» »

Google odslej privzeto s ključi namesto gesel

Google odslej privzeto s ključi namesto gesel

Slo-Tech - Google nadaljuje prizadevanja za svet brez gesel, v katerem jih bodo nadomestili prijaznejši in varnejši načini preverjanja pristnosti. Sporočili so, da so od danes ključi (passkeys) privzeti način prijave za vse uporabnike, seveda pa je še vedno možno uporabiti gesla.

V praksi bomo torej ob naslednji prijavi v Google storitve videli pozive, da ustvarimo ključe, s katerimi se lahko prijavimo ob prihodnjih obiskih. Za uporabo ključev lahko uporabimo prstni odtis, posnetek obraza ali PIN. Google ocenjuje, da je njihova uporaba 40 odstotkov od vnašanja gesel, hkrati pa so varnejši. Komur so bolj pri srcu gesla, jih bo lahko uporabljal še naprej in tudi izklopil ponavljajoče pozive po pripravi ključa.

Ključe že lahko uporabljamo v različnih Googlovih storitvah, denimo v Gmailu, YouTubu, Maps, iskanju in drugod, kamor se moramo prijaviti. Prav tako jih počasi uvajajo tudi drugi ponudniki, denimo eBay.

69 komentarjev

«
1
2

pegasus ::

40 odstotkov ________ od vnašanja gesel?

Nikonja ::

Kaj pa oni znajo ane!

OK.d ::

40% od 0:|
LPOK.d

feryz ::

pegasus je izjavil:

40 odstotkov ________ od vnašanja gesel?
Hitrejši?
Vsaj v članku tako piše.

Zgodovina sprememb…

  • spremenil: feryz ()

IgorCardanof ::

To si sam izpolnil. Trenutno nic ne pise, kaj je 40% razlicno od vnasanja gesel. Vemo le, da ni 40% varnejsa, ker se na to lastnost avtor primerja kasneje v povedi.
Retail investor, Simp, Crypto analyst, Cardano hejtr
Ne odgovarjam na DM.

GupeM ::

Verjetno je mislil v originalnem članku, na katerega kaže povezava v tem članku:
To use passkeys, you just use a fingerprint, face scan or pin to unlock your device, and they are 40% faster than passwords...

c23po ::

Ključe že lahko uporabljamo v različnih Googlovih storitvah, denimo v Gmailu, YouTubu, Maps, iskanju in drugod, kamor se moramo prijaviti.

Google dviguje ceno za svoje brezplačne usluge. Ni več dovolj povezava telefonske številke z računom. Želijo ustvariti popolni digitalni profil za slehernega uporabnika. Če želimo enako uslugo, bo po novem potrebno plačati več. Prepričan sem, da bo prijazna možnost odkloniti dodatno varnost v kratkem ukinjena.
Računalniki nimajo spominov.

lebang1 ::

Imam Bitwarden kjer so shranjena gesla in se mi sama vpišejo... Sicer pa namizni računalnik nima skener za odtis ali karkoli, samo pin potem pride v poštev...

brbr21 ::

c23po je izjavil:

Ključe že lahko uporabljamo v različnih Googlovih storitvah, denimo v Gmailu, YouTubu, Maps, iskanju in drugod, kamor se moramo prijaviti.

Google dviguje ceno za svoje brezplačne usluge. Ni več dovolj povezava telefonske številke z računom. Želijo ustvariti popolni digitalni profil za slehernega uporabnika. Če želimo enako uslugo, bo po novem potrebno plačati več. Prepričan sem, da bo prijazna možnost odkloniti dodatno varnost v kratkem ukinjena.

Prepričan sem, da bo prijazna možnost odkloniti dodatno varnost v kratkem ukinjena.

Aber natürlich... Za otroke gre!
Neumnost in lenoba homo sapiensa (99+%) sta definitivno neskončni.

Miki N ::

Ampak dejansko te hočejo prav kirurško spojiti s telefonom, da prav ne boš mogel nič brez njega. In seveda "ni panike, saj je še alternativa" - dokler je ni.

