Názory k článku
Google zapnul přihlašování k účtu bez hesla pomocí Passkey
-
Smazaný profil
Jsem jediny, komu prijde bezpecnejsi mit vymysleny login v hlave (nebo v nejakem svem trezoru pod moji kontrolou) nez to mit vazane na zarizeni? To pak kdyz nekdo ukradne mobil/ntb/pc tak ma okamzite pristup ke vsemu a muze se prihlasovat do VSEHO daneho uzivatele. Tedy az se tahle nesmyslnost rozsiri jako standard… BTW co kdyz se moje zarizeni rozbiji? Jak se prihlasim z noveho zarizeni kdžyz nebudu mit stare k prihlaseni?
-
Smazaný profil
Pan Kachna: Tak nejak! :) Me se obecne nelibi tenhle princip ze nebudeme nic vlastnit ani nic mit pod vlastni kontrolou, protoze kdyz neco nemame pod kontrolou tak to nevlastnime, protoze kdykoliv muze nekdo neco skrtnout v podminkach a zrusit pristup... Ale ze se uzivatele budou chtit vzdat i kontrolou nad prihlasovanim, jen proto aby google mel pod palcem uz uplne vsechno, to nechapu...
-
No, musím konstatovat, že jste opravdu nic nepochopil. Čeho se vzdáváte, když místo jména a hesla pošlete na přihlášení do služby klíč? Jestli máte pocit, že když se přihlašujete heslem, tak máte nad přihlášením nějakou kontrolu, budu vám muset sdělit sladké tajemství, že nemáte. Psst, ale nikomu to neříkejte ...
-
Smazaný profil
Ivossz: spis to vypada, ze nechapete Vy, kdyz nevidite mezi tim rozdil. To ceho se tim vzdame je kontrola nad prihlasovanim a zabezpeceni.
Ty jo desne vtipny, ale reknete mi, jak to myslite, ze nemam ted kontrolu nad prihlasovanim? Dam vam priklad, mam v hlave login udaje k nejaky me dulezity sluzbe. Nevytahne ho ze me zadny spam, phising, vir apod. Kdyz mi ukradnou pocitace, telefony atd. Stejne se tam nedostanou pac nemaji ten login (kdyz se to stane s novou sluzbou tak se zlodej pripoji do vsech sluzeb s tim zarizenim sparovanym). Jedine snaz, ze chyti me a budou mucit dokud nedostanou udaje, ale to je kapanek narocnejsi nez ukrast notebook/mobil.Toz mi reknete v cem se mylim?
-
Chyba je už v tom, že tvrdíš, že si pamatuješ login. To je kec, aby byla hesla dostatečně složitá a neopakovala se, bez správce se neobejdeš. Mám vlastní databázi hesel, mám vlastní RSA, mám telefon, stále dokola je vše založeno na tom, že musím něco mít. Pokud mi to někdo ukradne, prohrál jsem. Ke všem serverům se přihlašuji jen svým RSA a je to, světe div se, bezpečnější než heslem.
-
-
Překvapuje mě, že tohle řekne čtenář Rootu. Tady bych čekal, že si lidé dokážou nejdřív zjistit informace, než pouze povrchně reagovat na mylné domněky.
Tak já se to pokusím vysvětlit, protože jste to opravdu nepochopil.
Bylo by dobré si nejdřív vygooglit co je to WebAuthn, FIDO2 a hlavně asymetrická kryptografie.Ale zjednodušeně. Bude to fungovat podobně jako přihlašování přes SSH za pomocí SSH klíče.
Jeho private část také jen leží na PC a nikam ho neposíláte. Naopak public část má server. Je to bezpečnější než klasická hesla.A ne, nemusíte používat otisk prstu nebo PIN ani vázat na zařízení.
Ty private klíče můžete mít v zaheslovaném v lokálním trezoru a když se budete chtít přihlásit, tak zadáte master heslo, které jej odemkne. Jestli ten hlavní trezor odemykáte otiskem, PINem nebo celým složitým heslem už je jen na vás.A opakuji, velká výhoda je, že tímhle způsobem své heslo nikam neposíláte přes internet. Autentifikace proběhne lokálně na vašem PC pomocí private klíče. Tím se "podepíše" zpráva kterou vám zaslal server. Vy ji pošlete zpátky serveru a ten díky tomu "podpisu" ví, že jste to vy.
Doufám, že už je to jasnější.
