Vlákno názorů k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od Honzucha - Vcelku by mě zajímalo, zda si někdo uvědomuje,...
-
Filip JirsákStříbrný podporovatelProč by je to mělo rozbít? Akorát to řešení bude muset umět přenést i ten autentizační protokol.
-
Třeba proto, že se můžete hlásit právě z toho zařízení, na kterém máte aplikaci - pokud pominu fakt, že pak už nejde o dodatečné ověření, zbývá vyřešit, jak si to samo sobě z BT na BT pošle ten kód. (To vše nádavkem k tomu, že to ta aplikace bude muset umět přenést.)
A třešnička na dortu: používáme Virtual Desktop za VPN, z virtuálního stroje - připojit skrz to integrovaný BT je nereálné, občas - když bezpečáci dovolí aelementálové budou nakloněni
- by mohlo fungovat z USB.
Netvrdím, že to je neřešitelné, ale poněkud technicky komplikované. Je otázkou, zda na takové případy budou autoři připraveni.11. 5. 2022, 14:54 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Máte zařízení s aplikací, která vyžaduje přihlášení pomocí Passkey. K tomu máte konektory poskytující Passkey – standardní bude přes Bluetooth, ale aplikace pro vzdálenou plochu poskytne svůj vlastní konektor a protokol protuneluje skrz síť stejně, jako tuneluje obraz, zvuk, pohyby myší apod. No a na druhém konci sedí uživatel, tam se ta aplikace napojí opět na dostupné konektory – ať už to bude standardní bluetooth nebo třeba USB token se čtečkou otisků prstu.
A teď v čem je ten problém?
-
Když pominu tu čtečku otisků prstu... Problém máme (u nás) hlavně v připojování USB zařízení do té virtuálky, respektive v předávání dál. Z bezpečnostních důvodů totiž není dovoleno k firemním zařízením (a to ta virtuálka je!) připojovat USB ani BT zařízení. Proto se pro všechny kroky (po standardním přihlášení k té virtuálce, tedy jménem + heslem) konají pomocí TOTP ověřování, ručním opisováním kódů.
Pokud by se někdo do tohoto proprietálního closed-source firemního řešení pokusil vstoupit s něčím jednodušším, setká se, zcela pochopitelně, s neúspěchem.
Hlavní princip navíc spočívá v tom, že se potvrzuje každý krok, tedy VPN + tunel k virtuálkám (ano, tunel v tunelu, trochu overkill, ale má to svůj důvod...), přihlášení k VDI - a pak přihlášení na tu stanici jménem + heslem. -
Filip JirsákStříbrný podporovatel
Pokud budete potřebovat přístup k něčemu, co vyžaduje tento způsob přihlášení, musí vám do toho proprietárního closed-source řešení implementovat i tenhle protokol. Je to to samé, jako kdybyste tam dříve měli přístup jen k portu 80 nebo měli prohlížeč implementující jen HTML 4.01 a ukázalo se, že potřebujete přistupovat k webům přes HTTPS nebo používat moderní web založený na HTML 5.
-
Filip JirsákStříbrný podporovatel
Ne, nemusely by se překopat všechny aplikace, které jsou cestou. Pouze aplikace pro vzdálený desktop by kromě obrazu, HID, zvuku, schránky, USB, souborů a bůhví čeho ještě přenášela i Passkey.
-
Z toho seznamu to už půlku věcí nepřenáší nebo je filtruje.
Opravdu bych chtěl být u toho, až naši bezpečáci povolí přenášet něco, co nemají pod dohledem, začíná to na nekontrolovaném zařízení, končí uprostřed firemních systémů a dovnitř není vidět. ;oD
To TOTP si na každém kroku ověřuje nějaké to AD/LDAP/Kerberos... - ví kdo kam leze a jestli to je správně. Postavit to na něčem, co funguje samo a je to zadrátované někde uvnitř, to se jim nebude líbit.
A opravdu by se musely měnit i aplikace pro VPN, tunely. plus nastavení té virtuálky, aby vůbec to BT/USB pouštěla: používat (dál) TOTP na začátku, aby se pak použilo něco jiného nedává smysl. To je mnohem lepší ty novoty na konci prostě nepoužívat a zůstat u osvědčeného řešení.