Zgodovina sprememb…

  • spremenilo: Miki N ()

GupeM ::

lebang1 je izjavil:

Sicer pa namizni računalnik nima skener za odtis ali karkoli, samo pin potem pride v poštev...

Ni nujno. Lahko na telefon dobiš obvestilo o poskusu prijave, tam pa potem potrdiš ali zavrneš. Microsoft ima to že zelo dolgo.

kow ::

Miki N je izjavil:

Ampak dejansko te hočejo prav kirurško spojiti s telefonom, da prav ne boš mogel nič brez njega. In seveda "ni panike, saj je še alternativa" - dokler je ni.


Jp. Varnost je glavni nacin monopoliziranja trga. Ociten pristop, ki deluje.

Zgodovina sprememb…

  • spremenil: kow ()

Magic1 ::

Verjetno boš na koncu vse potrjeval preko telefona. Če pa bo crknu, bo pa štala.
Magic

WhiteAngel ::

Magic1 je izjavil:

Verjetno boš na koncu vse potrjeval preko telefona. Če pa bo crknu, bo pa štala.


Če bo telefon crknu, boš dobil recovery password potem preko maila ane.
Oh wait.

MrStein ::

In tule, slo-tech, svetilnik... česa že, še kar uporablja gesla. :)

Ta passkeys je sicer zelo omejen, če ni možen prenos iz naprave na napravo. So to že pogruntali?

Wikipedia članek je bolj kot ne škrbina. ( Passkey (authentication) @ Wikipedia )

Sicer je to več ali manj reinventing the wheel, kjer je "wheel" == "digitalna potrdila".
Z nekaj izboljšavami, a tudi "poslabšavami".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Spura ::

Sem ze davno implementiral tole za en svoj site. Tukaj pa sami posti ljudi ki nimajo pojma.

Kresnik ::

Magic1 je izjavil:

Verjetno boš na koncu vse potrjeval preko telefona. Če pa bo crknu, bo pa štala.


V reali bodo potem hitro lite emulatorji za Android telefone, ki bodo namenjeni le temu, laufali pa bodo na računalniku.

BadgerSkin ::

Recite mi paranoik, ampak tole meni izgleda malo kot en vsiljen backdoor za znamenite three letter agencies in za sorodne službe. Gesel načeloma posameznik ne rabi izdati, do prstnih odtisov pa imajo lahko "preiskovalci" vedno dostop. PIN pa se lažje brute force, kot dolgo in komplicirano geslo...zakaj se mi zdi, da želijo s tem olajšati dostop velikemu bratu in ne toliko povišati stopnje varnosti.

opeter ::

Zakaj je štirimestni pin bolj varen od gesla?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

predi ::

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.

sardina ::

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).

Karamelo ::

sardina je izjavil:

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).


sej imaš načeloma lahko za vsak site svoj private-public pair oz. passkey?

no comment ::

sardina je izjavil:


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve...

Ampak, zakaj bi to povedal, če pa to ni res?

Ker je potem teorija zarote manj v verjetna?

LightBit ::

Dokler ne bodo vsiljevali tega tako kot dvofaktorsko je v redu.

energetik ::

sardina je izjavil:

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).
Kako enak key, od kje si to pobral? Bistvo passkeya je, da se ob registraciji generira par public/privat ključ, za vsako storitev posebej. In nujna ni nobena povezava z biometrijo. Npr. Bitwarden bo kmalu ponudil shranjevanje passkeyev. Bitwardna pa lahko odklepaš na karkoli hočeš, ali master password, PIN ali pa tudi prst.

Za tiste, ki itak za vse uporabljamo pass. managerje, se zadeva dejansko ne bo spremenila (imam že sedaj pri vsakem servisu random 128bit geslo). Za ostale, ki uporabljajo bedna/ponavljajoča gesla, pa bo stvar konkretno bolj varna.


