Slo-Tech - Mozilla, Google in Microsoft podpirajo prihajajoč spletni standard WebAuthentication (WebAuthn), ki prinaša enotni način preverjanja pristnosti na internetu in utegne zamenjati prijavo z gesli. WebAuthn podpira več načinov potrjevanja identitete, denimo prstne odtise, USB-žetone, biometriko ipd., uporabil pa bi, kar bi imel uporabnik na zalogi. Gre za tehnologijo, ki prinaša podporo za USB, Bluetooth in NFC v brskalnik. WebAuthn pripravljata FIDO Alliance in Konzorcij W3C (World Wide Web Consoritum), trenutno pa je v stadiju CR (Candidate Recommendation). Delovna skupna, ki pripravlja standard, je torej v glavnem že zbrala in definirala funkcionalnosti in način, kako jih bo standard uvajal.
WebAuthn prinaša enotni knjižnico (API), ki jo bodo vsebovali brskalnik in omogoča enostavno potrjevanje identitete. Glede na podporo vseh večjih proizvajalcev brskalnikov se ni bati, da WebAuthn ne bi prispel v brskalnike. Dandanes je namreč tako, da so standardni zgolj mrtva črka na papirju, če jih velikani ne podprejo, in obratno. Če se Google ali Mozilla odločita neko funkcijo integrirati v brskalnik, postane to de facto standard. Po drugi strani pa se lahko spomnimo UAF (Universal Authentication Factor), ki je neke vrste predhodnik WebAuthn, a nikoli ni zares zaživel.
Le še na Apple čakamo, da se izjasni, ali bo podprl nov standard, a glede na njegovo sodelovanje v delovni skupini je to pričakovati. Končnega standarda se lahko nadejamo prihodnje leto. Vpeljava WebAuthn seveda ne bo prinesla takojšnjega zatona gesel, bo pa vzpostavila infrastrukturo, ki bo to na načelni ravni vsaj omogočala. WebAuthn namreč vsebuje več nivojev, od biometrične potrditve identitete do testov, ki pokažejo, da je za računalnikom človek in ne stroj, a ne kdo to je (neke vrsta CAPTCHA).
Novice » Brskalniki » WebAuthn: bodo gesla na internetu kmalu preteklost?
Dr_M ::
Le še na Apple čakamo, da se izjasni,
Ze vidim cvetko, kot je bila pri brezzicnih polnilcih. Ko je apple podpru QI, je ta postal zmagovalec. Resno?! Kaj takega lahko izjavijo bedasti apple fani.
In v tem primeru se utegne zgodit kaj podobnega.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
shadeX ::
Le še na Apple čakamo, da se izjasni,
Pri tej povedi sem se ustavil in skrolal dol, ker se mi je že dozdevalo da se bo nekdo ob to spodtaknil.
Ze vidim cvetko, kot je bila pri brezzicnih polnilcih. Ko je apple podpru QI, je ta postal zmagovalec.
Seveda je postal zmagovalec, če pa je QI razširil na svojih potencialnih 600M uporabnikov - 46% samo US uporabnikov. (Pa še to je 2 leti star podatek).
Resno?! Kaj takega lahko izjavijo bedasti apple fani.
To so dejstva, ni treba bit Apple fan da to veš.
In v tem primeru se utegne zgodit kaj podobnega.
Seveda se bo. Tukaj se gre za 600M+ uporabnikov (vseh apple produktov, ne samo iPhonov).
poweroff ::
Fenomenalna zadeva za še lagodnejši množičen nadzor kot dosedaj.
Meni se zdi bolj obratno. Sploh, če bo smart token za drobiž postal standardna oprema uporabnikov.
sudo poweroff
Furbo ::
A naj kar verjamem, da potem ne bo več vdiranja v račune?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Lonsarg ::
Gesla so nočna mora za varnost, tako da tole je zakon zadeva. Sicer da zadeva RES zaživi bi bilo fajn še common API za NFCja ter bluetooth spravit v vse OSe. Ampak že API za komunikacijo preko spleta zna malo revolucijo naredit.
