Názory k článku
Google spustil bezheslové přihlašování Passkey na Androidu a v Chrome

Vim ze je to ve zdroji, ale bylo by fajn zminit ze to zatim funguje na Androidu jen pokud mate prihlaseny odber BETA pro Google Play Services a v Chrome je to zatim v Canary.

Díky, do zprávičky doplněno.

Hezká věc... ale doposud je to děravý jak cedník.

čo je na tom deravé?

ZA 1) je ve hře facebook pod novým jménem META... a v čem má prsty tak je průser s bezpečností.
Za 2) na iOS byl obrovský únik...
Za 3) udělej si kopii prstu silikonem a maximální vrstvě 2mm... nech to vytuhnout, zahřej to na tělesnou teplotu a otevřeš s tím telefon jako nic...

Tak jo... uz vidim jak thajsky nebo burjatsky hacker prijede do cr ziskat muj silikonovy otisk prstu aby mi hacknul ucet na alze...

Zajimave je, ze se mu to jeste nepodarilo u moji banky, kde uz to pouzivam vice nez tri roky. Ale tak asi jsem v poradniku. Predpokladam ze prave vyrabi otisk souseda co bydli o tri patra niz.

Ad 1) Jak to ovlivňuje Passkey?
Ad 2) Jak to souvisí s Passkey? Únik čeho?
Ad 3) Pokud vím, není povinné používat Passkey zrovna s odemčením otiskem prstu. Nic vám nebrání používat k odemčení telefonu 10znakový PIN. A mimochodem – jak přesně útočník (když připustíme, že je někde v mé blízkosti) „udělá kopii prstu“?

Nic z toho nerika, ze by to bylo jakkoli derave.

Nějak nechápu, co je na heslech problematického. To že je lidé neumí správně používat, je jejich problém.

Navíc, když je heslo kompromitováno, můžu ho jednoduše změnit, pokud bude kompromitován otisk prstu, tak těch možností na změnu moc nemám...

A co u účtů, kde potřebuji, aby do nich mělo přístup více osob??? Myslím, že tohle je možná i ten hlavní důvod, proč se to ověřování biometrikou tak prosazuje, aby bylo zaručeno, že daný účet používá pouze jedna osoba a bude možné na ni lépe cílit reklamu.

no niektore mladsie rocniky si uz nepamataju ako heslo napisat.

Já se obávám, že problematičtější jsou spíše ty starší ročníky, klasické lístečky na monitoru, hesla typu heslo12345 a stejné heslo na všechny účty...

Otec (čerstvě v důchodu, ale pařan) si na správce hesel a správnou hygienu hesel navykl po roce a půl intenzivního tlaku z mé strany a několika případech prolomení jeho účtů. Matka (do důchodu za 6 let) stále vzdoruje, ale alespoň nemá hesla tak jednoduchá. Jejich vrstevníci jsou na tom mnohem hůře.

Problém je i v tom, že i když po nich zařízení bude chtít otisk prstu, tak mu ho prostě dají, bez rozmyslu, zda se jedná o jimi vyžádaný požadavek.

Na heslech je problematické to, že se prakticky nedají používat. Heslo má být něco, co si pamatujete a nezná ho nikdo jiný. Už jen to zapamatování je docela problematické už kvůli dnešním požadavkům na komplexnost. A to se bavíme o jednom hesle. Jenže reálně člověk potřebuje desítky přístupových údajů. To si nikdo nemůže pamatovat. Takže se používají správci hesel (v tom lepším případě) – jenže technicky vzato už to pak nejsou hesla, ale klíče. Pak je tam ten druhý požadavek – že heslo nezná nikdo jiný. To dnes opět v drtivé většině případů není splněno. Heslo napíšete do prohlížeče a ten ho tak jak je předá webové stránce. Takže to heslo může znát i provozovatel webu – tím pádem vůbec nevíte, kdo všechno to vaše heslo vlastně zná. Což opět znamená používat pro každý přístup jiné heslo, tedy opět správce „hesel“ – takže se nepoužívají hesla, ale krátké klíče.

Pokud něco používá špatně většina lidí, není to problém těch lidí, ale problém technologie.

S otiskem prstu to nijak nesouvisí. Telefon můžete mít zabezpečený, jak chcete – třeba ho pokaždé můžete odemykat dvacetiznakovým heslem.

Když má mít někam přístup více osob, má mít každá své přihlašovací údaje.

