Vlákno názorů k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od pingu - Hledat mobil při každém přihlašování mi nepřijde moc...
-
Hledat mobil při každém přihlašování mi nepřijde moc pohodlné.
Už teď mi tečou nervy, když se potřebuju někam přihlásit a kvůli 2FA mi to nejde. Někdy to jde přes mail kam se bez mobilu dostanu, ale třeba do banky je to někdy hroznej oser.
Aspoň jsem přišel na to, jak se dostat do KB i bez mobilu a ověřovací SMS - stačí cca 10x zadat špatný kód ze SMS (přes TOR browser, v běžném browseru co použivám jsem to schválně zadal špatně snad 30x a nic), pak ta jejich "appka" zahlásí, že tenhle způsob přihlašování mi zablokovali, a přitom při tom následujícím pokusu se do banky přihlásím i bez SMS kódu :) -
No dnešné 2FA je fakt hrôza... skúšal som sa prihlásiť na PayPal a bolo tam možnosť len SMS alebo volania... SMS samozrejme nechodila asi 10 minút, dovolať sa nešlo (bývam v okresnom meste takže tu mám max 2G s minimálnym signálom ktorý vypadáva, áno realita na Slovensku), a tak som sa nemohol prihlásiť.
Tie 2FA sú často práve že to znemožňuje prihlásiť sa legitímnym používateľom ale proti hackerom to skoro nechráni (SMS sa dá uniesť veľmi jednoducho ako už bolo aj v článku spomenuté)
Takže celé 2FA mi príde na hlavu, a najmä ako to vnucujú...
na druhú stranu ak to riešenie skutočne prejde do stavu že sa bude možné prihlásiť bez potreby opisovať čísla ako kokot, alebo čakať na SMS, hovor, či mail čo nemusí prísť alebo že by bolo potrebné pripojenie k Internetu, tak si myslím že by to mohlo byť fajn... hlavne nech je to offline a pohodlné...
btw. HW mení človek zriedka (mobil má človek zvyčajne aj rok stejný, počítač tiež, a to hovorím ešte o tých čo to menia ako ponožky, bežne aj 5 rokov stejný PC), tak v takej situácii overenie len na základe zariadenia (resp. nejakého kľúča uloženého v ňom) mi príde ako veľmi rozumný nápad.
Osobne jediné faktory authentifikácie ktoré považujem za rozumné a bezpečné sú heslo + nejaký FIDO key (alebo resp. unikátny token)...
som silne proti authentifikáciám pomocou kódov z SMS, mailu, a pod. alebo pomocou biometrických údajov ako otisk prsta či sken obličeje.
Celé Keypass znie ako veľmi dobrá vec, uvidíme ale aká bude realita... no dúfam že sa to podarí. Stále ale považujem Heslá ako jeden z tých najlepších faktorov autentifikácie, spolu s týmito jednorázovými tokenmi...
-
Používání sms je takové poor man's choice, vzniklé ještě v době, kdy smartphony nebyly. A zvládne to použít i člověk, co si s technikou nerozumí a v záplavě aplikací a možností smartphone se ztrácí. Pro většinu uživatelů i ta SMS dělá svou práci. Unést číslo není možná zas tak obtížné, ale už je to záležitost nějakého cíleného útoku, ne automatizovaného zkoušení uniklých údajů. Nicméně, je to doplněk k heslu, ne jeho náhrada, a k ideálu má rozhodně daleko.
Co se hesel samotných týče - tam je tolik příležitostí udělat něco blbě... Nejen technicky, ale i procesně, a jak na straně služby, tak u uživatele. Vynucené časté změny hesel, co vedou k "yellow sticky paper of doom," stejné heslo všude, plaintext v databázi, ... Že pro běžné použití na webu je možná fakt lepší se jich obecně zbavit, a nechat je jen pro vysoce zabezpečené systémy nebo specifické případy (např. administrace soho wifi routeru).
-
No jo, ale keď to SMS na bezpečnosti pridáva len "špetku", ale user experience zhoršuje o tonu, tak nie čo nie je v poriadku.... to je ako keby som teraz kvôli zabezpečeniu domu zamuroval dvere a chodil dnu rozbitým oknom... to je tá bezpečnosť, ktorú chceme? Keď už legitímny používateľ musí do svojho domu ísť komínom, tak to nie je v poriadku... však sme bežný ľudia, nie Ježíško....
Heslá sú hneď po jednorázových tokenoch jeden z najlepších foriem autentifikácie... problém sú akurát ľudia, ktorý heslá používajú nesprávne... Ale ak sú použité správne, som si istý že do účtu je nabúrať sa ťažšie než trebárs zabezpečenie na základe odtlačku prstu, skenu tváre, a pod.