Sicer pa - nečesa ne razumem dobro. Na telefonu imam shranjen passkey za svoj Google račun. Ampak kakor vidim, tega ne morem uporabiti za prijavo v Gugl na PC-ju?
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

sardina ::

energetik je izjavil:

sardina je izjavil:

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).
Kako enak key, od kje si to pobral? Bistvo passkeya je, da se ob registraciji generira par public/privat ključ, za vsako storitev posebej. In nujna ni nobena povezava z biometrijo. Npr. Bitwarden bo kmalu ponudil shranjevanje passkeyev. Bitwardna pa lahko odklepaš na karkoli hočeš, ali master password, PIN ali pa tudi prst.

Za tiste, ki itak za vse uporabljamo pass. managerje, se zadeva dejansko ne bo spremenila (imam že sedaj pri vsakem servisu random 128bit geslo). Za ostale, ki uporabljajo bedna/ponavljajoča gesla, pa bo stvar konkretno bolj varna.


Timeo Danaos et dona ferentes. Če je organizacija, kot je Google, ustanovljena s strani vojske in CIA ponudila "boljši" način avtentikacije, potem je namenjen sledenju ali slabitvi obstoječih sistemov, ki jih nimajo pod nadzorom.

Naj uganem, asimetrični ključi se generirajo iz NIST požegnanih eliptičnih krivulj, za random generator se pa uporablja Dual_EC_DRBG, mar ne? In ed25519 eksplicitno ni podprta. Le pojdite se nov hype ovčke, le pojdite...

(https://medium.com/insurge-intelligence... )

Zgodovina sprememb…

  • spremenilo: sardina ()

-Nevsky- ::

Sam za prijave (kjer je možno) uporabljam hardwarski ključ YubiKey. Je kdo zasledil, ali bo ta na Googlu še deloval, ali bodo vsilili svoje rešitve, kar bi bil korak nazaj.

no comment ::

sardina je izjavil:


Timeo Danaos et dona ferentes.

Če prva laž klavrno propade, poskušaj naprej...

Zgodovina sprememb…

Karamelo ::

-Nevsky- je izjavil:

Sam za prijave (kjer je možno) uporabljam hardwarski ključ YubiKey. Je kdo zasledil, ali bo ta na Googlu še deloval, ali bodo vsilili svoje rešitve, kar bi bil korak nazaj.


sam potem moraš ta ključ vedno s sabo vlačit? geslo pa imam vedno v glavi, sicer slabo geslo, ampak imam ga pa vedno pr rok

OK.d ::

BadgerSkin je izjavil:

Recite mi paranoik, ampak tole meni izgleda malo kot en vsiljen backdoor za znamenite three letter agencies in za sorodne službe. Gesel načeloma posameznik ne rabi izdati, do prstnih odtisov pa imajo lahko "preiskovalci" vedno dostop. PIN pa se lažje brute force, kot dolgo in komplicirano geslo...zakaj se mi zdi, da želijo s tem olajšati dostop velikemu bratu in ne toliko povišati stopnje varnosti.

Za varnost gre op. za otroke se reče;)
LPOK.d

Karamelo ::

sardina je izjavil:

energetik je izjavil:

sardina je izjavil:

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).
Kako enak key, od kje si to pobral? Bistvo passkeya je, da se ob registraciji generira par public/privat ključ, za vsako storitev posebej. In nujna ni nobena povezava z biometrijo. Npr. Bitwarden bo kmalu ponudil shranjevanje passkeyev. Bitwardna pa lahko odklepaš na karkoli hočeš, ali master password, PIN ali pa tudi prst.

Za tiste, ki itak za vse uporabljamo pass. managerje, se zadeva dejansko ne bo spremenila (imam že sedaj pri vsakem servisu random 128bit geslo). Za ostale, ki uporabljajo bedna/ponavljajoča gesla, pa bo stvar konkretno bolj varna.