V gmail prijavit preko čipa v nfc uri(jaz imam recimo uro na roki vedno, kdo drug kaj drugega...) -> neprecenljivo za varnost, sploh če kombiniraš ekstra še z navadnim geslom.
V gmail prijavit preko čipa v nfc uri(jaz imam recimo uro na roki vedno, kdo drug kaj drugega...) -> neprecenljivo za varnost, sploh če kombiniraš ekstra še z navadnim geslom.
Zgodovina sprememb…
- spremenil: Lonsarg ()
jype ::
Furbo ::
Bomo videli. Ja, lahko bo reči vsakemu vdoru potem 'nepravilna implementacija', ker ranljivosti so neznanka v računalniškem svetu. Hudiča, zakaj sploh rabimo to, samo pravilno implementirajmo gesla, kot so zdaj.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
jlpktnst ::
"WebAuthn namreč vsebuje več nivojev, od biometrične potrditve identitete do testov, ki pokažejo, da je za računalnikom človek in ne stroj, a ne kdo to je (neke vrsta CAPTCHA)."
- meni tole ni čisto jasno, idejno super, skrbi me implementacija, ki bi lahko bila totalna invazija zasebnosti; ve kdo več?
- meni tole ni čisto jasno, idejno super, skrbi me implementacija, ki bi lahko bila totalna invazija zasebnosti; ve kdo več?
[D]emon ::
Nobena metoda, ki uporablja biometricne markerje, ni dobra.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.
Spura ::
Če se Google ali Mozilla odločita neko funkcijo integrirati v brskalnik, postane to de facto standard.
Optimist. Ves na koliko projektih sem delal/delam, kjer morajo stvari delat na IE8 ali pa IE10. In pa WinXP 32-bit. Najnovejsi bonboncki mi nic ne pomagajo, ker ima X procentov userjev neke predpotopne browserje.
SeMiNeSanja ::
Ne vem..... ali je sploh pravi izraz 'brez gesla'? Ker me postane kar strah, če pomislim, da bi mi nekdo nekaj ukradel (token, prst, oko?) in se brez ovire prijavil v vse moje accounte.
Jaz vidim uporabnost drugje - pri bolj široki in lažji/standardizirani implementaciji multifaktorske avtentikacije (geslo+token+prst+...?) - nikakor pa ne v 'odpravi' gesel kot takih.
Jaz vidim uporabnost drugje - pri bolj široki in lažji/standardizirani implementaciji multifaktorske avtentikacije (geslo+token+prst+...?) - nikakor pa ne v 'odpravi' gesel kot takih.
Spura ::
SeMiNeSanja je izjavil:
Ne vem..... ali je sploh pravi izraz 'brez gesla'? Ker me postane kar strah, če pomislim, da bi mi nekdo nekaj ukradel (token, prst, oko?) in se brez ovire prijavil v vse moje accounte.
Jaz vidim uporabnost drugje - pri bolj široki in lažji/standardizirani implementaciji multifaktorske avtentikacije (geslo+token+prst+...?) - nikakor pa ne v 'odpravi' gesel kot takih.
Sej pise, kar pac user ima. Ne registriras prstnih odtisov in pac ne veljajo. Saj tudi zdaj na telefonu, imas lahko pin/geslo kot edini nacin odklepa ne pa svoje face, prstov itd.
PaX_MaN ::
Sej pise, kar pac user ima.
To mi zveni sumljivo blizu "loh maš več gesel* za en mail".
*kar pač webauthn smatra za geslo
Zgodovina sprememb…
- spremenilo: PaX_MaN ()
Lonsarg ::
To bi lahko pripeljalo do raznih avtentikacij v stilu 2/3, 3/5. Kjer imaš torej 2 in več stopenjske zadeve z možnostjo izgube nekaterih izmed njih. Torej bluetooth, geslo, nfc, prst, obraz in potem poljubno kombiniraj.
Seveda za glavnino spletnih strani, ki niso pomembne bi prav prišla opcija 1/5, kar je pri roki.
Seveda za glavnino spletnih strani, ki niso pomembne bi prav prišla opcija 1/5, kar je pri roki.
