Novice » Brskalniki » WebAuthn: bodo gesla na internetu kmalu preteklost?
Looooooka ::
Geslo samo za tako vitalnee zadeve kot je Google in Microsoft account je ZELO zanikrno varovanje svoje zasebnosti, jaz sem striktno ma 2factor ze 5 let za take zadeve.
Ampak čisto razumem tiste, ki so še vedno na zgolj geslo, enostavno rabimo uporabnikom bolj prijazne dodatne avtentikacije naredit. PREDPOGOJ za to so standardi. Torej kljub temu da sami po sebi ne rešijo nič brez njih rešitve ne bo nikoli.
V osnovi te razumem, ampak mi še vedno ni jasen tvoj prvi del posta: KAKO TOČNO je pravilna uporaba gesel zanikrn način varovanja zasebnosti? Pazi, kot sem že rekel, mislim da je vse ok, če so kompleksna gesla, različna za vsako storitev, redna menjava. In kako točno je moj telefon kot sekundarna avtentikacija bolj varna stvar, če pa imam v osnovi gnilo geslo vsepovsod? Saj mi potem lahko tudi v telefon vdrejo.
Mislim da iščemo rešitve za človeško malomarnost. Te pa se ne da rešit. Lahko samo zakompliciramo. Ampak to je potem že bolj security through obscurity ...
Geslo se posilja. Tukaj se ne posilja gesla ampak se na tvoji strani podpise zahtevek na nacin, ki ga lahko izvedes samo ti. Lahko spizdim tvojo celo sejo pa s tem poslanim podatkom ne bom mogel ponarediti novega podpisa.
Biometricni del je se vedno shranjen v napravi, ki jo uporabljas oz privatni kljuc v certu, ki ga imas, oz na pametni kartici. Brskalnika ta del ne zanima. Se vedno je pri tebi. Zadeva samo standardizira zahtevek, podpisovanje in posiljanje.
To je obratno od vecje kontrole nad nami in obratno od manjse varnosti.
Kdorkoli je komentiral drugace, nima pojma o pojmu in je najbolje, da je tiho, ker si dela sramoto. Dokazuje samo to, da si ni prebral ne novice, ne specifikacije in da nima pojma o tem kako biometricne naprave delujejo, kako se jih uporablja za podpisovanje in kaj tocno je iz njih sploh mozno prebrati. Ne ve niti, da je tezjr najti napravo, ki bi bila podprta na vsaj 2 OSjih kaj sele, da bi cez noc z enim web standardom magicno omogocali dostop do biometricnih podatkov, ki so shranjeni na teh napravah. Po domace...barski nakladac, ki rad pizdi zaradi samega pizdenja. Se povprecen podpornik teorij zarote ve vsaj polovico tega in ima dvome glede same naprave(nsa backdoori in podobne neumnosti) ampak folijooglavec VSAJ PREBERE DOKUMENT.
MrStein ::
Torej je pametno preventivno redno menjati gesla?
Ne. Jaz mam >400 internetnih gesel. Kako, tocno, si predstavljas da bi potekalo to "redno menjavanje gesel"? Vsak mesec 10 ur sedenja in klikanja? Ne hvala.
Vidim v novicah, kdaj so komu ukradli accounte, in jih grem brisat.
Ja, vidiš nekaj let po dogodku. Če.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Looooooka ::
Če je luknja v sistemu na drugi strani in ne na tvoji, lahko menjaš gesla vsak dan, tako kot spodnje gate, pa ti ne bo pomagalo.
Primer...ko se v bazo shranjuje kriptirana verzija gesla namesto hasha ali pa na prelahek način omogoči dostop do salta in s tem napadalcu olajša "crackanje" gesla.
Omenjena rešitev je avtomatično boljša.
Napačna implementacija v tem primeru napadalcu ne omogoča dostopa do tvojega "gesla", "private keya", ali "biometričnih podatkov", ampak bi morala biti tako neumna, da napadalca pač spusti v sistem brez pravilnega preverjanja podpisanega odgovora.
Po domače, nekdo bi moral Janeza spustiti v sistem, čeprav nima dokazila, da je to Janez. Janez ob tem ne bi zgubil podatkov, ki bi se jih lahko uporabilo še kje drugje, ampak bi bili kompromitirani samo podatki na dotični spletni strani/servisu.
Ko dobiš mail od haveibeenpwned.com-a in ugotoviš, da je bilo geslo leakano na storitvi firme, ki ima milijarde kapitala in ne na spletni strani kakšnega petnajstletnega mulca, kljub temu, da si na svoji strani na podatke bolj pazil, kot večina ljudi pazi na svoje otroke :D. Awesome feeling.
Primer...ko se v bazo shranjuje kriptirana verzija gesla namesto hasha ali pa na prelahek način omogoči dostop do salta in s tem napadalcu olajša "crackanje" gesla.
