Názory k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing
-
Podle toho textu a podle toho, že za tím stojí FIDO Aliance, se zdá, že smartphone aplikace naštěstí bude jen jednou z alternativ, ne jedinou možností (jak si to představují např. některé naše banky).
Spíš se mi nelíbí ta idea synchronizace druhého faktoru. Jednou z významných výhod zabezpečení autentizace a autorizace pomocí hardwarového tokenu je právě to, že je (přinejmenším běžnými prostředky) neduplikovatelný. Je tam sice ta možnost nutnosti "potvrdit nové zařízení", ale to není totéž a navíc se bojím, že se na to řada implementací prostě vykašle. Rozumnější mi přijde to, co už dnes většina služeb podporuje: uživatel si zaregistruje víc druhých faktorů (třeba i různého typu), takže bude mít backup. (Zdá se to absurdní, ale bohužel existují i služby, kde si nelze zaregistrovat třeba dva různé FIDO2 tokeny.)
-
Ten soukromý klíč je uložen v bezpečném úložišti a přístup k němu povolí OS jenom té jedné aplikaci. Dostat se ke klíči samozřejmě jde, stejně jako se jde dostat ke klíči na FIDO2 tokenu nebo na čipové kartě – ovšem zdaleka to není tak jednoduché a rozhodně to nezvládne vzdálený útočník, který akorát masově distribuuje podvodnou aplikaci.
-
Jenže ono to není jen "vlastnit i (chytrý) mobilní telefon" (a to třeba moje děti ještě nemají - a přihlašovat se potřebují), ale především "používat jej u počítače".
A tady nastává drobný zádrhel, protože spousta lidí má ty telefony dva (soukromý a služební). A nemusí mít při ruce oba...
U nás v práci máme pro změnu vypnuté bluetooth na počítačích, aby se nepřipojovala necertifikovaná zařízení. Doma to mám na PC vypnuté taky, protože neustále se ohlašující/odpojující sousedova televize totálně zablokuje systém - a nemám důvod používat u desktopu žádná BT zařízení. -
Já se obávám, že fígl bude v tom že desktopy už nikoho nezajímají. I dnes už mají doma desktopový počítač akorát hráči a geekové. A to že má někdo PC neznamená že ho používá na všechny služby. Zrovna jsem se o tom bavil s bratrem - počíač má, ale do bankovnictví chodí výhradně z telefonu přes aplikaci, a přijde mu to tak zcela přirozené. Z počítače ani z hlavy neví na jakou by měl jít adresu.
-
Pokud máte vše na tom telefonu, pak to v podstatě není pořádné
2FA
- ten požadavekněco mít
by se měl brát ve smysluněco dalšího
.
Blbě funhující "slabé" BT v sousedství umí simulovat DoS i na notebooku. Problém nastává v okamžiku, kdy má BT přednost před ostatním, protože zrovna "navazuje komunikaci"... -
nemůžeš si změnit výklad něčeho, co se tady dlouho používá a pak to na základě toho rozporovat.
2FA není "něco dalšího", ale je to další kousek do skládačky, až může pocházet ze stejného zařízení, důležité je, že to je jiný údaj poucházející z jiného mechanismu (např. statické heslo vs. OTP).
Anglická wiki to popisuje takhle:
after successfully presenting two or more pieces of evidence (or factors) to an authentication mechanism -
Pokud potřebujete přístup na nějakém zařízení a máte ověření, které je na tom samém zařízení, není to v podstatě
dodatečné
ověření.
Když to zjednoduším: pro přístup na počítač potřebuji (jméno) heslo + ověření z mobilu; pro přístup na mobil mi ověření z toho mobilu nepomůže, protože se na něj nejdřív musím přihlásit...
A spoléhat na biometrii je poněkud nešťastné, protože není zatím dost spolehlivá, aby mohla to ověření spolehlivě nahradit. (IMHO je dnešní biometrie spíš na úrovni "jméno", než "heslo".) -
a kde se u tebe vzalo přesvědčení, že 2FA se rovná více zařízení? To je přeci nesmysl, je spousta situací, kdy dvě zařízení lidé nemají (ať už vůbec nebo u sebe), ve spoustě míst na světě lidé fungují pouze s telefonem a ty mi řikáš, že musí mít teda dva telefony?
Heslo a vygenerovaný token je 2FA ač obě předalo jedno zařízení nějaké službě. Důležité je, že obě části nejsou ty stejné, ale prochází jiným procesem, heslo si pamatuji či mám uložené, token generuji z tajného klíče.
Biometrie bude vždy na úrovni jméno a nikoliv heslo, není totiž tajná, pouze prokazuje totožnost a nikoliv úmysl.
-
Je moc pěkné, že
ve spoustě míst na světě lidé fungují pouze s telefonem
, ale kupříkladu naše banky mají přímo v podmínkách, že člověk nesmí používat pro přístup do banky stejné zařízení, na kterém se ověřuje. (Že to většina klientů nedodržuje, toť jiná.)
Heslo bych měl předávat do zařízení já (ale, pravda, spousta lidí ho má uložené), token by měl přijít "zvenku" - chápu, že z pohledu nějaké aplikace je "zvenku" též "z jiné aplikace". Problém je v tom, že pokud útočník ovládne jedno zařízení, získá přístup k aplikaci, heslu i tokenu. Proto by to mělo být každé jinde. -
můžše ty podmínky a banky odkázat?
Dvě zařízení bezpečnost nezvyšují, musíš totiž zajistit nějakou jejich komunikaci a ta může zase bezpečnost snížit (např. MitM). Když má jeden člověk přístup do obou zařízení, je šance, že se dají stejně snadno napadnout, takhle se riziko nesnižuje, ale zvyšuje.