Master_Yoda ::
Super je ta biometrika za avtentikacijo - ko bomo sli pocasi na china model z druzbeno bonintetno oceno bo algoritem lazje ocenjeval ce bo vedel katere forume obiskujes in kaj tocno pises.
WhiteAngel ::
Tole so tako zakomplicirali, da boh pomagej. Še vedno mislim, da je dobro geslo najboljša zaščita. Ajde, 2FA z naključnim generatorjem je še boljše, ampak kaj, ko potrebuješ "še eno" napravo zraven, ki ni nujno, da jo imaš vedno pri sebi. Biometrika je slaba, ker te pohekajo in si v riti do konec življenja. Obstaja še kaj četrtega?
680x0 ::
Novice ne pojasnjuje dobro delovanje WebAuthn, zato so nekatera vprašnja in trditve tule napačna.
WebAuth omogoča, da je privatni ključ v rokah uporabnika, spletna storitev pa ima le tvoj javni ključ. Ne glede na to, za katero metodo identifikacije se uporabnik odloči (certifikat, NFC, USB, Bluetooth, biometrika ...), spletna stran nikoli ne dobi tvojega privatnega podatka.
S to tehnologijo imamo uporabniki v rokah vse argumente da na svoj izbrani način zavarujemo svoj dostop do storitve, brez da storitvi posredujemo osebne podatke. Kar pa žal ne pomeni, da storitve od nas ne bodo več zahtevale telefonskih številk, naslovov, ipd.
WebAuth omogoča, da je privatni ključ v rokah uporabnika, spletna storitev pa ima le tvoj javni ključ. Ne glede na to, za katero metodo identifikacije se uporabnik odloči (certifikat, NFC, USB, Bluetooth, biometrika ...), spletna stran nikoli ne dobi tvojega privatnega podatka.
S to tehnologijo imamo uporabniki v rokah vse argumente da na svoj izbrani način zavarujemo svoj dostop do storitve, brez da storitvi posredujemo osebne podatke. Kar pa žal ne pomeni, da storitve od nas ne bodo več zahtevale telefonskih številk, naslovov, ipd.
Markoff ::
WebAuth omogoča, da je privatni ključ v rokah uporabnika, spletna storitev pa ima le tvoj javni ključ. Ne glede na to, za katero metodo identifikacije se uporabnik odloči (certifikat, NFC, USB, Bluetooth, biometrika ...), spletna stran nikoli ne dobi tvojega privatnega podatka.
S to tehnologijo imamo uporabniki v rokah vse argumente da na svoj izbrani način zavarujemo svoj dostop do storitve, brez da storitvi posredujemo osebne podatke. Kar pa žal ne pomeni, da storitve od nas ne bodo več zahtevale telefonskih številk, naslovov, ipd.
Ne razumem. Če imajo spletne storitve tvoj javni ključ, si prepoznan kot točno določen uporabnik, saj je to bistvo PKI, kajne? Eno je, da ne morejo zlorabiti tvojega zasebnega ključa, ki ga imaš sam, sistem pa ti kljub temu ne zagotavlja anonimnosti. Celo S-T bo vedel, kdo si, torej bodo psevdonimi brezvezni nesmisel, razen če si g. Romski in daš ime sinu Avatar in hčerki Soy Luna, ampak to je že drug film, pardon, radijska oddaja.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
klinker ::
WhiteAngel je izjavil:
Tole so tako zakomplicirali, da boh pomagej. Še vedno mislim, da je dobro geslo najboljša zaščita. Ajde, 2FA z naključnim generatorjem je še boljše, ampak kaj, ko potrebuješ "še eno" napravo zraven, ki ni nujno, da jo imaš vedno pri sebi. Biometrika je slaba, ker te pohekajo in si v riti do konec življenja. Obstaja še kaj četrtega?
+1
Tudi na telefonu ne uporabljam biometrije ipd, kar sicer ne pomeni da me telefon ze sam od sebe ni poskeniral od pete do glave
Lonsarg ::
@Markoff, WebAuth omogoča pač da spletni strani poveš javni ključ. Niti slučajno to ne pomeni, da poveš javni ključ od svojega certifikata, ki si ga dobil pri NLB ali naši upravi. Pač pa je bolje da generiraš za vsako stran svoj javni ključ. Vsaka spletna stran svoj certifikat po domače povedano, da se lažje razume.
