Vlákno názorů k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od none_ - Nezkoumal jsem detaily, ale muze se ten nosic...

Nezkoumal jsem detaily, ale muze se ten nosic tokenu (mobil), zaroven prihlasit sam sebe do te sluzby? Jakoze jsem na mobilu a chci se podivat do internetoveho bankovnictvi.

Pokud ano, nepada tim prave ta jedna polovina zabezpeceni, ze "neco mam"?

Z meho podledu veskery benefit 2FA je prave v tom, ze mam 2 oddelena zarizeni. Jakmile mam oba faktory na jednom zarizeni, tak jsem podle me zpet na urovni hesla.

Offtopic: A z toho duvodu me jeste zadna banka neutahla na jejich mobilni aplikaci. SMS muze byt nebezpecna, ale pokud neprijde driv, nez nekdo zada do IB kombinaci jmeno/heslo, kterou ten mobil nikdy nevidel, tak je podle furt bezpecnejsi, nez vsechny mobilni aplikace dohromady.

Ano, na mobilu je možné se tím tokenem přihlásit a funguje to tak už teď. Android je certifikovaný na L1, takže se s ním přihlásíte třeba i ke službám státu. Mám to tak a používám to.

Potíž je ale v tom, že neexistuje způsob, jak ten token v mobilu využít na vedlejším zařízení – chybí právě nějaký standard pro použití Bluetooth nebo kabelu pro komunikaci třeba s počítačem. Což je vlastně hlavní inovace Passkey, to ostatní už dávno existuje. Google to třeba pro přihlášení umí použít, ale používá na to vlastní protokol, který nefunguje s jinými službami. Proto je fajn, že FIDO vyvíjí otevřený standard pro všechny.

Úplně stejně se dá použít třeba Windows Hello nebo jiné rozhraní v operačním systému. Ten systém je pak autorizován, aby vás hlásil k dalším službám. Je to vlastně nakonec stejné jako třeba SSH klíče – taky máte privátní klíč v počítači a hlásíte se s ním ke službám.

Tak to ma ale porad stejny problem, jako soucasne metody. Typicky ten priklad s SSH a certifikatem. Jakmile se nekdo dostane k memu pocitaci/certi­fikatu, tak je v podstate burt, jestli mam na SSH heslo "Password1" nebo mam pro pristup k privatnimu klici heslo "Password1" a ten pak pouziju na SSH.

Budu velmi vdecny, pokud mi nekdo predchozi odstavec vyvrati. Je to neco, co se snazim uz dost dlouho pochopit, ale bud je to presne tak, jak pisu, nebo mi neco unika.

S touhle novou aplikaci v mobilu, jakmile ma nekdo pristup k tomu mobilu, tak potrebuje uz je to "heslo". Bezpecnejsi je to mozna jen o to, ze nedovoli uzivatel pouzit heslo, ale donuti je se nejak oskenovat (palec, oko,...).

Uzitecne mi to prijde bez toho mobilu. Pokud nekdo zacne vyrabet jednoucelovou klicenku velikosti max klice od auta, ktera krome bluetooth a nejakyho sifrovaciho cipu nic nema a na jednu baterku pobezi 5 let, tak si dovedu predstavit, ze bych to pouzival.

Takové klíčenky samozřejmě existují, vyrábí je třeba Yubico pod názvem Yubikey. Existují i varianty s Bluetooth, ty zase dělá Feitian. Tohle je běžná věc, která existuje mnoho let a dá se použít teď hned. Sám jich tu několik mám a používám je.

Ani tyhle klíčenky ale neřeší vámi zmíněný problém „když je někdo má, přihlásí se za mě“. Tohle v praxi není problém a zřejmě se vám běžně nestává, že by vám někdo ukradl mobil a vyndal peníze z banky. Neznám nikoho, komu by se to stalo a ani podobný případ z médií.

Většina útoků probíhá na dálku, kdy unikne heslo z jedné služby a útočník se přihlásí na druhou službu. Nebo je to heslo tak slabé, že se dá prostě uhádnout a útočník se přihlásí přímo. Tohle je současný hlavní a skutečný problém, který se tím dobře implementovaným druhým faktorem dobře řeší. Proto to taky nasazují povinně banky a egovernment.

Ano, prosim takto: https://www.ftsafe.com/Products/Power_Card/Fingerprint

Pokud se nekdo dostane k memu telefonu/pc, muzu byt v klidu, pokud nema taky tu kartu. Pokud ji ma, bojim se jen trochu, protoze je chranena tim otiskem. Zaroven vyhoda je, ze ten otisk je jen v te karte.

Muj (pravdepodobne prilis paranoidni) scenar s jednim zarizenim je, ze si stahnu nejakou aplikaci, ktera si pomoci systemovych chyb/sdileni dat mezi aplikacema zahraje na MITM. Tzn vylaka ze me pod nejakou zaminkou otisk/heslo a pak uz si dela, co chce s mym uctem.

Pokud mam dve zarizeni, tak uz musi jit o vylozene cileny utok na moji osobu. Tzn nekdo se potrebuje dostat do meho PC + do meho mobilu.

Jestli se nepeltu tak Feitian ani Yubikey nemaji klice pro FIDO2 L2 a tohle reseni by melo byt podle vseho neco na takoveto urovni. Celkove sehant neco s FIDO2 L2 co ma NFC nebo aspon bluetooth je dost problem.

To ze vetsina utoku je dnes na dalku nemusi znamenat ze po masivnim nasazeni Passkey se nevratime ke staremu dobremu kapsarstvi. Utocnici preci provadeji utoky tak jak je to pro ne nejvyhodnejsi, a vyvijise.

cílené útoky na konkrétní osobu se dějí a jsou také nebezpečné, mělo by se na to myslet, tj. pořád je vhodné mít nějaké krátké piny, "otisky" či jiné věci, které nejsou zapsané/fyzické a má je dotyčné pouze u sebe a nelze je snadno odcizit.

Naprosto bezpečný systém nejde prakticky udělat. Nedal by se používat. Celá bezpečnost je tak nakonec o snaze balancovat překážky pro útočníky a uživatelskou přívětivost.

Většina lidí se nepotká s tím, že by jim někdo na dálku napadl zařízení a vytahoval z toho data bez jejich vědomí. Mnohem pravděpodobnější je zneužití uniknutého či uhodnutelného hesla, nebo phishing. Takže proč heslo nenahradit jiným tokenem, jehož uniknutí je mnohem obtížnější a omezenější (je třeba napadnout konkrétního uživatele a z něj dostatnete jen jeho přístupy, namísto db dumpu všech uživatelů) a který ztěžuje (nikoliv znemožňuje) phishing.

U toho SSH není až takové riziko, že někdo ovládne ten váš stroj, ale že se bruteforcem dostane na ten vzdálený server. Na SSH certifikát se můžete dívat jako na způsob, jak z "Password1" udělat řádově silnější a delší heslo (které navíc klidně zadáte jen jednou po startu a nemusíte to dělat pro každé přihlášení, když si nastavíte ssh-agent).