Timeo Danaos et dona ferentes. Če je organizacija, kot je Google, ustanovljena s strani vojske in CIA ponudila "boljši" način avtentikacije, potem je namenjen sledenju ali slabitvi obstoječih sistemov, ki jih nimajo pod nadzorom.

Naj uganem, asimetrični ključi se generirajo iz NIST požegnanih eliptičnih krivulj, za random generator se pa uporablja Dual_EC_DRBG, mar ne? In ed25519 eksplicitno ni podprta. Le pojdite se nov hype ovčke, le pojdite...

(https://medium.com/insurge-intelligence... )


full je velik za brat, pa še 2 dela sta, a lahko povzameš v nekaj stavkih, hvala

energetik ::

Karamelo je izjavil:

-Nevsky- je izjavil:

Sam za prijave (kjer je možno) uporabljam hardwarski ključ YubiKey. Je kdo zasledil, ali bo ta na Googlu še deloval, ali bodo vsilili svoje rešitve, kar bi bil korak nazaj.


sam potem moraš ta ključ vedno s sabo vlačit? geslo pa imam vedno v glavi, sicer slabo geslo, ampak imam ga pa vedno pr rok
Boljša rešitev je/bo password manager, ki shranjuje tudi ključe. Master passphrase je lahko močan, a vseeno lahek za zapomnit. Pa npr. Bitwarden imaš povsod pri roki, ali na telefonu ali PCju.
vires in numeris

Nikonja ::

Predvidevam da nobedn od vas ni poskusil kako to izgleda v realnosti, ane?
Jaz pa sem, in sicer na PC-u ko vse naštimaš, te dejansko vpraša karkoli imaš nastavljeno za logiranje v Windowse (v mom slučaju PIN - na prenosniku prstni odtis), na smartfonu pa prstni otis, tko da ne vem kako je bolj enostavno tipkat geslo in se zaj... z dvojno autentikacijo, ampak ej vsakome po svoje. Meni osebno je ovo bolj izi za logiranje.

sardina ::

Karamelo je izjavil:

sardina je izjavil:

energetik je izjavil:

sardina je izjavil:

predi je izjavil:

Prstni odtisi v tem primeru nikoli ne gredo dlje od tvoje naprave. Uporabijo se pri generiranju para ključev in dekripciji privatnega ključa. Če jih nočeš, ne uporabljaj naprav, ki uporabljajo biometrične podatke.

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager. V primerjavi z gesli je tak sistem varnejši, ker različnim ponudnikom storitev ni več treba skrbeti za tvoje skrivnosti - dobijo samo javni ključ, ne hasha gesel. Če jim kdo ukrade bazo javnih ključev, si s tem težko pomaga. Kot vedno pa problem ostaja ravnanje s skrivnimi podatki.


... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).
Kako enak key, od kje si to pobral? Bistvo passkeya je, da se ob registraciji generira par public/privat ključ, za vsako storitev posebej. In nujna ni nobena povezava z biometrijo. Npr. Bitwarden bo kmalu ponudil shranjevanje passkeyev. Bitwardna pa lahko odklepaš na karkoli hočeš, ali master password, PIN ali pa tudi prst.

Za tiste, ki itak za vse uporabljamo pass. managerje, se zadeva dejansko ne bo spremenila (imam že sedaj pri vsakem servisu random 128bit geslo). Za ostale, ki uporabljajo bedna/ponavljajoča gesla, pa bo stvar konkretno bolj varna.


Timeo Danaos et dona ferentes. Če je organizacija, kot je Google, ustanovljena s strani vojske in CIA ponudila "boljši" način avtentikacije, potem je namenjen sledenju ali slabitvi obstoječih sistemov, ki jih nimajo pod nadzorom.

Naj uganem, asimetrični ključi se generirajo iz NIST požegnanih eliptičnih krivulj, za random generator se pa uporablja Dual_EC_DRBG, mar ne? In ed25519 eksplicitno ni podprta. Le pojdite se nov hype ovčke, le pojdite...