Izbira, ali bo uporabnik "odklenil" ta certifikat z geslom, biometriko, NFC,.. je na njegovi strani oziroma na strani browserja katere metode implementira.
Izkušnja za uporabnika je lahko identična uporabi raznih Password managerjev, pač še vedno lahko geslo uporabiš če hočeš. Lahko pa naknadno namesto gesla začneš kaj drugega uporabljat, brez da spletna stran kaj opazi, skratka zakon.
Izbira, ali bo uporabnik "odklenil" ta certifikat z geslom, biometriko, NFC,.. je na njegovi strani oziroma na strani browserja katere metode implementira.
Izkušnja za uporabnika je lahko identična uporabi raznih Password managerjev, pač še vedno lahko geslo uporabiš če hočeš. Lahko pa naknadno namesto gesla začneš kaj drugega uporabljat, brez da spletna stran kaj opazi, skratka zakon.
Zgodovina sprememb…
- spremenil: Lonsarg ()
680x0 ::
Ne razumem. Če imajo spletne storitve tvoj javni ključ, si prepoznan kot točno določen uporabnik, saj je to bistvo PKI, kajne? Eno je, da ne morejo zlorabiti tvojega zasebnega ključa, ki ga imaš sam, sistem pa ti kljub temu ne zagotavlja anonimnosti. Celo S-T bo vedel, kdo si, torej bodo psevdonimi brezvezni nesmisel, razen če si g. Romski in daš ime sinu Avatar in hčerki Soy Luna, ampak to je že drug film, pardon, radijska oddaja.
WebAuthn ne predvideva, da mora biti tvoj privatni ključ podpisan s strani priznanega CAja. Torej, za prijavo na SloTech ne boš uporabil svojega SIGENCA certifikata v katerem je tvoje ime, ampak bo tvoj auth client za potrebe SloTecha zgeneriral nov samopodpisan javni ključ, v katerem tega podatka ne bo. SloTech tako ne bo poznal tvoje prave identitete, niti ne bo mogoča sledljivost na druge storitve, ker boš za druge storitve uporabil drug privatni ključ.
Seveda lahko storitev od tebe zahteva, da uporabiš SIGENCA certifikat, ali se kako drugače identificiraš, samo to nima zveze z WebAuthn.
Edit: what Lonsarg said.
Zgodovina sprememb…
- spremenil: 680x0 ()
M.B. ::
Torej v prihodnosti (nekje 10-15let) to lahko pomeni da nebo več potrebno met za eupravo, edavke pa vsako našo estoritev svojega plugina ki dela samo na določenih spletnih straneh al je webauth samo za avtentikacijo ne pa podpisovanje?
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
Invictus ::
Podpisovanje dokumentov je čisto druga zadeva kot avtentikacija...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Markoff ::
Lonsarg, C=64, hvala za razlago, sliši se smiselno in razumno. Ampak vseeno dvomim, da bodo npr. banke dovolile uporabe takšne prijave, kjer ni zunanjega overovitelja/potrjevalca identitete prijavljajočega se uporabnika. Dejanska identiteta je banki pomembna, saj je odgovorna za preverjanje posameznika, preden mu dovoli upravljati z njegovim računom. Forum, na katerem ni pomembna dejanska identiteta, temveč konsistentna identiteta (da je Markoff res Markoff in vedno Markoff, ne pa da je točno določen Ime Priimek), zagotovo lahko živi s takšnim javnim ključem.
Bo WebAuth omogočal uporabniku prijavo v ene spletne storitve z javnim ključem javne PKI, v druge pa z random generiranim javnim ključem?
Bo WebAuth omogočal uporabniku prijavo v ene spletne storitve z javnim ključem javne PKI, v druge pa z random generiranim javnim ključem?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
680x0 ::
Torej v prihodnosti (nekje 10-15let) to lahko pomeni da nebo več potrebno met za eupravo, edavke pa vsako našo estoritev svojega plugina ki dela samo na določenih spletnih straneh al je webauth samo za avtentikacijo ne pa podpisovanje?