Zní to logicky, ale tyhle doporučení v praxi nefungují a proto se ani jejich použití netlačí.
-
Obvykle to jsou nějaké "Všeobecné technické podmínky k elektronickému bankovnictví". Nikdo to nečte... - a pak se diví, když jim někdo vyluxuje účet z ukradeného mobilu, že od toho dá banka ruce pryč.
Je to brané tak, že potvrzení musí přijít druhým, nezávislým kanálem. V praxi to bývala SMS (IMHO nedostatečné), čipové karty, "SIM toolkit" (mimochodem poměrně dost bezpečný, ale zrušený), pak to nahradily různé proprietální aplikace, TOTP, a podobně. Princip je ten, že potvrzení musí přijít druhým, nezávislým kanálem. Přeci jen je mnohem nižší pravděpodobnost, že útočník získá kontrolu nad více zařízeními, než že šlohne mobil.12. 5. 2022, 13:03 editováno autorem komentáře
-
Řekněme, že to má svůj vývoj. ;o)
Původně bylo mobilní bankovnictví postavené na SIM toolkitu, respektive šlo o posílání zpráv (příkazů) digitálně podepsanou SMS. Kupodivu to byl jeden z těch bezpečnějších způsobů. S nástupem chytrých telefonů se objevily aplikace, kde byly příkazy potvrzovány opsáním SMS - vycházelo se z (ne zcela správného) předpokladu, že SMS se přenáší jinou cestou, než ty příkazy; z té doby zůstává požadavek na dvě zařízení.
Pak zvítězilo pohodlí a možnost SMS načítat na pozadí přímo tou aplikací, tedy krajně ne-bezpečný způsob. A došlo se k uložení klíčů v chráněné části přístroje a podepisování časově omezených dat, tedy variaci na TOTP.
Žel, celé to je jen tak silné, jak silná je ta ochrana uložených klíčů - a to je kámen úrazu, protože ve většině případů je nevalná.
V tomto směru zvítězilo pohodlí nad bezpečností na celé čáře, a troufnu si tvrdit, že se pomalu blíží zabezpečení "embosovaných" platebních karet: věříme, že kdo tu kartu drží, může s ní platit. -
On mel SIM toolkit krome tech bezpecnostnich problemu i jine neduhy, zvlast v dobach pred OTA clovek musel mj. resit fyzickou vymenu SIM, aby mu neco vubec zaclo fungovat. A samotne OTA muze byt bezpecnostni problem - kdyz ty updaty jsou o tom, ze se posle specialni SMSka, kterou taky jde podvrhnout, ze... no proste ja bych to s tim vychvalovanim SIM toolkitu bych to taky neprehanel :D
-
Řekněme, že v dobách před OTA byl SIM toolkit poměrně nepohodlný, ale relativně bezpečný (právě ta provázanost s konkrétní SIM může být v tomto směru výhodou), po rozšíření OTA se snížila bezpečnost a zvýšilo pohodlí.
Nicméně útoků na bankovnictví pomocí SIM toolkitu bylo relativně málo, zejména v porovnání s phishingovými kampaněmi cílenými na získání potvrzovací SMS.
Já to nevychvaluji. Jen mi přijde, že to banky zahodily ve prospěch (tehdy rozhodně) horšího řešení. -
A ja bych rekl, ze banky SIM toolkit zahodily prave kvuli operativnim problemum s nim, zejmena v dobach pred OTA, kdy s nejakou aktualizaci musel klient vymenit SIM za novejsi a pak bezet do banky pro novou aktivaci sluzby. OTA umoznila aktualizaci bez nutnosti menit SIM, ale uz slo zautocit podvrzenou SMSou. Jenze bez OTA je to jako se software v ROM - on nikdy neni bez chyb a predstava, ze SW jednou napalite do pameti a uz na nej nesahnete je zcestna sama o sobe.
A jako rikat, ze tech utoku bylo malo - no, ono to v ty dobe proste nebylo ani tak rozsirene :D Pred dvaceti lety se tolik neutocilo ani na internetu, ze... proste tak nejak obecne tech uzivatelu bylo min, protoze majorita populace proste stale chodila do banky k prepazce :D
-
V době, kdy banky definitivně zahodily SIM toolkit (a je to jen několik let!), bylo to řešení opravdu hodně za zenitem. Problém je, že to často zároveň nahradily řešením horším.
Paradoxně spousta uživatelů to používala, spíš ze setrvačnosti, na klasických tlačítkových mobilech - a místo nákupu smartphonu a instalace aplikace se přesunuli na pobočky s papírovými příkazy, brblajíce, že je to drahé (protože je banky zpoplatnily).
Několik let před koncem SIM toolkitu banky řešily spousty phishingových kampaní a prakticky nulové množství případů útoku na SIM toolkit. (A ten nepoměr tam byl i při zohlednění počtu aktivně používaných SIM toolkitů a počtu jiných řešení.) -
R. R. Šimek: Nevím, kde jste měl mobilní bankovnictví vy. Nicméně Expandia banka (později přejmenovaná na eBanku a pak koupená Raiffeisenbank) měla nejprve hardwarový klíč, kam se opsaly údaje o platbě a zpět do elektronického bankovnictví (na počítači) se opsal potvrzovací kód. Následně přišli s implementací přes SIMtoolkit, kde banka posílala šifrovanou SMS, ta se dešifrovala klíčem na SIM kartě a zobrazily se údaje o transakci a potvrzovací kód, který se opsal do elektronického bankovnictví. V té době už začaly elektronické bankovnictví řešit i jiné banky, a bylo to od extrému do extrému – na jedné straně podepisování příkazů pomocí PFX, na druhé straně potvrzovací kód zasílaný nešifrovanou SMS. Ty nešifrované SMS pak nabídla i eBanka, později se z toho stala nutnost, protože SIMtoolkit na chytrých telefonech fungoval čím dál hůř. Tohle pořád bylo zaměřené na elektronické bankovnictví v počítači, které se potvrzovalo jednorázovým heslem z hardwarového klíče nebo mobilu (nebo se podepisovalo tím PFX, což bylo paradoxně nejméně bezpečné řešení, protože ten privátní klíč byl obvykle uložen v souboru na disku).