(https://medium.com/insurge-intelligence... )


full je velik za brat, pa še 2 dela sta, a lahko povzameš v nekaj stavkih, hvala


Seveda. Google so firma ustanovljena s strani vojske in CIA za namene vohunjenja, ki se je od hladne vojne preobrazilo v industrijsko vohunjenje. Kdorkoli danes zagovarja Google izven ZDA je pribljižno kot bi samemu sebi v fris scal, slabi lastno gospodarstvo in gospodarstvo celotne EU. Zdaj pa verjami ali pa preberi, članka prinašata dokaze s celotno zgodovinsko introspekcijo in ljudmi (z globokimi povezavami v vojsko in tajne agencije) vmešanimi vanj.

Smo pa že več kot nazorno videli pri kretenih kot so anticepilci in ostala sodrga, da bolj kot je tema kompleksna, težje jo naštudirajo in raje nakladajo. Zato ti toplo priporočam, da prebereš OBA članka.

Samo lepo prosim, ne postani še eden od fuknjenih zombijev, ki se jim ne da brati, vseeno pa trdijo, da ni res. Ker brez nič ni nič, delal boš pa škodo predvsem sebi, Sloveniji in EU.

Zgodovina sprememb…

  • spremenilo: sardina ()

energetik ::

A to glede anticepilcev misliš nase? Ker zgodbo furaš podobno.
vires in numeris

sardina ::

energetik je izjavil:

A to glede anticepilcev misliš nase? Ker zgodbo furaš podobno.

Preberi in potem argumentiraj. To, da refleksno odpiraš usta (tipkaš), podobno kot pri bruhanju, je samo refleks, možgani ne igrajo nobene vloge in tudi dojenček brez vseh izkušenj in razmišljanja, je enako učinkovit pri bruhanju, samo količina je manjša. Zato stfu in preberi, pa se potem oglašaj. Ker članek bo razfukal vse tvoje primitvne gone, da zagovarjaš predmet tvojega oboževanja, pa se meni ne bo treba toliko ukvarjat s tabo, oz. bova štaratala na enakem nivoju, ne da bom porabil naslednjih 10 strani, kjer ti bom probal pojasnit, ti pa se boš trmasto (refleksno) upiral. Beri. Pač nisem dojilija, najdi si drugo.

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum


(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

Zgodovina sprememb…

  • spremenilo: sardina ()

energetik ::

Ej, ne bom šel brat, ker je to 2x po 50min za nekaj, kar nočeš niti kratke obnove naredit. TL;DR.
In, zakaj bi zaupal zgodbi nekega novinarja? Najprej uporabim occama, sicer bi se lahko izgubil v poplavi takih in podobnih člankov.
vires in numeris

sardina ::

energetik je izjavil:

Ej, ne bom šel brat, ker je to 2x po 50min za nekaj, kar nočeš niti kratke obnove naredit. TL;DR.
In, zakaj bi zaupal zgodbi nekega novinarja? Najprej uporabim occama, sicer bi se lahko izgubil v poplavi takih in podobnih člankov.


Ja, zeit geist, idioti so pametni, brez znanja ali branja. Pridruži se hordi. Iz nič ni nič je govoril moj dedek. Tldr si pa dobil, če mu ne verjameš, preberi vse.

To, da si len kot fuks, ne pomeni, da je karkoli s tem, kar sem ti povedal ali člankom narobe. Pomeni samo, da si len.