Tehnično takšen plugin ni potreben niti danes, zato se ga lahko nadejaš tudi čez 15 let. Dvorni dobavitelj nepotrebne programske opreme pač mora od nečesa živet.
Aquafriend ::
Fenomenalna zadeva za še lagodnejši množičen nadzor kot dosedaj.
+1
najbolj hecno je, da je javnost naklonjena temu
Zgodovina sprememb…
- spremenilo: Aquafriend ()
Truga ::
Aquafriend je izjavil:
najbolj hecno je, da je javnost naklonjena temu
velika vecina ljudi ni bila nikoli tarca stasijev in podobnih ljudi.
Aquafriend ::
Casi se spreminjajo, zdaj smo nadzorovani vsi, vsaj vecina v razvitem svetu
vedno obstaja nevarnost zlorabe taksne moci nadzora in podatkov
fejsbuk? kaplja v morju
vedno obstaja nevarnost zlorabe taksne moci nadzora in podatkov
fejsbuk? kaplja v morju
Zgodovina sprememb…
- spremenilo: Aquafriend ()
Truga ::
lol facebook je eden glavnih (verjetno drugi najvecji za googlom) igralcev v te igri, ne pa kaplja v morju
MrStein ::
WebAuthn ne predvideva, da mora biti tvoj privatni ključ podpisan s strani priznanega CAja.
...
Edit: what Lonsarg said.
Tole bi bilo dobro dodati v novico (če res drži...).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Tehnično takšen plugin ni potreben niti danes, zato se ga lahko nadejaš tudi čez 15 let. Dvorni dobavitelj nepotrebne programske opreme pač mora od nečesa živet.
Na naslednjem razpisu lahko prispevaš svojo boljšo rešitev.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
M.B. ::
@C=64? Kako ni potreben. Obstaja spletni standard za podpise preko brskalnika?
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
Furbo ::
Aquafriend je izjavil:
Fenomenalna zadeva za še lagodnejši množičen nadzor kot dosedaj.
+1
najbolj hecno je, da je javnost naklonjena temu
Kakšna javnost? Če greš zdajle spraševati po Sloveniji bo za tole vedlo 0,001% prebivalstva.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Afo ::
Ne razumem. Če imajo spletne storitve tvoj javni ključ, si prepoznan kot točno določen uporabnik, saj je to bistvo PKI, kajne? Eno je, da ne morejo zlorabiti tvojega zasebnega ključa, ki ga imaš sam, sistem pa ti kljub temu ne zagotavlja anonimnosti. Celo S-T bo vedel, kdo si, torej bodo psevdonimi brezvezni nesmisel, razen če si g. Romski in daš ime sinu Avatar in hčerki Soy Luna, ampak to je že drug film, pardon, radijska oddaja.
WebAuthn ne predvideva, da mora biti tvoj privatni ključ podpisan s strani priznanega CAja. Torej, za prijavo na SloTech ne boš uporabil svojega SIGENCA certifikata v katerem je tvoje ime, ampak bo tvoj auth client za potrebe SloTecha zgeneriral nov samopodpisan javni ključ, v katerem tega podatka ne bo. SloTech tako ne bo poznal tvoje prave identitete, niti ne bo mogoča sledljivost na druge storitve, ker boš za druge storitve uporabil drug privatni ključ.
Seveda lahko storitev od tebe zahteva, da uporabiš SIGENCA certifikat, ali se kako drugače identificiraš, samo to nima zveze z WebAuthn.
Edit: what Lonsarg said.
Ampak v tistem trenutku pa boš moral imet certikat na razpolago, ane? Torej uporaba iz sposojenega računalnika, tablice, telefona ne bo realno mogoča.
Recite karkoli hočete o geslih, izobraženi in pametni uporabniki bodo pravilno uporabljali, redno posodabljali in nikoli reciklirali gesla.
In ker nekateri uporabljajo eno geslo za vse stvari, pa še tisto je "pa55w00rd", se zdaj trudimo na novo odkrit kolo.
