělá na identifikaci - tzn na ten "username". Na zajištění bezpečnosti je ideální nějaká forma kryptografie, tedy operace s nějakým klíčem (nebo trivialne i heslem). Proč? Aby to byl login bezpečný, neopakovatelný a aby se tím jasně vyjádřila vůle člověka se přihlásit. Např otisky prstů se dají kopírovat proto se příliš nehodí na roli privátního klíče. Jde prostě o typický problém jak ukládat privátní klíč nebo heslo tak aby to bylo bezpečné. Jinak pořád platí že biometrie je aktuálně krok vpřed v bezpečnosti pro uživatele protože to obejít je mnohem těžší než u hesla. Uvidíme co v budoucnu až se budou krást ve velkém buometrické profily místo hesel - jak pal bude vypadat haveibeenpwned?

a hlavne p[odle americkeho prava veci zabezpecene biometricky odemknout musis , zatimco heslo spada pod pravo nevypovidat ..

Navic biometricke udaje jsou viceme verejne. Kdyz nekdo zjisti moje heslo, tak si heslo zmenim; kdyz nekdo zjisti muj otisk prstu nebo obraz rohovky tak si useknu ruku a vydloubnu oko?!