Vlákno názorů k článku
FSF nabádá uživatele, aby tlačili na Microsoft kvůli požadavku TPM 2.0 pro Windows 11
od K> - By me zajimalo, jak moc 'trusted' jsou ty...
-
By me zajimalo, jak moc 'trusted' jsou ty TPM? Ja jen ze mrkvosoft to podava jako ze bez TPM se zbori svet a hackeri vsechno hacknou. Jenze - kdyz TPM prijde o svou duveryhodnost, jak ho nahradim? Vymenim notebook? A neni lepsi nejaky externi sytem, ktery se snadno vymeni, snadno upgraduje a hlavne snadno vymeni v pripade nalezeni bezpecnostni chyby?
-
Jsou dostatečně trusted na to, aby to bylo o mnoho lepší než nic, a o mnoho lepší než zcela nechráněné bezpečnostní informace, zabezpečené heslem na lístečku nalepeném na noze monitoru. Dost šikovné (ale i ke vzteku) je, že se data v TPM zneplatní / znepřístupní ve chvíli, kdy je detekována změna, která narušuje perimetr bezpečnosti. Dá se říct, že pro obrovskou část populace je to bezpracný a zároveň poměrně zásadní posun k bezpečnosti.
Externí systém - ten by nemohl být dobře navázán na změny hardwaru či boot sekvence, navíc je nereálné, že by lidé s takovým systémem dodržovali zásady bezpečnosti.
TPM je zkrátka řešení, které uživateli nezasahuje do života povinnostmi, a zároveň vytváří solidní ochranu. Určitě ale nelze očekávat, že se jedná o neprůstřelnou technologii při skutečně profesionálním, cíleném útoku s přístupem k hardwaru.
-
Jsou uplne knicemu ...
Jednak je to ciste placebo - (nejen)ms to prezentuje tak, ze ti pak staci 4cisla jako pin ... a nepotrebujes heslo (lol). Duhak bezpecnost je exaktne nulova - on to nikdo nepouziva, proto se o tom moc nepise. Tretjak ... vymenit to jde presne tak jak pises. Ostatne viz nedavno yubi, to si muzes snadno koupit znova s opravenym firmwarem ... a to se vyplati (specielne pokud bys jich pouzival treba firemne stovky nebo tisice kusu).
Dal s tim narazis na spoustu problemu, od situaci, kdy ti systen nenabootoje, po situaci kdy proste prijdes o data.
-
To je dost smělé tvrzení, že to nikdo nepoužívá. Možná ve Vaší sociální bublině, ale pro firmy je to vítaná technologie. Díky ní v zásadě odpadl strach rozdávat zaměstnancům laptopy.
Čtyřmístný PIN se samozřejmě dá vynutit i složitější, ale hlavním rozdílem je, že po několika neúspěšných pokusech už TPM data nevydá, dokud přístup neobnovíte složitějším způsobem. Reálně je to bezpečnější, než komplexní heslo zapsané na papírku, nebo než používat na mnoha službách stejné heslo.
Proč by měl nenabootovat nebo přijít o data, mi jasné není, to prosím objasněte. K zabezpečení TPM logicky patří i recovery procedury. Spíš mi přijde, že to neumíte ovládat, nebo že od toho očekáváte něco jiného, než k čemu je TPM určeno, a nyní kritizujete tuto vyfabulovanou (ne)funkčnost.
7. 1. 2025, 11:31 editováno autorem komentáře
-
Nevím, v čem Vám to zkomplikuje život. Za běžné situace o tom ani nevíte, a když zablokujete TPM, tak ho obnovíte (účet, heslo, MFA apod.), což obvykle také vykonáte bez většího pocitu křivdy.
Za to, že máte reálně prakticky jistotu, že při ztrátě hardware (odcizení) se nedostane nikdo k Vašim datům, je to docela malá daň.
Tyto postoje mi přijdou poměrně kuriozní, protože uživatelé linuxu se velmi rádi zaštiťují bezpečností, ale reálně se často ukazuje, že spíš mají rádi iluzi bezpečnosti. Podobně kuriozní mi například přijde, že linuxové jádro doposud neumí ani pomocí kernel parametru spustit se s firewall policy drop - což je funkce, kterou windows implementovaly v XP SP2.
Abychom ale nežvanili. Tak například zcela reálný přínos je, že díky TPM a Hello můžete nastavit zamykání obrazovky klidně po minutě, protože díky fingerprintu nebo biometrii z kamery se Vám vše odemkne dřív, než sáhnete po myši. Například toto velmi efektivně snižuje "potřebu" mít nastavené uzamykání počítače po 15 a více minutách, jen protože zadávání hesla je otravné.