Do zdaj je bilo že vsaj 5 člankov na temo "gesla ... preteklost", in na koncu ni nič uporabnega. Zakaj? Ker je ali 1) nepraktično za uporabo (beri nameščanje XYZ in kup predpogojev) 2) posega nesorazmerno v zasebnost (rabi sliko uporabnika, dostop do GPS, sken oči, analiza krvi in/ali semenske tekočine ) 3) se v roku 1 tedna ugotovi da se da še bolj zlorabit kot geslo.
Bolje biti mlad in neumen, kot samo neumen!
Lonsarg ::
Geslo samo za tako vitalnee zadeve kot je Google in Microsoft account je ZELO zanikrno varovanje svoje zasebnosti, jaz sem striktno ma 2factor ze 5 let za take zadeve.
Ampak čisto razumem tiste, ki so še vedno na zgolj geslo, enostavno rabimo uporabnikom bolj prijazne dodatne avtentikacije naredit. PREDPOGOJ za to so standardi. Torej kljub temu da sami po sebi ne rešijo nič brez njih rešitve ne bo nikoli.
Ampak čisto razumem tiste, ki so še vedno na zgolj geslo, enostavno rabimo uporabnikom bolj prijazne dodatne avtentikacije naredit. PREDPOGOJ za to so standardi. Torej kljub temu da sami po sebi ne rešijo nič brez njih rešitve ne bo nikoli.
Zgodovina sprememb…
- spremenil: Lonsarg ()
Afo ::
Geslo samo za tako vitalnee zadeve kot je Google in Microsoft account je ZELO zanikrno varovanje svoje zasebnosti, jaz sem striktno ma 2factor ze 5 let za take zadeve.
Ampak čisto razumem tiste, ki so še vedno na zgolj geslo, enostavno rabimo uporabnikom bolj prijazne dodatne avtentikacije naredit. PREDPOGOJ za to so standardi. Torej kljub temu da sami po sebi ne rešijo nič brez njih rešitve ne bo nikoli.
V osnovi te razumem, ampak mi še vedno ni jasen tvoj prvi del posta: KAKO TOČNO je pravilna uporaba gesel zanikrn način varovanja zasebnosti? Pazi, kot sem že rekel, mislim da je vse ok, če so kompleksna gesla, različna za vsako storitev, redna menjava. In kako točno je moj telefon kot sekundarna avtentikacija bolj varna stvar, če pa imam v osnovi gnilo geslo vsepovsod? Saj mi potem lahko tudi v telefon vdrejo.
Mislim da iščemo rešitve za človeško malomarnost. Te pa se ne da rešit. Lahko samo zakompliciramo. Ampak to je potem že bolj security through obscurity ...
Bolje biti mlad in neumen, kot samo neumen!
Lonsarg ::
Telefon je treba fizično ukrast(poleg vdora vanj), torej gre za nekaj kar imaš. Geslo gre pa za nekaj kar veš, kar se da na daljavo ali z keylogerjem ali pa celo tako da te en vidi tipkat ukrast.
Gre torej za popolnoma različen način odtujitve, bolj ko je različen težje zlikovec to hkrati naredi, zazo je tak 2FA za ene par velikostnih redov bolj varen, kot pa zgolj kakršnokoli geslo. Ne za vitalne zadeve uporabljat zgolj geslo pomeni da si čisto navadni brezbrižni uporbnik, ne glede na to kako je. Če se imaš za bolj skrbnega imaš 2FA.
Pravilna uporaba pa ima velike šanse da ga pozabiš. Pravilne uporabe od povprečnega človeka niti ni fer pričakovat, moja draga je živčna, če rečem naj da več drugačnih in težjih gesel, ko pa še te pozablja zaradi neorganiziranosti. Še sam, ker sem že pozabil gesla, menjavam precej manj, kot bi bilo proporočljivo.
Gre torej za popolnoma različen način odtujitve, bolj ko je različen težje zlikovec to hkrati naredi, zazo je tak 2FA za ene par velikostnih redov bolj varen, kot pa zgolj kakršnokoli geslo. Ne za vitalne zadeve uporabljat zgolj geslo pomeni da si čisto navadni brezbrižni uporbnik, ne glede na to kako je. Če se imaš za bolj skrbnega imaš 2FA.