Pak se elektronická bankovnictví (původně určená pro desktop) začala přizpůsobovat mobilům, jenže to pak vedlo k tomu, že potvrzovací SMS přišla na stejné zařízení, ze kterého běželo web e-bankovnictví, což nebylo moc bezpečné. Pak začaly banky přicházet s aplikacemi pro mobil, které se mohou spolehnout na prostředí mobilního OS, které je podstatně bezpečnější, než běžný desktop. Ty aplikace nevyžadují potvrzení pomocí nezávislého kanálu, protože riziko je podstatně nižší, než u desktopu, a navíc by bylo obtížné nějaký nezávislý kanál zajistit.
Uložení klíčů na mobilu považuju za dostatečně bezpečný způsob. Je bezpečnější, než klíče na SIM kartě. Pokud nedělám s mobilem nějaké vylomeniny jako rootování, o klíče uložené v mobilu bych se nebál. Srovnávat to s nešifrovanými SMS nebo embosovanými platebními kartami je nesmysl.
-
Já neměl mobilní bankovnictví nikdy a nikde - mobil používám téměř výhradně k telefonování, na přístup do bankovnictví mi to přijde příliš malé a nepohodlné.
Když to rozdělím na "přihlašování k internetovému bankovnictví" (primárně PC) a "mobilně-telefonní bankovnictví", tak přínosné to bylo spíš v tom druhém případě. Byť šifrovaná SMS, na SIM dešifrovaná a kód pro přihlášení opsaný, je rozhodně bezpečnější, než prostá SMS, je to řešení složité. Myslím, že čipová karta dělá v podstatě totéž, ale lépe.
Bezpečnost PFX uloženého na počítači je sice dost diskutabilní, nicméně tenkrát se předpokládalo, že jde o "desktop PC", který je bezpečně na jednom místě a přístupy k němu jsou pod kontrolou. Pochopitelně, na notebooku to zdaleka neplatí - a na mobilu/tabletu už vůbec ne.
Žel, mám pocit, že značná část aktuálně používaných "mobilních bankovnictví" až příliš spoléhá na úroveň zabezpečení samotného mobilu: zámky systému, biometrii... Na to, kolik potkávám uživatelů s neustále odemčeným mobilem, jednoduchým, snadno odpozorovatelným heslem či gestem, poníženou (protože jinak nefunkční) úrovní kontroly otisku prstu, případně rozeznávání tváře ochotné akceptovat polovinu vlastních potomků stejného pohlaví či předhozenou fotografii, mi to kdoví jak zabezpečené nepřipadá. (Tohle je, samozřejmě, nadsázka, tak mne, prosím, pro tentokrát nechytejte za slovo.)
Každopádně potvrzování plateb kartou po Internetu pomocí "3D" SMS je obzvláště vtipné ve chvíli, kdy lupič ukradne kabelku s kartami i mobilem - a ta SMS s kódem se zobrazí na displayi zamčeného mobilu jako informační upozornění. Na jedné straně vymýšlíme moderní řešení typu Passkey, ale na druhé straně dělají uživatelé zcela triviální chyby. -
R. R. Šimek: SIMtoolkit byl přínosný hlavně pro internetové bankovnictví (tj. v té době desktop). Protože to bylo docela slušně bezpečné a zároveň jste s sebou nepotřeboval mít další zařízení (HW klíč), stačil mobil. Pochybuju o tom, že se nějak zvlášť používalo bankovnictví v SIMtoolkitu, protože zadat příkaz k úhradě na tlačítkovém telefonu v omezené aplikaci SIMtolkitu bylo utrpení i na tehdejší dobu.
Bezpečnost PFX uloženého v počítače nebyla dost diskutabilní, byla hodně špatná. To, že počítač je fyzicky na jednom místě, je úplně k ničemu. Podstatné bylo to, že je ten počítač připojený k internetu. To, co řeší druhý faktor, je případ, když útočník ovládne (nejspíš na dálku) váš počítač, takže dokáže odposlouchávat, co tam píšete – včetně přihlašovacích údajů k bance. Jenže když dokáže odposlouchávat, co píšete, s vysokou pravděpodobností ovládá celý váš lokální účet, takže dokáže přečíst i ten soubor s PFX. Obrana mít ten PFX soubor na disketě a tu do počítače dávat jenom při podepisování transakcí nebyla nic světoborného, protože by si útočník musel svůj útok akorát lépe načasovat.
Ta úroveň zabezpečení mobilu je výrazně lepší, než co je na PC, a hlavně je pro bankovní aplikace dostatečná. Ono zabezpečení pro banku nemusí být nijak extra vysoké. Jenom holt ty běžné způsoby zabezpečení (desktop a jméno a heslo) nesplňují ani ty relativně nízké nároky na zabezpečení přístupu k bance.
3D Secure pomocí kódu v SMS podle mne už v EU není možné.
-
PFX uložený v počítači byl "aktuální" v době, kdy ty počítače rozhodně k internetu připojené běžně nebyly - tedy ne trvale. (Já to měl kolem konce roku 2000.) Používal se dial-up a modemy neochotně vytlačovalo ISDN (které se neujalo) a pevné připojení se teprve rozvíjelo ve městech, vesnice dobývali wifináři. Že to skončilo až v dnešní době je jen důsledek obrovské setrvačnosti a mělo to zmizet už hodně dávno.
