Vlákno názorů k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od Pan Kachna - Osobně používám raději hesla, protože poskytuje skutečně anonymní...

Osobně používám raději hesla, protože poskytuje skutečně anonymní přístup.
Obávám se toho, že zmíněné standardy půjdou směrem ke sběru dalších dat o uživateli a to je pro mě neakceptovatelné.

Doporučuji přečíst si něco o U2F nebo lépe o novějším standardu FIDO2, na kterém je tohle celé postavené. Na Rootu o tom bylo několik článků. Je to vymyšlené právě tak, aby žádná data o uživateli neunikala. Neprobíhá tam přihlašování přes nějakého prostředníka, jako třeba u OAuth nebo OpenID.

Uživatel se přihlašuje pomocí svého privátního klíče, který je ještě před použitím kombinován s částí získanou od služby. Je to celé vymyšlené tak, aby ani jednotlivé služby nemohly rozeznat a sledovat jednoho uživatele, z jejich pohledu se vždy jedná o unikátní přihlášení za použití unikátního veřejného klíče.

Přiznávám, že standard jsem nečetl, ale mám obavu, že pokud to implementují firmy typu google, microsoft, apple a podobně, tak vsadím boty na to, že data sbírat budou. Bude to pojmenované jako bezpečnostní prvky, ale data o uživateli to budou. Minimálně nějaké ID zařízení, telefonní číslo, IP adresy, unikátní klíče certifikátů atd. To všechno spárované do nějakého frameworku jako například google pay atd.

IP adresu má úplne každý server, s ktorým komunikujete... bez IP adresy by totiž nevedel kam poslať odpoveď... takže to v podstate privátna informácia nie je... bežne za deň zistí vašu IP aj niekoľko tisícok serverov... takže snažiť sa neodoslať IP serverom nedáva žiadny zmysel... IP sa vám nikdy už z podstaty že je to základ pre komunikáciu po sieti nepodarí utajiť, nikdy sa vám nepodarí zabrániť zberu IP... ID zariadenia, hmm a čo s tým, vedia rozoznať maximálne či si stejný ako už v minulosti prihlásený používateľ, ale ID zariadenia sa dá meniť (ak používaš hypervisor, tak máš virtuálne ID)... ak sa snažíte utajiť takéto informácie, tak to sa môžete odstrihnúť komplet od Internetu... tie kľúče certifikátov stále nechápete, oni nebudú mať prístup k privátnym kľúčom, len verejným... a tie sú z podstaty ako už názov napovedá, verejné... moc na tom neviem čo chcete utajiť... žiaľ niekto už až tak moc chce byť "anonymný" že keď ide do obchodu tak si každý deň urobí plastickú operáciu, aby ho ľudia nerozoznali... bežne na ulici vás vidí kde kdo a nevadí vám to... trocha myslím že ohľadom utajenosti sú ľudia už trocha posadnutý... a to hovorím ako človek čo si na súkromie silne potrpí a odmieta zber akýchkoľvek dát, ktoré služby nepotrebujú... ale je rozdiel zbierať IP adresy a je rozdiel zbierať dáta ako meno, priezvisko, dátum narodenia, adresa, tel.č., a podobne... btw. k tomu tel.č. nie to zbierať nebude.

jenže realita bude jiná. Pamatujete třeba na nesmysl jménem GDPR? Jak nám mazali med kolem huby. A co se stalo, nic...

Tyhle snahy jsou jen o tom, že soudruzi nahoře nechtějí anonymy na netu, ale chtějí nás donutit používat zhovadilosti jako passkey, bankovní identita a další ko**tiny, jen aby věděli, kdo je na druhé straně.

Tolik nesmyslů v jednom komentáři, jak se vám to povedlo?

Ak ste po nasadeni GDPR direktivy nic nezbadal tak to ste asi slabo pozeral. Zmenilo sa toho dost.

Máte pravdu!
Osobně považuji HW token (ne duplikovatelný faktor) za jedinou cestu tady z toho marasmu ven.
A klidně to pak celé může být pouze 1FA ověřování.
Velké korporáty se tomuto řešení brání a vymýšlí různé, vzletné názvy a standardy.
Důležité je pak, to jak to dopadne v reálu. Bez M$ se nikam ani nepřihlásíte.
Tak jak M$ v minulosti zneužíval své dominantí postavení, teď to umí dělat chyře, za chválospěvu laických uživatelů.