Pravilna uporaba pa ima velike šanse da ga pozabiš. Pravilne uporabe od povprečnega človeka niti ni fer pričakovat, moja draga je živčna, če rečem naj da več drugačnih in težjih gesel, ko pa še te pozablja zaradi neorganiziranosti. Še sam, ker sem že pozabil gesla, menjavam precej manj, kot bi bilo proporočljivo.
SeMiNeSanja ::
Menjavanje gesel je kontraproduktivno, če je prepogosto. Tudi nevem kakšna strašna kompleksnost gesla ni potrebna, če uporabljaš 2FA.
Samo kaj, ko 2FA ni povsod na voljo, kjer bi moral vnesti svoje geslo. Če neka spletna stran nudi 2FA, je povsem možno, da si boš moral naložiti poseben app na mobitel.
Tudi ni neke pametne SSO variante - da tisto dvofaktorsko avtentikacijo izvedeš enkrat, pa da potem velja za vse aplikacije in spletna mesta, do katerih boš dostopal naslednjih 4 ali 8 ur.
Ravno ta del pa je tisti, ki bo 2FA bistveno povzdignil v splošni uporabnosti.
Samo kaj, ko 2FA ni povsod na voljo, kjer bi moral vnesti svoje geslo. Če neka spletna stran nudi 2FA, je povsem možno, da si boš moral naložiti poseben app na mobitel.
Tudi ni neke pametne SSO variante - da tisto dvofaktorsko avtentikacijo izvedeš enkrat, pa da potem velja za vse aplikacije in spletna mesta, do katerih boš dostopal naslednjih 4 ali 8 ur.
Ravno ta del pa je tisti, ki bo 2FA bistveno povzdignil v splošni uporabnosti.
Truga ::
Menjavanje gesel je bedarija tud ce ni prepogosto. Ce imas uredu geslo ga ne rabis menjat, razen ce nekdo nekdo ukrade accounte. Samo mej povsod drugacno geslo, da ce ti na enem sajtu spizdijo, da ti ne morjo se na vseh ostalih.
MrStein ::
Menjavanje gesel je bedarija tud ce ni prepogosto. Ce imas uredu geslo ga ne rabis menjat, razen ce nekdo nekdo ukrade accounte.
Kako veš, kdaj so "ukradli account" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Menjavanje gesel je bedarija tud ce ni prepogosto. Ce imas uredu geslo ga ne rabis menjat, razen ce nekdo nekdo ukrade accounte.
Kako veš, kdaj so "ukradli account" ?
Ne veš.
Oz. izveš naknadno, ko se kdo s tem pohvali, ko se na kakšnem pastebin pojavi zbirka gesel določenega website-a ali pa se začno množično pojavljati govorice o nenavadnih dogajanjih na accountih določene storitve.
MrStein ::
Torej je pametno preventivno redno menjati gesla?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Truga ::
Looooooka ::
Če se Google ali Mozilla odločita neko funkcijo integrirati v brskalnik, postane to de facto standard.
Optimist. Ves na koliko projektih sem delal/delam, kjer morajo stvari delat na IE8 ali pa IE10. In pa WinXP 32-bit. Najnovejsi bonboncki mi nic ne pomagajo, ker ima X procentov userjev neke predpotopne browserje.
Ko bo standard bodo lahko spisali plugine, ki bodo to pomankljivost odpravili. Na koncu bo vse to se zmeraj poslano preko obstojecega kanala.
Zgodovina sprememb…
- spremenilo: Looooooka ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanOddelek: Novice / Zasebnost | 9253 (7720) | SeMiNeSanja |
» | WebAuthn standardiziran, pot v splet brez gesel odprtaOddelek: Novice / Omrežja / internet | 8840 (5571) | MrStein |
» | Security keyOddelek: Strojna oprema | 2137 (1774) | Qushaak |
» | WebAuthn: bodo gesla na internetu kmalu preteklost? (strani: 1 2 )Oddelek: Novice / Brskalniki | 19911 (16485) | Truga |