Ale už v té době existovalo řešení, lepší, než disketa: čipová karta. ;o) (Mám ji od roku 2003 nebo 2004.)
A 3D Secure (které mi příšerně komplikuje placení kartou!) bez SMS možné je - zrovna dnes jsem tak platil. Ono totiž 3D Secure vůbec neřeší, jakým způsobem je transakce potvrzena - to je plně v režii banky: ta rozhodne, jak (či zda vůbec) potřebuje tu transakci potvrdit. -
Bylo to aktuální v době, kdy byla síť připojená k internetu bezdrátově, pronajatým okruhem, nebo později přes ADSL. Kolem toho roku 2000 a později. Nebavíme se samozřejmě o osobních účtech, ale o firemních. Čipová karta byla drahá a navíc jste potřeboval ten správný typ čipové karty, která byla podporována internetovým bankovnictvím.
3D Secure bez SMS samozřejmě možné je. V EU není možné 3D Secure jenom s nešifrovanou SMS – v takovém případě by tam musel být ještě nějaký další faktor.
-
3D Secure ale opravdu nijak netrvá na "vícefaktorovém ověření", dokonce ani na tom, že tu transakci schválíte.
Transakce do určitého limitu (který může být individuální) nemusíte potvrzovat vůbec. Další může banka potvrdit sama, například na základě analýzy chování. (Pokud pravidelně nakupujete elektoniku v ceně kolem 5000 Kč a zrovna de přiblížil "pravidelný termín", nemusí takový nákup chtít ověřit...) Můžete mít také nastavení "paušální povolení" třeba pro jeden obchod.
Většinu těch možností banky nevyužívají - snad kromě těch "podlimitních plateb". Ale tu možnost mají a EU (a kupodivu ani ČR) jim to nezakazuje, nenařizuje. -
Stále polemizujete s něčím, co jsem nenapsal. 3D Secure nevyžaduje vícefaktorové ověření. Ovšem když banka zjistí, že od vás nepotřebuje ověření, nebude vás otravovat nesmyslným SMS kódem. A naopak když zjistí, že potřebuje ověření, SMS jí nestačí. Proto už vám dnes při ověření přes 3D Secure žádná potvrzovací SMS nepřijde.
-
Dobrá, tak to zkusím jinak: žádná SMS vám nepřijde, protože to banky zrušily (asi už všechny, to jsem nezkoumal).
Ale IMHO to nebylo z důvodu nařízení EU, dokonce ani našich zákonodárců, ale spíš na důrazné doporučení bankovního dohledu. V tomhle bodě totiž EU působí spíše na bázi doporučení a nikoliv nařízení. Každopádně se to netýká 3D Secure (v tom se, zdá se, shodneme), ale komunikace mezi bankou a klientem. -
Nevím, jaká je přesně definice 2FA. Ale aby to mělo smysl, mají to být 2 zařízení - pokud bude jedno z nich napadeno, útočníkovi pořád ještě chybí druhý kousek do skládačky. Pokud to zúžím na jedno zařízení, tento předpoklad může velice snadno padnout, a proto je z technického hlediska 2FA na jednom zařízení celkem nesmysl.
-
TL;DR je to softwarovy token, ktory vyzaduje nosit so sebou miesto tokenu nabity mobil^Wsmarfon, inak sa vymknem. Som si isty, ze to maju premyslene, ale eliminacia hesla ako hlavny marketingovy bod mi nepride ako najlepsi a najbezpecnejsi napad.
(Putting tinfoil hat on) Tajny plan ako donutit kazdeho pouzivat osobne trackovacie zariadenie?
-
Ano, to já taky. Proto taky doma nepoužíváme normální klíče vůbec (teda když nepočítám nějaký záložní někde u příbuzných). Mám to na otisk prstu. Ten mám vždycky s sebou, nikdy ho nezapomenu a nemusím ho tahat zvlášť. Kdyby něco selhalo, pak ještě mobil (stejně tak když chci někoho pustit vzdáleně). A kdyby selhalo všechno, tak až potom ten záložní klíč. Ale ten jsem v životě viděl snad jen jednou.
Je to paráda si vyjít jen tak ven a nemuset s sebou mít vůbec nic.
-
Já používání biometrické autentizace vidím jako dost problematické z jiných důvodů: Jednak může selhat nebo ji může někdo obejít (např. u těch otisků prstů to není zrovna sci-fi) a jednak je zcela pevně a neměnně svázaná s mou identitou. Jinými slovy, pokud nepoužiju nějaký mezičlánek, používám jednu jedinou identitu pro všechny systémy, do kterých se autentizuji, oproti situaci, kdy můžu pro každý systém použít jiné heslo nebo jiný klíč, což docela hází klacky po nohy anonymnímu přístupu ke službám.
-
Jenže tohle není biometrická autentizace. Tím otiskem prstu jen autorizujete ve svém zařízení použití soukromého klíče. Pokud se vám čtečka na vašem mobilu nelíbí, použijte třeba PIN.
Anonymnímu přístupu to klacky pod nohy nehází, ten protokol je navržen tak, aby na každé službě používal jiný veřejný klíč. Žádná služba tedy neví, odkud přicházíte a jaký klíč máte na jiné službě. Popsáno je to například v článku Bezpečné přihlašování na SSH s hardwarovým U2F tokenem
. -
No tak teď pošlete klíče od všeho do Microsoftu(Google, nebo Applu).
Nejenom že budou vědět kdy a kde jste který klíč použil, ale budou ho umět použít taky.
MS, Goo, Appl jsou tak vysoce trust společnosti, že přes jejich API bude probíhat(v reálu) potvrzení téměř jakékoliv auth transakce.
No a to víte, že nebudou potřebovat Vaše trust zařízení ať je to cokoliv (mobil app, HW token, sken sítnice)…
Nad tím je potřeba se zamyslet do hloubky !!!
