Vlákno názorů k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od vrkuvrku - Tak snad se to povede - osobně vnímám...
-
DannyStříbrný podporovatelTak si nekdy prohlednete svazky klicu, se kterymi jezdi postaci... nebo popelari :-)
-
Ano, to já taky. Proto taky doma nepoužíváme normální klíče vůbec (teda když nepočítám nějaký záložní někde u příbuzných). Mám to na otisk prstu. Ten mám vždycky s sebou, nikdy ho nezapomenu a nemusím ho tahat zvlášť. Kdyby něco selhalo, pak ještě mobil (stejně tak když chci někoho pustit vzdáleně). A kdyby selhalo všechno, tak až potom ten záložní klíč. Ale ten jsem v životě viděl snad jen jednou.
Je to paráda si vyjít jen tak ven a nemuset s sebou mít vůbec nic.
-
Já používání biometrické autentizace vidím jako dost problematické z jiných důvodů: Jednak může selhat nebo ji může někdo obejít (např. u těch otisků prstů to není zrovna sci-fi) a jednak je zcela pevně a neměnně svázaná s mou identitou. Jinými slovy, pokud nepoužiju nějaký mezičlánek, používám jednu jedinou identitu pro všechny systémy, do kterých se autentizuji, oproti situaci, kdy můžu pro každý systém použít jiné heslo nebo jiný klíč, což docela hází klacky po nohy anonymnímu přístupu ke službám.
-
Jenže tohle není biometrická autentizace. Tím otiskem prstu jen autorizujete ve svém zařízení použití soukromého klíče. Pokud se vám čtečka na vašem mobilu nelíbí, použijte třeba PIN.
Anonymnímu přístupu to klacky pod nohy nehází, ten protokol je navržen tak, aby na každé službě používal jiný veřejný klíč. Žádná služba tedy neví, odkud přicházíte a jaký klíč máte na jiné službě. Popsáno je to například v článku Bezpečné přihlašování na SSH s hardwarovým U2F tokenem
. -
No tak teď pošlete klíče od všeho do Microsoftu(Google, nebo Applu).
Nejenom že budou vědět kdy a kde jste který klíč použil, ale budou ho umět použít taky.
MS, Goo, Appl jsou tak vysoce trust společnosti, že přes jejich API bude probíhat(v reálu) potvrzení téměř jakékoliv auth transakce.
No a to víte, že nebudou potřebovat Vaše trust zařízení ať je to cokoliv (mobil app, HW token, sken sítnice)…
Nad tím je potřeba se zamyslet do hloubky !!!
Teď budete mít pocit, že si vybíráte své, lepší a likely řešení, oproti starým nefunkčním heslům.
Ale omyl, teď teprve uděláte eště vetší krok vedle než Ti zmiňovaní IT-ci. -
DannyStříbrný podporovatel
Nestaci. Komentovany prispevek je napsany v takovem duchu, ze dotcene spolecnosti budou mit autonomni pristup k cilovym systemum. A to je samozrejme nesmysl :-)
-
Ne nemyslím si, že MsGooAppl bude mít Váš privátní klíč.
Vy si budete hrát s univerzální službou od MsGooAppl na ověřování s Vašim privátním klíčem.
A pak půjdete na web, kde se budete chtít ověřit účtem od M$. No ale proč by Vás M$ proboha znova vyzíval na ověřování ? Tím by Vás odradil od používání.
Tak raději, náhradou za Vás, použijí svojí autentizační metodu se svým klíčem, pokud požadavek rovnou nepotvrdí přes API . -
Vy sa autorizujete voci MS alebo Google, sluzba sa autorizuje voci MS alebo Google nie voci vam. To je predsa uplne jasne. Ale to ako keby ste si stazovali ze server kam sa pripajate tak tam niekto moze zmenit heslo, prihlasit sa a vratit. To predsa nie je predmet diskusie.
Predmetom diskusie ci sa zjednodusi 2FA a ako. Trust nadalej zostava ci tam 2FA mate alebo nie. -
DannyStříbrný podporovatel
Globalni metriky muzou davat jina cisla nez Vase soukrome metriky. Jenom se teda nabizi otazka, komu teda verite a na zaklade jakych metrik... :-)