Také žádný přínos, podle Vás?
-
Nevím o tom, že by stačila fotografie, naopak po pár selhání se musí přejít na jinou metodu ověření.
Motivovaný hacker si samozřejmě zjistí Váš PIN nebo třeba i udělá 3D fotografii obličeje, ale k obraně před tímto typem útoků ta technologie není určená. To je jako kdybyste kritizoval traktor, že nemá airbagy, a když Vás někdo upozorní, že k tomu není určený, tak byste začal kritizovat monopost formule, že taky nemá airbagy.
Ta technologie má své určení, a tím není neprůstřelná bezpečnost dat. Tím je ošetření přístupu k datům v nejběžnějších rizikových situacích (odchod od odemknutého počítače, krádež počítače apod.)
-
Nevím, v čem Vám to zkomplikuje život.
Třeba když se z libovolného důvodu TPM rozhodne, že nevydá klíč k dešifrování disku? A to nemluvím o BFU, kteří ani o nějakém šifrování nemají tušení a může je to stát data (sice kvůli jejich neznalosti, ale přece). Ano, data je třeba zálohovat, ale komplikace to prostě je, někdy nemalá. A to tím spíš, jak fungují Murphyho zákony - stane se to, když to zrovna člověk nejméně potřebuje.Třeba LUKS mi nabízí šifrování disku, kterému můžu věřit - pokud stroj vypnu a dá se hardwaru důvěřovat, není v tu chvíli šifrovací klíč vůbec nikde, pouze heslo se nachází v mé hlavě. Navíc je to transparentní a prověřená technologie - že musím při startu OS napsat heslo, mě prakticky nijak netrápí.
Tyto postoje mi přijdou poměrně kuriozní, protože uživatelé linuxu se velmi rádi zaštiťují bezpečností, ale reálně se často ukazuje, že spíš mají rádi iluzi bezpečnosti. Podobně kuriozní mi například přijde, že linuxové jádro doposud neumí ani pomocí kernel parametru spustit se s firewall policy drop - což je funkce, kterou windows implementovaly v XP SP2.
To s vyžadováním TPM ze strany Micro$oftu souvisí přesně jak?Abychom ale nežvanili. Tak například zcela reálný přínos je, že díky TPM a Hello můžete nastavit zamykání obrazovky klidně po minutě, protože díky fingerprintu nebo biometrii z kamery se Vám vše odemkne dřív, než sáhnete po myši.
Aha, dobře - funkce, kterou nejen že nepotřebuji, ale ani nechci, když potřebuje pro svou funkci neustále zapnutou kameru, navíc v tak pochybném a nedůvěryhodném OS. Co tam máte dál? -
Což přesně označuji za nadutost. Běžný uživatel je naopak heslem otravován, takže dotazy na heslo vypíná, nastavuje si heslo jednoduché, ke všem službám stejné, zapisuje si ho na papírky a sděluje ho do telefonu kde komu, kdo mu zrovna supportuje počítač. Ano, můžete namítnout, že to už je hloupost lidí - ale technologie jsou zde, aby hloupost lidí kompenzovaly.
S TPM to souvisí tak, že spojení TPM s autentizačními mechanismy přináší uživateli velmi uspokojivou úroveň zabezpečení, při nulovém snížení komfortu, nebo dokonce při zvýšení komfortu. Což je právě rozdíl mezi iluzí bezpečnosti (používejte LUKS, používejte bezpečná hesla, nikam je nepište, nikomu nesdělujte, ...) a mezi skutečnou bezpečností (zásady jsou vynuceny).
To, že Vy nepotřebujete uzamykání obrazovky vůbec neznamená, že to nepotřebuje svět jako celek. Nejjednodušší vektor útoku je odemknutý počítač, ukradený laptop, heslo napsané na monitoru či heslo používané ve více službách. To, že se Vás konkrétně toto netýká, se nijak nevylučuje s tím, že se to může týkat velké části uživatelů.
-
"protože díky fingerprintu nebo biometrii z kamery se Vám vše odemkne dřív, než sáhnete po myši"
To jiste .. pokud teda dotycny zrovna nema rymu. Pripadne pokud si pred ten pocitac nesedne jeho syn(jeji dcera) ...
Mimochodem, to ze o ebzpecnosti nic nevis jen dokladuji prave tyhel tvoje blaboly kteryma nas tu oblazujes. Tam kde se na bezpecnost hraje se pouzivaji chipy (v ruznych podobach) a to ze si ho dotycny veme sebou se zajisti celkem snadno tak, ze ho potrebuje i na otevreni dveri na hajzlik.
Nehlede na to, ze pokud bych si chtel "hrat", tak to snadno udelam trebas s telefonem a BT. Kdyz je v dosahu = pc se odemkne. Bezpecnost nula ale pekne to vypada ze?