To jsem fakt potřeboval, aby se toho chytil Jirsák, co nemá do čeho píchnout...

To že si máte heslo pamatovat, je právě velký omyl, heslo má být ideálně velmi obtížně zapamatovatelné. Heslo nikam nepíšu, ale vkládám. Pro každou službu jiné.

Ta technologie je skvělá, jen ji používá hromada negramotů. Nerad používám demagogii, ale dle vaší profilovky předpokládám, že rád fotíte a máte patřičné znalosti, jak zacházet se zrcadlovkou, ovšem když si jí vezme do pacek negramot, tak ty fotky, co z ní polezou budou horší než z levného telefonu, přijde vám to jako chyba technologie?

Nemusí mít každý své přihlašovací údaje, dokonce některé samotné služby Google nejsou tak koncipovány a nehodí se to, např. Účet do Google Ads. Chcete mít účet vlastníka, ten je jeden a je to firma. To si snad máme koupit telefon speciálně na ověřování přihlášení do tohoto účtu? A co když se budu chtít přihlásit z home-office nebo někde v terénu? To mám volat do centrály, ať mi tam někdo mačká něco na telefonu pro jediný účel? Nesmysl...

Ano, to je všechno pravda. Ovšem naráží to na realitu, že většina lidí prostě používá hesla špatně a všichni to pořád dokola řeší: admini, provozovatelé služeb, policie, soudy, banky, všichni pořád dokola. Můžeme jednoduše říct: „Jste blbí, můžete si za to sami.“ a nic dalšího neudělat. Ale to situaci nevylepší. Mnohem efektivnější je vymyslet něco, co ten problém bude řešit.

Jasně, určitě nemám problém s možností jiného řešení, klidně i tohoto. Mám problém, pokud bude vynuceno a to časem bohužel nejspíše bude. Stejně jako nejen Google vynucuje 2FA.

To, že si heslo pamatujete, je původní definice hesla. Když to není určené k zapamatování, ale je to náhodně vygenerované a je to někde uložené, je to klíč.

Nezbývá mi než opakovat, že pokud většina lidí používá nějakou technologii špatně, je to chyba té technologie, ne lidí. Kdybyste měl auta navržená tak, že k jejich řízení jsou potřeba tři ruce, také byste tvrdil, že to není chyba aut ale problém je v tom, že auta používá hromada mrzáků?

Ano, máte jeden účet vlastníka, což je firma. Firma se ale nikdy nikam nepřihlašuje. Přihlašují se konkrétní lidé, kteří mají mít pod tím účtem přístupové údaje. Mohou se dokonce lišit jejich oprávnění, někdo má přístup ke všemu, někdo třeba jen k fakturám. Neplaťte si účet a přístupové údaje, jsou to dvě různé věci.

Celkově mi vadí tohle vytváření křížových závislostí. Třeba do internetového bankovnictví se z počítače dnes nepřihlásím bez toho, abych musel jít pro telefon. A pokud telefon rozbiju nebo utopím v záchodě, tak mám stopku, protože na záložní staré tlačítkové Nokii android aplikace nefungují a ověřování pomocí SMS je fuj-fuj zastaralé.

Tohle ale není vytváření křížových závislostí – v mobilu vám to bude fungovat samo, bez dalšího zařízení. Tady se to další zařízení přidává proto, že počítač a jeho operační systém není dost bezpečný. Tak se holt bezpečnost musí delegovat na jiné, bezpečnější zařízení.

To je trochu silna generalizacia. Svojmu Linux PC zavretemu za mojimi dverami na mojej dratovej sieti verim viac nez ktoremukolvek mobilu alebo Windowsu. Navyse tiez nie som stotozneny s tym, ze k prihlasovaniu je potrebny smartphone.

Problém je, že úplně stejně jako vy svému PC věří někdo jiný svému PC s Windows XP, Internet Explorerem a sbírkou cracknutého softwaru z nejrůznějších pochybných zdrojů, mezi kterým je i spousta havěti. Zkrátka to nelze nechat na úsudku jednotlivce, protože spousta lidí to posoudit nedokáže.

K běžnému přihlašování není smartphone potřebný, dá se to řešit i autentizačními tokeny. Které Chrome také podporuje.

Preferuje se telefon, protože je to vaše "chůvička". A teprve ještě bude. Počítač není.

14. 10. 2022, 17:47 editováno autorem komentáře