5. 5. 2023, 16:20 editováno autorem komentáře
-
Jenze tahle odpoved trochu miji otazku. Podle mne InterneSvobodny nechape tohle: kdyz nekdo hackne zarizeni, kde ma uzivatel klic, tak se dostane i k dalsim zarizenim a uctum kde byl klic pouzit. Pokud ale uzivatel opisuje heslo z papirku, tak i pote co mu nekdo hackne pocitac tak se nedostane k tem dalsim zarizenim a uctum.
(a nechci resit zda papirek je nebo neni bezpecny, ale je dobre si uvedomit ze vetsina nebezpeci ciha z internetu, ne z meho okoli). -
> Ak niekto "hackne počítač", tak môže nainštalovať keyloger a počkať až to heslo naťuká...
> AK niekto ukradne počítač, tak tu máme šifrovanie disku. Ak niekto dokáže "brute-force" prelomiť napríklad LUKS2, tak myslím že brute-force útokom sa dostane aj do služby.
> Ak niekto ukradne počítať "odomknutý" som si takmer istý že v prehliadači bude prihlásený v nejakej službe, alebo bude mať nejaké stopy po nejakých login tokenoch v prehliadači aj keď sa prihlasuje heslom z hlavy... raz ho predsta naťukal do počítača,... dokonca môžu odobrať odtlačky z klávesnice a iné vzorky a zistiť ktoré klávesi a v akom poradí boli posledne stláčané,...
> Ak má heslo v hlave a používa tak dajme tomu 50 služieb tak buď musí byť génius, ako ten týpek čo vymenoval 1000 cifier čísla pí z hlavy, alebo tie heslá má buď stejné medzi rôznymi službami, alebo má tie heslá typu "Anička123".
> Ak má heslo v hlave, ako tu už poslal niekto link na xfcd, môžeme to vytĺcť z hlavy... a neverím že až niekto ťa bude šrónovákom píhať do kolena či ti trhať nechty a mučiť ťa, že to heslo nepovieš.
-
Filip JirsákStříbrný podporovatelTy klíče jsou v zařízeních uložené docela dost bezpečně. Používají se třeba i pro přístup do internetového bankovnictví. A neděje se to, že by to někdo dokázal hacknout a ke klíčům se dostat.
Naopak se ale děje to, že uživatelé používají slabá hesla, stejná hesla na více místech apod. Takže tenhle systém je výrazně bezpečnější, než doposud používaný systém hesel.
-
Problém s tím bezpečným uložením v hardware vidím především v tom, že se všechny klíče slezou na jedno místo - a musíte mít ten hardware při sobě.
Takže je otázka, jaký hardware zvolit: mobilních telefonů většina lidí používá více (soukromý + služební) a k tomu tablet, notebook nemíváte při sobě, USB klíčenky buď nejdou do tabletu/mobilu nebo naopak do PC.
Ve výsledku člověk musí řešit redistribuci klíčů mezi zařízeními - a končí u nějaké cloudové služby, protože jinak v tom bude nepořádek.
A to pominu problematiku sdílených profilů (zejména na domácích tabletech a postarších PC).
V podstatě se dá říct, že množina uživatelů, kteřípoužívají slabá hesla, stejná hesla na více místech apod.
se bude do značné míry prolínat s množinou uživatelů, sdílejících jedno zařízení/profil pro více lidí - tedy půjde o ty, kteří výpočetní techniku používají jen minimálně a bez hlubších IT znalostí.
Slovy jednoho staršího pána:Jediné, co máme doma digitální, je teď ta televize
- a to držel v ruce (tlačítkový!) mobil. -
Filip JirsákStříbrný podporovatel
Sdílet klíče přes cloud nemůžete jednoduše z toho důvodu, že ty klíče nejde ze zařízení vyexportovat. Naopak ale není problém mít k jednomu účtu zaregistrováno víc klíčů. Sdílené profily na tom nic nemění.
-
Přesně, jak píšete: ve výsledku generujete klíče jak na běžícím pásu, pro více zařízení. Přidejte, že některé služby dovolí jen omezený počet aktivních klíčů (často dva, ale někdy dokonce jediný!) - a rázem se dostáváte do situace, která je vše, jen ne pohodlná.
(Pro pobavení: zaměstnavatel nás obdařil přihlašovacím tokenem na iPhone, takže mám asi nejdražší klíčenku v republice - na nic jiného ten telefon nepoužívám. ;oD )
7. 5. 2023, 18:20 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Vy to generování klíče platíte, nebo co vám vadí na tom, že budete mít klíč ve dvou třech zařízeních? Která konkrétní služba podporuje jen dva či jeden WebAuthn klíčů?