Omenjena rešitev je avtomatično boljša.
Napačna implementacija v tem primeru napadalcu ne omogoča dostopa do tvojega "gesla", "private keya", ali "biometričnih podatkov", ampak bi morala biti tako neumna, da napadalca pač spusti v sistem brez pravilnega preverjanja podpisanega odgovora.
Po domače, nekdo bi moral Janeza spustiti v sistem, čeprav nima dokazila, da je to Janez. Janez ob tem ne bi zgubil podatkov, ki bi se jih lahko uporabilo še kje drugje, ampak bi bili kompromitirani samo podatki na dotični spletni strani/servisu.
Torej je pametno preventivno redno menjati gesla?
Ne. Jaz mam >400 internetnih gesel. Kako, tocno, si predstavljas da bi potekalo to "redno menjavanje gesel"? Vsak mesec 10 ur sedenja in klikanja? Ne hvala.
Vidim v novicah, kdaj so komu ukradli accounte, in jih grem brisat.
Ja, vidiš nekaj let po dogodku. Če.
Ko dobiš mail od haveibeenpwned.com-a in ugotoviš, da je bilo geslo leakano na storitvi firme, ki ima milijarde kapitala in ne na spletni strani kakšnega petnajstletnega mulca, kljub temu, da si na svoji strani na podatke bolj pazil, kot večina ljudi pazi na svoje otroke :D. Awesome feeling.
Zgodovina sprememb…
- spremenilo: Looooooka ()
Lonsarg ::
Če pomislimo na bližnjo prihodnost, torej najbolj enostavna implementacija WebAuthn protokola, ki jo bodo browserji kot prvo podprli (predno gredo na kake bolj advanced zadeve). Ob kliku na "login" na podprti spletni strani se ti bo pojavilo okno od BROWSERJA, ki te bo vprašalo če res želiš v "authentication manager" od browserja kreirati secure ključ za povezavo do te spletne strani. V kolikor boš to naredil prvič bo pred tem še nekaj korakov, kjer boš imel na izbiro več lokacij, kjer se KRIPTIRANO ti certifikati shranijo. Ugibam da po defaultu(next/next/...) bo to v primeru Chrome pomenilo da gre v Google account in je zaščiteno zgolj z Google geslom.
Skratka gre za "pimped-up password manager" sprejet kot standard z neskončno razširljivostjo in večjo varnostjo kot če bi se shranjevalo zgolj geslo (kot je to navada v klasičnih password managerjih), shranjuje se namreč client-generated certifikat. Seveda bodo tudi vsi obstoječi 3rd party password managerji podprli ta standard v kolikor se prime.
Jaz se torej nadejam prihodnosti, kjer počasi spletne strani klasičnega logina z geslom ne bodo več ponujele pač pa zgolj tega (ali kak nov podoben standard). Skratka s tem bi prišli v prisilno uporabo "authentication/password managerjev" in s tem prisilno večjo varnost. Če bodo default managerji v browserjih zahtevali še 2FA kot minimum in 5FA kot opcijo pa smo sploh na konju. Predvsem pa se nadejam da bo konkurenca pri 3rd party managerjih zaradi standarda delovala vrhunsko in bomo dobili tudi advanced opcije o katerih je govora v novici in morda še kaj čisto novega in inovativnega.
Skratka gre za "pimped-up password manager" sprejet kot standard z neskončno razširljivostjo in večjo varnostjo kot če bi se shranjevalo zgolj geslo (kot je to navada v klasičnih password managerjih), shranjuje se namreč client-generated certifikat. Seveda bodo tudi vsi obstoječi 3rd party password managerji podprli ta standard v kolikor se prime.
Jaz se torej nadejam prihodnosti, kjer počasi spletne strani klasičnega logina z geslom ne bodo več ponujele pač pa zgolj tega (ali kak nov podoben standard). Skratka s tem bi prišli v prisilno uporabo "authentication/password managerjev" in s tem prisilno večjo varnost. Če bodo default managerji v browserjih zahtevali še 2FA kot minimum in 5FA kot opcijo pa smo sploh na konju. Predvsem pa se nadejam da bo konkurenca pri 3rd party managerjih zaradi standarda delovala vrhunsko in bomo dobili tudi advanced opcije o katerih je govora v novici in morda še kaj čisto novega in inovativnega.
Zgodovina sprememb…
- spremenil: Lonsarg ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanOddelek: Novice / Zasebnost | 8309 (6776) | SeMiNeSanja |
| » | WebAuthn standardiziran, pot v splet brez gesel odprtaOddelek: Novice / Omrežja / internet | 7888 (4619) | MrStein |
| » | Security keyOddelek: Strojna oprema | 1890 (1527) | Qushaak |
| » | WebAuthn: bodo gesla na internetu kmalu preteklost? (strani: 1 2 )Oddelek: Novice / Brskalniki | 17921 (14495) | Truga |