Apropos, ty zjevne vubec netusis, ze firmy v souladu s legislativou biometrii vubec pouzivat nesmi. Nikdy a nikde. Vyjimky jsou mozne pouze tam, kde je legislativou vyzadovana zvlastni uroven zabezpeceni.
-
K diskuzi o odemykání biometrií přidám zajímavost:
Na Macu probudím počítač stiskem vypínače, který počítač probudí, přečte si otisk, porovná s uživateli v systému a rovnou do příslušného přihlásí. (1 krok)
Windows probudím, a pak řeším odemčení tím Hello. (2 kroky)
Linux probudím, vyberu uživatele a "zadám heslo" tím otiskem. (3 kroky) Ale zas aspoň že to funguje, jsou myslím rozšíření i do webového prohlížeče. Akorát je vtipný, jak login screen != lock screen, i když imitují stejný vzhled. Takže se odemykání otiskem řeší zvlášť.
-
Se ztrátou dat jsem se setkal u Dell laptopu, kde výrobce přednastavil BitLocker šifrování disku a neřekl to uživateli. Ten tak nevěděl, že si má vyexportovat klíč , protože špatná verze BIOS v automatickém update byla jen otázka času. BIOS po update ztratil info o klíči a Windows jej chtěl zadat od uživatele.
7. 1. 2025, 11:39 editováno autorem komentáře
-
Pokud nevíte, co děláte (tj. není to kvalifikované rozhodnutí), máte jít doporučeným postupem. Pokud vybočíte z doporučeného postupu, je už jen Vaše hloupost, že jste neznalý důsledků. To platí u Windows, i u Linuxu. Celkově často čtu stížnosti, které vycházejí z neznalosti systému a zároveň z pokusu něco, co neznám, ovládat.
-
To máte jen pocit ve své sociální bublině. Reálně lidé bez MS accountu tvoří poměrně malé procento uživatelů. Samozřejmě "geekové" těchto dotazů vznesou dostatek, aby to bylo pro vyhledávač relevantní. Ale sám vidíte, že houby znají důsledky.
Potíž spousty lidí je právě v tom, že svoji společenskou bublinu považují za etalon celé společnosti. Já zase prakticky nepotkávám lidi, kteří by prožívali, kde jsou zaregistrovaní a jaký mají account (a přesto vím, že určitá část lidí takových je).
-
Především žiju tam, kde diakritika patří k psanému projevu a tyká se jen kamarádům, to na okraj.
U domácích uživatelů už si pomalu troufám tvrdit opak, jak si postupně vyměňují počítače, mají chytré telefony, tak je čím dál méně lidí bez MS accountu a Google accountu.
V pracovní sítí se klíč bitlockeru zálohuje buďto do AD nebo do Entra, tam je to ještě menší problém. Stačí na to jedna skupinová politika a je vymalováno.
-
Od kdy? MS Account je "oficiálně" povinný až od Jedenáctek, na které jsou lidi tlačeni končící podporu Desítek až teď. Příklad se ztrátou dat jinde v této diskuzi byl před lety s Desítkama. To i já jako IT expert jsem byl překvapen, že někteří OEM začali prodávat notebooky se zapnutým šifrováním disku.
-
Narozdil od tebe si nevymyslim, resil sem to naposledy loni o prazdninach. A 1000x samozrejme i predtim.
Tvoje scifi predstava ze bfu bude resit nejaky recovery ... lol. Bfu si ani nepamatuje jak se jmenuje, coz potvrdi kazdy prvni admin. Kdyz lidem (specielne tem na win) vnutim zadani loginu, tak se mi jich zitra 90% neprihlasi.
-
Takze ... vis o tom vubec aspon neco?
Pokud by TPM po par pokusech data nevydalo, tak by na sebe dotycny tupec spachal naprosto dokonaly DOS, protoze neuspesnych pokusu o prihlaseni(od opravnenych uzivatelu) mam denne v logu stovky.
Naopak kdyz to TPM chcipne, tak jaksi z principu veci jsou v trapu i vsechna data ze?
Mno a to takhle loni(nebo to uz je predloni?) touhle dobou vydali soudruzi v MS aktualizaci ... a VMka na vmware ktery mely zaply secureboot(coz s tpm souvisi, ze) nenabootovala. Coz se v tomhle pripade vyresilo snadno tim, ze se secureboot vypnul a zakazal pouzivat.
Mimochodem, mam v jeste v pameti letosni aferku na tema ze to chcelo jakesi obnovovaci heslo ulozene kdesi na serverech MS ze? ... lol ze prej bezpecnost.