Zgodovina sprememb…

  • spremenilo: sardina ()

Lonsarg ::

Password:
- V teoriji unikater per storitev, v praksi ponavljajoc
- storitev je prako javnega interneta izpostavljena temu geslu! Big security issue
- password manager naceloma poskrbi da prvi minus izgine, drugi minus pa postane manj bolec (ker manager naceloma zgenerira dalso geslo kot je uporabnik sposoben zapomnit)

Passkey:
- unikat per storitev
- dodatno unikat celo per device! (by dizajn je tako, v praksi pa lahko uporabis 3rd party passkey managerje ki istega sinhronizirajo med napravami)
- izpostavljenost preko interneta je minimalna teoreticno mozna, ker gre za kombinacijo kriptirnega public/private key, ekvivalent uporabi certifikata
- uporabe passkey te prisili v uporabo managerja, bodisi integriranega v OS/browser bodisi 3rd party, ampak to ni lih minus, tudi pri passwordih ce kaj das na varnost ze imas password manager, magari integriran v browser (tudi remember password v browserju gre v password manager od browserja)

Potem je pa se locena debata kako je ta passkey/password manager zasciten, ta debata je dejansko neodvisna od tega ali ima storitev password ali passkey, ker eni zmotno mislijo da jento specifika passkeya. No in glede debate zascite pass managerja pa je tako:
- Najbolj enostavno za uporabo je, ce je vezano na login same naprave, torej odklenes PC/Telefon in je zadeva na voljo. Kako odklenes je device specific.
- naslednja stopnja je, da je zasciteno z device login in DODATNO zahteva reavtorizacijo ob prijavi v storitev, ampak to lar otezi uporabnisko izkusnjo
- za bolj zagrizene za varnost ima lahko pass manager se dodatno zascito poleg device logina. Torej recimo device login na PIN in dodatno se master password za managerja, ampak spet, to je kar tecno
- za se bolj zagrizene so tu loceni hardware avtentikatorji, npr. yubikey

Moj odgovor za dober kompromis med uporabnostjo in varnostjo je pass manager vezan na device login in nato dodatno se 2factor zascita za bolj obcutljive servise, ta 2F mora nujno imeti dodaten auth (tudi ce je isti kot device login auth je bolje kot nic).

In ja se za konec PIN na napravo ki ima passkey/password manager je bolj safe kot direkt password na storitev, ker PIN ima device izpostavljenost password pa internet izpostavljenost!

Long story short. Passkey poskrbi za varnost internetne izpostavljenosti, varnost dostopa do same naprave pa nima veze z password vs passkey debato.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Mr.B ::

Prov smešno s mi zdi brati take teme, celo na tehničnem forumu imajo nekateri ideje da te sledijo razen če uporabiš telefon za potrditev prijave..
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

sardina ::

Lonsarg je izjavil:

Long story short. Passkey poskrbi za varnost internetne izpostavljenosti, varnost dostopa do same naprave pa nima veze z password vs passkey debato.

+1

Mr.B je izjavil:

Prov smešno s mi zdi brati take teme, celo na tehničnem forumu imajo nekateri ideje da te sledijo razen če uporabiš telefon za potrditev prijave..

Ali 128 bitne passworde ;(( Ker število bitov in kateri program uporabljaš za hranjenje gesel je ekstremno pomembna (marketing zombiji (tm)).

Jaz uporabljam za hranjenje text file in vi.

Samo do tistega tekst fila pa ne bo nihče prišel. Ever. Niti zalivanje rama s tekočim dušikom ne bo pomagalo.

Zgodovina sprememb…

  • spremenilo: sardina ()

Mr.B ::

sardina je izjavil:

Lonsarg je izjavil:

Long story short. Passkey poskrbi za varnost internetne izpostavljenosti, varnost dostopa do same naprave pa nima veze z password vs passkey debato.

+1

Mr.B je izjavil:

Prov smešno s mi zdi brati take teme, celo na tehničnem forumu imajo nekateri ideje da te sledijo razen če uporabiš telefon za potrditev prijave..

Ali 128 bitne passworde ;(( Ker število bitov in kateri program uporabljaš za hranjenje gesel je ekstremno pomembna (marketing zombiji (tm)).

Jaz uporabljam za hranjenje text file in vi.

Samo do tistega tekst fila pa ne bo nihče prišel. Ever. Niti zalivanje rama s tekočim dušikom ne bo pomagalo.

Da 2048 bitne passworde.
Ne samo da vsk klik beleži tvoj brskalnik, vse slike, vse datoteke se indeksirajo, generirajo has-i in metapodatki.