Teď budete mít pocit, že si vybíráte své, lepší a likely řešení, oproti starým nefunkčním heslům.
Ale omyl, teď teprve uděláte eště vetší krok vedle než Ti zmiňovaní IT-ci. -
Ne nemyslím si, že MsGooAppl bude mít Váš privátní klíč.
Vy si budete hrát s univerzální službou od MsGooAppl na ověřování s Vašim privátním klíčem.
A pak půjdete na web, kde se budete chtít ověřit účtem od M$. No ale proč by Vás M$ proboha znova vyzíval na ověřování ? Tím by Vás odradil od používání.
Tak raději, náhradou za Vás, použijí svojí autentizační metodu se svým klíčem, pokud požadavek rovnou nepotvrdí přes API . -
Vy sa autorizujete voci MS alebo Google, sluzba sa autorizuje voci MS alebo Google nie voci vam. To je predsa uplne jasne. Ale to ako keby ste si stazovali ze server kam sa pripajate tak tam niekto moze zmenit heslo, prihlasit sa a vratit. To predsa nie je predmet diskusie.
Predmetom diskusie ci sa zjednodusi 2FA a ako. Trust nadalej zostava ci tam 2FA mate alebo nie. -
https://www.tsbohemia.cz/gembird-usb-bluetooth-v4-0-dongle_d253531.html
Jestli vás teda 139 Kč nezruinuje. -
To je krásná teorie. Má praxe s bluetooth je, že ho obecně používám na třech počítačích přičemž spárování třeba s telefonem na jednom funguje spolehlivě (notebook Dell), na jednom funguje víceméně (nesériový desktop a podobný dongle na jaký odkazuje předřečník výše) a na jednom víceméně nefunguje protože po chvíli vypadne (notebook Fujitsu).
"Supportované" (omg, snad "podporované", ne?) jsou teoreticky všechny všude.
-
Tady máte jeden pro Linux. Stojí sice o 90 Kč víc, ale pod Linuxem funguje bezvadně.
-
Ale ten stojí 351.-Kč. To i na Alze ho mají za 259.-Kč. Jinak díky za informaci že je podporován Linuxem https://www.alza.cz/asus-usb-bt400-d510631.htm
-
Nevím, proč tam mají cenu 351, když v seznamu jde vidět, že třeba na Mironetu to jde sehnat za 221.
Používám tento dongle už tři roky a nikdy jsem s ním na Linuxu neměl problém. Dobrou zkušenost s ním mají i lidi, kterým jsem ho doporučil později. To není úplně samozřejmost. Tady u těch donglů na wifi a Bluetooth mají totiž výrobci ve zvyku klidně vyměnit celý čip, aniž by změnili název modelu. -
This is an oft-repeated but completely inaccurate statement, there is no general objection to Bluetooth. The implementation we had in OpenBSD was simply removed because it was unmaintained and had several longstanding design issues that were not easy to fix.
... na operačním systému pro routery to není potřeba, tak tomu nikdo z té hrstky vývojářů nebude dávat svůj čas.
-
Tohle řešení v podstatě odstřihne od služeb více než půlku Afriky s Jižní Amerikou. Nepředpokládám, že to bude fungovat na feature phones a nutnosti nonstop data připojení ani nemluvě. To zejména ocení lidé cestující mimo EU. Mě třeba mě u GibTelecom stál JEDEN MB dat v roamingu v Maroku 10 Liber. Co je sakra špatně s TOTP.
11. 5. 2022, 07:06 editováno autorem komentáře
-
Ten telefon nemusí být online, aby to fungovalo. Má v sobě privátní klíč a komunikuje s počítačem pomocí Bluetooth. Když se vám to takhle nelíbí, můžete používat USB token, který je plně offline a umí tuhle autorizaci taky.
Na TOTP je z pohledu Passkey špatně úplně všechno. Je to nepohodlné a uživatelé to nechtějí používat, není to odolné proti phishingu a hlavně to neumožňuje zbavit se hesel.
-
Zbavit hesel se (bezpecnym zpusobem) chce kazdy, kdo neni moc nadseny z toho, ze se pak hesla vali napsana na listeccich nalepenych kolem monitoru ci pouzivaji jedno heslo vsude... ne, on kazdy neni takovy "geek" a s password-managery se take kazdy nekamaradi (notabene, kdyz ma treba privatni a firemni zarizeni; pak muze byt v dusledku korporatnich politik i problem se synchronizaci)...
-
Moc jsem to nepochopil. Na jedne strane je ve clanku psane ze "Celé řešení je postaveno multiplatformně, nezáleží tedy na operačním systému telefonu, ale ani prohlížeči či platformě použité třeba na notebooku před uživatelem."
Na druhe strane je porad zminovano bluetooth. Takze pokud je to multiplatformni, tak muzu pouzit 2 linuxove desktopy co si spolu budou povidat pres bluetooth? No nechapu to.
-
Doporučuji přečíst si něco o U2F nebo lépe o novějším standardu FIDO2, na kterém je tohle celé postavené. Na Rootu o tom bylo několik článků. Je to vymyšlené právě tak, aby žádná data o uživateli neunikala. Neprobíhá tam přihlašování přes nějakého prostředníka, jako třeba u OAuth nebo OpenID.
Uživatel se přihlašuje pomocí svého privátního klíče, který je ještě před použitím kombinován s částí získanou od služby. Je to celé vymyšlené tak, aby ani jednotlivé služby nemohly rozeznat a sledovat jednoho uživatele, z jejich pohledu se vždy jedná o unikátní přihlášení za použití unikátního veřejného klíče.