Bezpečáci připustí jen takové změny, které jsou ve shodě s jejich paraniou. ;o) -
Filip JirsákStříbrný podporovatel
Proprietární aplikace vám nevadí, ale o otevřeném protokolu tvrdíte, že není dovnitř vidět. Passkey se bude implementovat především na webech, proto se tu bavíme o situaci, kdy to nějaký web nasadí jako jedinou možnost přihlášení a vy se na ten web budete muset dostat z nějakého omezeného prostředí. Do firemní VPN se klidně přihlašujte tak, že si useknete jeden článek prstu – snad nikdo nebude tak hloupý, že by nasadil Passkey na firemní VPN server a vůbec neřešil, že VPN klienti to neumí.
Nikdo nechce po virtuálce, aby pouštěla BT/USB. Potřeba je jenom to, aby v té virtuálce byl agent, který nabídne zprostředkování Passkey dovnitř virtuálky odněkud, kde se uživatel může autentizovat. Třeba klávesnici přece také nemáte do virtuálky připojenou tak, že byste ve virtuálce nakonfiguroval pouštění USB klávesnice a pak k ní připojoval svou klávesnici přes nějaké tunelované USB. -
Te proprietální aplikace nevadí hlavně našim bezpečákům - hlavně proto, že pro ně je open-source, mají možnost ji auditovat a mohou mluvit do toho, co a jak to bude posílat. Obávám se, že situace "na šifrovaný dotaz šifrovaná odpověď, dovnitř nikdo nevidí" je pro ně nepřijatelná, byť to bude posílat open-source aplikace.
A ty virtuálky nám přenášejí pouze HID a audio (pokud máme povoleno a potřebujeme na kondererence), plus obrazovku; žádný clipboard, žádně soubory, žádné připojení adresářů, žádné odchozí video... Předně by ten Passkey musel umět ten program, pak by ho musel umět předávat. Je mnohem jednodušší přenášet USB/BT "kanál" - a to je to, co se nesmí</am>. -
Filip JirsákStříbrný podporovatel
R. R. Šimek: Obávám se, že to, abyste měli k dispozici nástroje, které potřebujete ke své práci, je problém vaší společnosti. Pokud to neumíte, rozhodně to není důvod zastavit zavádění nějaké technologie na celém světě.
Vaše argumenty jsou zhruba na úrovni toho, jako kdybyste v době, kdy se zaváděl telefon, argumentoval tím, že ale vy jste zvyklí na telegraf a děláte s tím bůhví co a telefon zavádět nechcete. No tak ho nezavádějte, to je vaše věc.
-
Nikoliv. V tomto vláknu je pouze vyjádřena obava, že to může rozbít ve firmách hojně používanou VDI infrastrukturu. S tím jsem souhlasil, protože to je přesně scénář, kde se dají problémy očekávat.
Rozhodně nejsem proti zavedení dalšího systému ověřování - tam, kde je to vhodné. Ale pokud by (například) někdo došel k závěru, že by měl Passkey nahradit přihlašování jménem+heslem do systému, pak to rozhodně není dobrý nápad.
Telegraf nebyl nahrazen telefonem. Prakticky fungoval i v dobách e-mailu - a používal jsem jej v podstatě až do konce. Byť ke konci to ztratilo výhodu rychlého doručení... Veřejné telefonní budky jej o mnoho déle nepřežily. Pevně doufám, že klasický způsob přihlašování tu, vedle Passkey či něčeho jiného, vydrží stejně dlouho, jako telegramy. -
DannyStříbrný podporovatelListecky nalepene na monitoru (aka password-manager bezneho BFU) jsou lepsi? :D Zvlast v korporatech, kde je platnost hesla casove omezena (zvracenost sama o sobe od pseudobezpecaku, co nedelaji svou praci poradne) dava smysl hledat zpusoby, ktere nebudou oprene prave o hesla.
-
Filip JirsákStříbrný podporovatel
R. R. Šimek: Pokud budete potřebovat přístup k něčemu, co bude přes Passkey chráně, pak vám k tomu musí firma umožnit přístup skrze VDI infrastrukturu. Implementačně to nebude problém, je to otevřený protokol a VDI umí přenášet kde co. To, že vy máte přenos omezený na obraz jedním směrem a klávesnice a myš opačným směrem, neznamená, že je to to jediné, co VDI umí.
Pro přihlašování do systému existuje spoust alternativ vedle jména a hesla. Nikdy žádné alternativa nenahradila jméno a heslo, jsou to jen další možnosti – a je na správci, které možnosti povolí. Dává smysl, aby se jedním ze způsobů přihlašování do systému stalo i Passkey.