Piše se leto 2035, Korporacija X reče vsem cloud pravdarjem, da je ta datoteka krši njihovo intelektualno pravico . Cloud providerjem podajo samo HAS datoteke in puf kjerkoli v oblaku bodo to datoteko pobrisali.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

sardina ::

Mr.B je izjavil:

sardina je izjavil:

Lonsarg je izjavil:

Long story short. Passkey poskrbi za varnost internetne izpostavljenosti, varnost dostopa do same naprave pa nima veze z password vs passkey debato.

+1

Mr.B je izjavil:

Prov smešno s mi zdi brati take teme, celo na tehničnem forumu imajo nekateri ideje da te sledijo razen če uporabiš telefon za potrditev prijave..

Ali 128 bitne passworde ;(( Ker število bitov in kateri program uporabljaš za hranjenje gesel je ekstremno pomembna (marketing zombiji (tm)).

Jaz uporabljam za hranjenje text file in vi.

Samo do tistega tekst fila pa ne bo nihče prišel. Ever. Niti zalivanje rama s tekočim dušikom ne bo pomagalo.

Da 2048 bitne passworde.
Ne samo da vsk klik beleži tvoj brskalnik, vse slike, vse datoteke se indeksirajo, generirajo has-i in metapodatki.

Piše se leto 2035, Korporacija X reče vsem cloud pravdarjem, da je ta datoteka krši njihovo intelektualno pravico . Cloud providerjem podajo samo HAS datoteke in puf kjerkoli v oblaku bodo to datoteko pobrisali.


Točno tako, "I have nothing to hide" moroni so nas fino zajebali na vseh nivojih, zdaj pa nova generacija podobnih idiotov zaseda njihovo mesto in sanja o varnosti, hkrati pa je Apple/Google/Amazon/Microsoft/Fejstbukavost nujnost, brez katere se ne da (oz. so sami prepričani v to, ker ničesar drugega nikoli niso poznali).

Je pa pomemembno, da imaš x bitna gesla, zraven ti pa vsaka aplikacija pokrade vse od kontaktov naprej, uploada samodejno slike... ampak moroni so prepričani, da je pri korporacijah, ki najbolj zajedajo posameznika in zlorabljajo njegovo identiteto, najbolj varno.

"Rdeča kapica, da ti ne bo kdo kaj naredil, je najbolje, da zlezeš sama volku v žrelo."

Za bruhat, inteligenca pada s kvadratom letnice, večina danes živečih je že v minus IQ. Ampak še kar ne dojemajo, kako bi jim to lahko škodilo.

Zgodovina sprememb…

  • spremenilo: sardina ()

LightBit ::

sardina je izjavil:

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum


(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

To je ok, če nimaš kakšnih specifičnih zahtev kakšno mora biti geslo ali pa ga celo ne moreš sam nastavit.
Bolje bi bil sicer Argon2 ali kaj podobnega, ampak potem rabiš več kot shell.

sardina ::

LightBit je izjavil:

sardina je izjavil:

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum


(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

To je ok, če nimaš kakšnih specifičnih zahtev kakšno mora biti geslo ali pa ga celo ne moreš sam nastavit.
Bolje bi bil sicer Argon2 ali kaj podobnega, ampak potem rabiš več kot shell.

Celo bistvo je, da v eni vrstici zadevo rešiš, brez, da bi rabil hraniti karkoli. In nihče ni rekel, da rabiš hex encodat, je samo default. Ker imaš salt in password v glavi. Domena je znana, algoritem se ne spreminja.

Zgodovina sprememb…

  • spremenilo: sardina ()

Mr.B ::

sardina je izjavil:

Mr.B je izjavil:

sardina je izjavil:

Lonsarg je izjavil:

Long story short. Passkey poskrbi za varnost internetne izpostavljenosti, varnost dostopa do same naprave pa nima veze z password vs passkey debato.