-
Přiznávám, že standard jsem nečetl, ale mám obavu, že pokud to implementují firmy typu google, microsoft, apple a podobně, tak vsadím boty na to, že data sbírat budou. Bude to pojmenované jako bezpečnostní prvky, ale data o uživateli to budou. Minimálně nějaké ID zařízení, telefonní číslo, IP adresy, unikátní klíče certifikátů atd. To všechno spárované do nějakého frameworku jako například google pay atd.
-
IP adresu má úplne každý server, s ktorým komunikujete... bez IP adresy by totiž nevedel kam poslať odpoveď... takže to v podstate privátna informácia nie je... bežne za deň zistí vašu IP aj niekoľko tisícok serverov... takže snažiť sa neodoslať IP serverom nedáva žiadny zmysel... IP sa vám nikdy už z podstaty že je to základ pre komunikáciu po sieti nepodarí utajiť, nikdy sa vám nepodarí zabrániť zberu IP... ID zariadenia, hmm a čo s tým, vedia rozoznať maximálne či si stejný ako už v minulosti prihlásený používateľ, ale ID zariadenia sa dá meniť (ak používaš hypervisor, tak máš virtuálne ID)... ak sa snažíte utajiť takéto informácie, tak to sa môžete odstrihnúť komplet od Internetu... tie kľúče certifikátov stále nechápete, oni nebudú mať prístup k privátnym kľúčom, len verejným... a tie sú z podstaty ako už názov napovedá, verejné... moc na tom neviem čo chcete utajiť... žiaľ niekto už až tak moc chce byť "anonymný" že keď ide do obchodu tak si každý deň urobí plastickú operáciu, aby ho ľudia nerozoznali... bežne na ulici vás vidí kde kdo a nevadí vám to... trocha myslím že ohľadom utajenosti sú ľudia už trocha posadnutý... a to hovorím ako človek čo si na súkromie silne potrpí a odmieta zber akýchkoľvek dát, ktoré služby nepotrebujú... ale je rozdiel zbierať IP adresy a je rozdiel zbierať dáta ako meno, priezvisko, dátum narodenia, adresa, tel.č., a podobne... btw. k tomu tel.č. nie to zbierať nebude.
-
jenže realita bude jiná. Pamatujete třeba na nesmysl jménem GDPR? Jak nám mazali med kolem huby. A co se stalo, nic...
Tyhle snahy jsou jen o tom, že soudruzi nahoře nechtějí anonymy na netu, ale chtějí nás donutit používat zhovadilosti jako passkey, bankovní identita a další ko**tiny, jen aby věděli, kdo je na druhé straně.
-
Máte pravdu!
Osobně považuji HW token (ne duplikovatelný faktor) za jedinou cestu tady z toho marasmu ven.
A klidně to pak celé může být pouze 1FA ověřování.
Velké korporáty se tomuto řešení brání a vymýšlí různé, vzletné názvy a standardy.
Důležité je pak, to jak to dopadne v reálu. Bez M$ se nikam ani nepřihlásíte.
Tak jak M$ v minulosti zneužíval své dominantí postavení, teď to umí dělat chyře, za chválospěvu laických uživatelů. -
Hledat mobil při každém přihlašování mi nepřijde moc pohodlné.
Už teď mi tečou nervy, když se potřebuju někam přihlásit a kvůli 2FA mi to nejde. Někdy to jde přes mail kam se bez mobilu dostanu, ale třeba do banky je to někdy hroznej oser.
Aspoň jsem přišel na to, jak se dostat do KB i bez mobilu a ověřovací SMS - stačí cca 10x zadat špatný kód ze SMS (přes TOR browser, v běžném browseru co použivám jsem to schválně zadal špatně snad 30x a nic), pak ta jejich "appka" zahlásí, že tenhle způsob přihlašování mi zablokovali, a přitom při tom následujícím pokusu se do banky přihlásím i bez SMS kódu :) -
No dnešné 2FA je fakt hrôza... skúšal som sa prihlásiť na PayPal a bolo tam možnosť len SMS alebo volania... SMS samozrejme nechodila asi 10 minút, dovolať sa nešlo (bývam v okresnom meste takže tu mám max 2G s minimálnym signálom ktorý vypadáva, áno realita na Slovensku), a tak som sa nemohol prihlásiť.
Tie 2FA sú často práve že to znemožňuje prihlásiť sa legitímnym používateľom ale proti hackerom to skoro nechráni (SMS sa dá uniesť veľmi jednoducho ako už bolo aj v článku spomenuté)
Takže celé 2FA mi príde na hlavu, a najmä ako to vnucujú...
na druhú stranu ak to riešenie skutočne prejde do stavu že sa bude možné prihlásiť bez potreby opisovať čísla ako kokot, alebo čakať na SMS, hovor, či mail čo nemusí prísť alebo že by bolo potrebné pripojenie k Internetu, tak si myslím že by to mohlo byť fajn... hlavne nech je to offline a pohodlné...
btw. HW mení človek zriedka (mobil má človek zvyčajne aj rok stejný, počítač tiež, a to hovorím ešte o tých čo to menia ako ponožky, bežne aj 5 rokov stejný PC), tak v takej situácii overenie len na základe zariadenia (resp. nejakého kľúča uloženého v ňom) mi príde ako veľmi rozumný nápad.
Osobne jediné faktory authentifikácie ktoré považujem za rozumné a bezpečné sú heslo + nejaký FIDO key (alebo resp. unikátny token)...
som silne proti authentifikáciám pomocou kódov z SMS, mailu, a pod. alebo pomocou biometrických údajov ako otisk prsta či sken obličeje.
Celé Keypass znie ako veľmi dobrá vec, uvidíme ale aká bude realita... no dúfam že sa to podarí. Stále ale považujem Heslá ako jeden z tých najlepších faktorov autentifikácie, spolu s týmito jednorázovými tokenmi...
-
Používání sms je takové poor man's choice, vzniklé ještě v době, kdy smartphony nebyly. A zvládne to použít i člověk, co si s technikou nerozumí a v záplavě aplikací a možností smartphone se ztrácí. Pro většinu uživatelů i ta SMS dělá svou práci. Unést číslo není možná zas tak obtížné, ale už je to záležitost nějakého cíleného útoku, ne automatizovaného zkoušení uniklých údajů. Nicméně, je to doplněk k heslu, ne jeho náhrada, a k ideálu má rozhodně daleko.
Co se hesel samotných týče - tam je tolik příležitostí udělat něco blbě... Nejen technicky, ale i procesně, a jak na straně služby, tak u uživatele. Vynucené časté změny hesel, co vedou k "yellow sticky paper of doom," stejné heslo všude, plaintext v databázi, ... Že pro běžné použití na webu je možná fakt lepší se jich obecně zbavit, a nechat je jen pro vysoce zabezpečené systémy nebo specifické případy (např. administrace soho wifi routeru).
-
No jo, ale keď to SMS na bezpečnosti pridáva len "špetku", ale user experience zhoršuje o tonu, tak nie čo nie je v poriadku.... to je ako keby som teraz kvôli zabezpečeniu domu zamuroval dvere a chodil dnu rozbitým oknom... to je tá bezpečnosť, ktorú chceme? Keď už legitímny používateľ musí do svojho domu ísť komínom, tak to nie je v poriadku... však sme bežný ľudia, nie Ježíško....
Heslá sú hneď po jednorázových tokenoch jeden z najlepších foriem autentifikácie... problém sú akurát ľudia, ktorý heslá používajú nesprávne... Ale ak sú použité správne, som si istý že do účtu je nabúrať sa ťažšie než trebárs zabezpečenie na základe odtlačku prstu, skenu tváre, a pod.
-
Nezkoumal jsem detaily, ale muze se ten nosic tokenu (mobil), zaroven prihlasit sam sebe do te sluzby? Jakoze jsem na mobilu a chci se podivat do internetoveho bankovnictvi.
Pokud ano, nepada tim prave ta jedna polovina zabezpeceni, ze "neco mam"?
Z meho podledu veskery benefit 2FA je prave v tom, ze mam 2 oddelena zarizeni. Jakmile mam oba faktory na jednom zarizeni, tak jsem podle me zpet na urovni hesla.
Offtopic: A z toho duvodu me jeste zadna banka neutahla na jejich mobilni aplikaci. SMS muze byt nebezpecna, ale pokud neprijde driv, nez nekdo zada do IB kombinaci jmeno/heslo, kterou ten mobil nikdy nevidel, tak je podle furt bezpecnejsi, nez vsechny mobilni aplikace dohromady.
-
Ano, na mobilu je možné se tím tokenem přihlásit a funguje to tak už teď. Android je certifikovaný na L1, takže se s ním přihlásíte třeba i ke službám státu. Mám to tak a používám to.
Potíž je ale v tom, že neexistuje způsob, jak ten token v mobilu využít na vedlejším zařízení – chybí právě nějaký standard pro použití Bluetooth nebo kabelu pro komunikaci třeba s počítačem. Což je vlastně hlavní inovace Passkey, to ostatní už dávno existuje. Google to třeba pro přihlášení umí použít, ale používá na to vlastní protokol, který nefunguje s jinými službami. Proto je fajn, že FIDO vyvíjí otevřený standard pro všechny.
Úplně stejně se dá použít třeba Windows Hello nebo jiné rozhraní v operačním systému. Ten systém je pak autorizován, aby vás hlásil k dalším službám. Je to vlastně nakonec stejné jako třeba SSH klíče – taky máte privátní klíč v počítači a hlásíte se s ním ke službám.
-
Tak to ma ale porad stejny problem, jako soucasne metody. Typicky ten priklad s SSH a certifikatem. Jakmile se nekdo dostane k memu pocitaci/certifikatu, tak je v podstate burt, jestli mam na SSH heslo "Password1" nebo mam pro pristup k privatnimu klici heslo "Password1" a ten pak pouziju na SSH.
Budu velmi vdecny, pokud mi nekdo predchozi odstavec vyvrati. Je to neco, co se snazim uz dost dlouho pochopit, ale bud je to presne tak, jak pisu, nebo mi neco unika.
S touhle novou aplikaci v mobilu, jakmile ma nekdo pristup k tomu mobilu, tak potrebuje uz je to "heslo". Bezpecnejsi je to mozna jen o to, ze nedovoli uzivatel pouzit heslo, ale donuti je se nejak oskenovat (palec, oko,...).
Uzitecne mi to prijde bez toho mobilu. Pokud nekdo zacne vyrabet jednoucelovou klicenku velikosti max klice od auta, ktera krome bluetooth a nejakyho sifrovaciho cipu nic nema a na jednu baterku pobezi 5 let, tak si dovedu predstavit, ze bych to pouzival.
-
Takové klíčenky samozřejmě existují, vyrábí je třeba Yubico pod názvem Yubikey. Existují i varianty s Bluetooth, ty zase dělá Feitian. Tohle je běžná věc, která existuje mnoho let a dá se použít teď hned. Sám jich tu několik mám a používám je.
Ani tyhle klíčenky ale neřeší vámi zmíněný problém „když je někdo má, přihlásí se za mě“. Tohle v praxi není problém a zřejmě se vám běžně nestává, že by vám někdo ukradl mobil a vyndal peníze z banky. Neznám nikoho, komu by se to stalo a ani podobný případ z médií.