+1

Mr.B je izjavil:

Prov smešno s mi zdi brati take teme, celo na tehničnem forumu imajo nekateri ideje da te sledijo razen če uporabiš telefon za potrditev prijave..

Ali 128 bitne passworde ;(( Ker število bitov in kateri program uporabljaš za hranjenje gesel je ekstremno pomembna (marketing zombiji (tm)).

Jaz uporabljam za hranjenje text file in vi.

Samo do tistega tekst fila pa ne bo nihče prišel. Ever. Niti zalivanje rama s tekočim dušikom ne bo pomagalo.

Da 2048 bitne passworde.
Ne samo da vsk klik beleži tvoj brskalnik, vse slike, vse datoteke se indeksirajo, generirajo has-i in metapodatki.

Piše se leto 2035, Korporacija X reče vsem cloud pravdarjem, da je ta datoteka krši njihovo intelektualno pravico . Cloud providerjem podajo samo HAS datoteke in puf kjerkoli v oblaku bodo to datoteko pobrisali.


Točno tako, "I have nothing to hide" moroni so nas fino zajebali na vseh nivojih, zdaj pa nova generacija podobnih idiotov zaseda njihovo mesto in sanja o varnosti, hkrati pa je Apple/Google/Amazon/Microsoft/Fejstbukavost nujnost, brez katere se ne da (oz. so sami prepričani v to, ker ničesar drugega nikoli niso poznali).

Je pa pomemembno, da imaš x bitna gesla, zraven ti pa vsaka aplikacija pokrade vse od kontaktov naprej, uploada samodejno slike... ampak moroni so prepričani, da je pri korporacijah, ki najbolj zajedajo posameznika in zlorabljajo njegovo identiteto, najbolj varno.

"Rdeča kapica, da ti ne bo kdo kaj naredil, je najbolje, da zlezeš sama volku v žrelo."

Za bruhat, inteligenca pada s kvadratom letnice, večina danes živečih je že v minus IQ. Ampak še kar ne dojemajo, kako bi jim to lahko škodilo.

Ne varnost je to, da misliš da ko uporabiš geslo in si varen.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

nekikr ::

Se pravi prejšnje geslo, obvezno sestavljeno iz 28 znakov, velikih in malih, posebnega znaka, številke in kapljice krvi device, ni bilo ok, zato bo zdaj PIN v smislu 8475? Kje je catch?

LightBit ::

LightBit je izjavil:

sardina je izjavil:

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum


(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

To je ok, če nimaš kakšnih specifičnih zahtev kakšno mora biti geslo ali pa ga celo ne moreš sam nastavit.
Bolje bi bil sicer Argon2 ali kaj podobnega, ampak potem rabiš več kot shell.

Recimo argon2cli:
argon2cli --pass $PASSWORD --salt si.en.salabajzer$DOMAIN

Qcube ::

sardina je izjavil:

LightBit je izjavil:

sardina je izjavil:

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum


(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

To je ok, če nimaš kakšnih specifičnih zahtev kakšno mora biti geslo ali pa ga celo ne moreš sam nastavit.
Bolje bi bil sicer Argon2 ali kaj podobnega, ampak potem rabiš več kot shell.

Celo bistvo je, da v eni vrstici zadevo rešiš, brez, da bi rabil hraniti karkoli. In nihče ni rekel, da rabiš hex encodat, je samo default. Ker imaš salt in password v glavi. Domena je znana, algoritem se ne spreminja.


*S tem da moraš vedno pazit da pobrišeš zgodovino v konzoli.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Google odslej privzeto s ključi namesto gesel (strani: 1 2 )

Oddelek: Novice / Varnost
6912201 (5911) Oberyn
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost
8615013 (10422) NejcSSD
»

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
6413117 (9445) Mr.B
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost
5919523 (13332) MrStein
»

Internetno bančništvo (strani: 1 2 )

Oddelek: Loža
7419695 (15381) Tilen

Več podobnih tem