Většina útoků probíhá na dálku, kdy unikne heslo z jedné služby a útočník se přihlásí na druhou službu. Nebo je to heslo tak slabé, že se dá prostě uhádnout a útočník se přihlásí přímo. Tohle je současný hlavní a skutečný problém, který se tím dobře implementovaným druhým faktorem dobře řeší. Proto to taky nasazují povinně banky a egovernment.
-
Ano, prosim takto: https://www.ftsafe.com/Products/Power_Card/Fingerprint
Pokud se nekdo dostane k memu telefonu/pc, muzu byt v klidu, pokud nema taky tu kartu. Pokud ji ma, bojim se jen trochu, protoze je chranena tim otiskem. Zaroven vyhoda je, ze ten otisk je jen v te karte.
Muj (pravdepodobne prilis paranoidni) scenar s jednim zarizenim je, ze si stahnu nejakou aplikaci, ktera si pomoci systemovych chyb/sdileni dat mezi aplikacema zahraje na MITM. Tzn vylaka ze me pod nejakou zaminkou otisk/heslo a pak uz si dela, co chce s mym uctem.
Pokud mam dve zarizeni, tak uz musi jit o vylozene cileny utok na moji osobu. Tzn nekdo se potrebuje dostat do meho PC + do meho mobilu.
-
Spoliehať sa biometrické údaje, ktoré sú za prvé viditeľné a za druhé nezmeniteľné, nie je vždy výhra:
Politician's fingerprint 'cloned from photos' by hacker
https://www.bbc.com/news/technology-30623611 -
Jestli se nepeltu tak Feitian ani Yubikey nemaji klice pro FIDO2 L2 a tohle reseni by melo byt podle vseho neco na takoveto urovni. Celkove sehant neco s FIDO2 L2 co ma NFC nebo aspon bluetooth je dost problem.
To ze vetsina utoku je dnes na dalku nemusi znamenat ze po masivnim nasazeni Passkey se nevratime ke staremu dobremu kapsarstvi. Utocnici preci provadeji utoky tak jak je to pro ne nejvyhodnejsi, a vyvijise.
-
Naprosto bezpečný systém nejde prakticky udělat. Nedal by se používat. Celá bezpečnost je tak nakonec o snaze balancovat překážky pro útočníky a uživatelskou přívětivost.
Většina lidí se nepotká s tím, že by jim někdo na dálku napadl zařízení a vytahoval z toho data bez jejich vědomí. Mnohem pravděpodobnější je zneužití uniknutého či uhodnutelného hesla, nebo phishing. Takže proč heslo nenahradit jiným tokenem, jehož uniknutí je mnohem obtížnější a omezenější (je třeba napadnout konkrétního uživatele a z něj dostatnete jen jeho přístupy, namísto db dumpu všech uživatelů) a který ztěžuje (nikoliv znemožňuje) phishing.
U toho SSH není až takové riziko, že někdo ovládne ten váš stroj, ale že se bruteforcem dostane na ten vzdálený server. Na SSH certifikát se můžete dívat jako na způsob, jak z "Password1" udělat řádově silnější a delší heslo (které navíc klidně zadáte jen jednou po startu a nemusíte to dělat pro každé přihlášení, když si nastavíte ssh-agent).
-
Třeba proto, že se můžete hlásit právě z toho zařízení, na kterém máte aplikaci - pokud pominu fakt, že pak už nejde o dodatečné ověření, zbývá vyřešit, jak si to samo sobě z BT na BT pošle ten kód. (To vše nádavkem k tomu, že to ta aplikace bude muset umět přenést.)
A třešnička na dortu: používáme Virtual Desktop za VPN, z virtuálního stroje - připojit skrz to integrovaný BT je nereálné, občas - když bezpečáci dovolí aelementálové budou nakloněni
- by mohlo fungovat z USB.
Netvrdím, že to je neřešitelné, ale poněkud technicky komplikované. Je otázkou, zda na takové případy budou autoři připraveni.11. 5. 2022, 14:54 editováno autorem komentáře
-
Máte zařízení s aplikací, která vyžaduje přihlášení pomocí Passkey. K tomu máte konektory poskytující Passkey – standardní bude přes Bluetooth, ale aplikace pro vzdálenou plochu poskytne svůj vlastní konektor a protokol protuneluje skrz síť stejně, jako tuneluje obraz, zvuk, pohyby myší apod. No a na druhém konci sedí uživatel, tam se ta aplikace napojí opět na dostupné konektory – ať už to bude standardní bluetooth nebo třeba USB token se čtečkou otisků prstu.
A teď v čem je ten problém?
-
Když pominu tu čtečku otisků prstu... Problém máme (u nás) hlavně v připojování USB zařízení do té virtuálky, respektive v předávání dál. Z bezpečnostních důvodů totiž není dovoleno k firemním zařízením (a to ta virtuálka je!) připojovat USB ani BT zařízení. Proto se pro všechny kroky (po standardním přihlášení k té virtuálce, tedy jménem + heslem) konají pomocí TOTP ověřování, ručním opisováním kódů.
Pokud by se někdo do tohoto proprietálního closed-source firemního řešení pokusil vstoupit s něčím jednodušším, setká se, zcela pochopitelně, s neúspěchem.
Hlavní princip navíc spočívá v tom, že se potvrzuje každý krok, tedy VPN + tunel k virtuálkám (ano, tunel v tunelu, trochu overkill, ale má to svůj důvod...), přihlášení k VDI - a pak přihlášení na tu stanici jménem + heslem. -
Pokud budete potřebovat přístup k něčemu, co vyžaduje tento způsob přihlášení, musí vám do toho proprietárního closed-source řešení implementovat i tenhle protokol. Je to to samé, jako kdybyste tam dříve měli přístup jen k portu 80 nebo měli prohlížeč implementující jen HTML 4.01 a ukázalo se, že potřebujete přistupovat k webům přes HTTPS nebo používat moderní web založený na HTML 5.
