» »

WebAuthn standardiziran, pot v splet brez gesel odprta

WebAuthn standardiziran, pot v splet brez gesel odprta

Slo-Tech - Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne odtise, žetone v USB, drugo biometriko itd. WebAuthn podpira USB, Bluetooth in NFC.

To ne pomeni, da bomo gesla prenehali uporabljati takoj ali sploh kdaj. Daje pa WebAuthn na voljo infrastrukturo, ki bo to omogočala. In morebiti za vse spletni strani res ni potrebno, da si zanje izmišljujemo geslo. Morda je za kakšne nepomembne forume laže imeti eno kartico FIDO, za bančništvo pa čitalnik prstnega odtisa. Ali pa tudi ne, WebAuthn bo namreč le možnost in ne obveza, podpreti pa jo morajo tudi ponudniki storitev na svojih straneh.

23 komentarjev

vahid ::

Zgodovina sprememb…

  • spremenilo: vahid ()

Mavrik ::

vahid je izjavil:

https://www.biometricupdate.com/201809/...


Despite these shortcomings Paragon Initiative Enterprises still encourage users to continue to use WebAuthn but have come up with some recommendations for potential implementors and developers of the standard that they hope can be implemented before the standard is finalized.


In bug na draftu kjer je omenjeno da so algoritmi, ki jih Paragon priporoča, tudi na seznamu podprtih: https://github.com/w3c/webauthn/issues/...
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

vahid ::

Ena zadeva mi ni cisto jasna, bo public key generiran za vsako stran posebaj ali bo enak za vse strani. Predvidevam, da ga bo ob registraciji treba naloziti na stran. Kar pomeni, da dobis single identifyer preko vseh strani (kar bi razlozilo zakaj google sodeluje pri tem), ce bo pa na novo generiran imas pa spet password manager, ki bo namesto kratkih passwordov hranil blobe podatkov. Predvidevam, da se bo uporabljal en private/public key pair. Ker je pac super, da imas elektronsko osebno izkaznico, ki jo potem se kaksen paypal poveze na fizicno identiteto.

Zgodovina sprememb…

  • spremenilo: vahid ()

vahid ::

(Za vsak slucaj naj pojasnim; v zadnjem stavku sem cinicen - ce bi se ta zadeva prijela, bi bili vsi uporabniki browserjev v enaki situaciji kot uporabniki chroma - trackani bi bili vsepovsod)

HotBurek ::

Se prav zbiral bodo prstne odtise, oči, glas in sliko obraza pod pretvezo varnosti. Koji kriminalci.
root@debian:/# iptraf
This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

zmaugy ::

Oči imam kar solzne od ganjenosti, ko tako skrbijo za nas. Hvala Google & Co, kako ste dobri...

Zgodovina sprememb…

  • spremenilo: zmaugy ()

MrStein ::

Teštiram če delaž - umlaut dela: ä ?

vahid ::

HotBurek je izjavil:

Se prav zbiral bodo prstne odtise, oči, glas in sliko obraza pod pretvezo varnosti. Koji kriminalci.


Saj tako kot danes, za "varnost" (da kogs ne napadejo teroristi ali pedofili), hocejo telefonsko, da ti kdo ne ukrade osebnih podatkov... Ker to lahko samo oni, ostali ne veljajo...

Zgodovina sprememb…

  • spremenilo: vahid ()

vahid ::

ROFL, pa smo tam, server ti poslje js, kjer je "zacahnjeno" attestation: The attestation data that is returned from the authenticator has information that could be used to track users. This option allows servers to indicate how important the attestation data is to this registration event. A value of "none" indicates that the server does not care about attestation. A value of "indirect" means that the server will allow for anonymized attestation data. direct means that the server wishes to receive the attestation data from the authenticator.

Komaj cakam, da tole enablajo na googlu, prwprican sem, da bo attestation = "none"... not...

Pa ob prvem generiranju kljuca za gmail bo chrome posiljal samo se ta public key... tole se da zlorabit na toliko nacinov, da bom kar pri passwordih ostal.

Zgodovina sprememb…

  • spremenilo: vahid ()

NSA Agent ::

Varnostni sistem, ki sloni na biometriji je en velik EPIC FAILL!

Heker ugotovi tvoje geslo, in ga lahko brez problema v 5 minutah zamenjaš.

Heker ugotovi tvoj prstni odtis ... kaj pa boš zdaj? Si prst odrezal stran?
Kaj pa posnetek roženice? Si boš iztaknil oko, in na črnem trgu eno novo oko od enega Kitajca kupil?
(Pa še vsi Azijci imajo iste črne oči kako jih boš ločil?)

Biometrija je en velik FAILL!!!

vahid ::

NSA Agent je izjavil:

Varnostni sistem, ki sloni na biometriji je en velik EPIC FAILL!

Heker ugotovi tvoje geslo, in ga lahko brez problema v 5 minutah zamenjaš.

Heker ugotovi tvoj prstni odtis ... kaj pa boš zdaj? Si prst odrezal stran?
Kaj pa posnetek roženice? Si boš iztaknil oko, in na črnem trgu eno novo oko od enega Kitajca kupil?
(Pa še vsi Azijci imajo iste črne oči kako jih boš ločil?)

Biometrija je en velik FAILL!!!


Biometrija je username. Ki ga ne mores spremeniti. In preprican sem, da ima google prstne odtise vseh, ki so ga kdaj uporabili na telefonu z google playem.

Zgodovina sprememb…

  • spremenilo: vahid ()

Highlag ::

Mene pa zanima če potem ko bodo ukradli moj odtis z neke strani lahko izračunali moj pravi odtis in z njim v mojem imenu počeli pač kar mislijo.

Je verjetno vseeno bolje imeti 10000 ločenih gesel. Če enega ukradejo je vsaj ostalih 9999 še "varnih".
Never trust a computer you can't throw out a window

Looooooka ::

Od bralcev slo-techa bi clovek pricakoval vsaj to, da vejo, da se prstni odtisi nikamor ne posiljajo...

jype ::

Looooooka je izjavil:

Od bralcev slo-techa bi clovek pricakoval vsaj to, da vejo, da se prstni odtisi nikamor ne posiljajo...
Naivnež.

vahid ::

Looooooka je izjavil:

Od bralcev slo-techa bi clovek pricakoval vsaj to, da vejo, da se prstni odtisi nikamor ne posiljajo...


A v Dedka Mraza in Bozicka tudi se verjames?
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html

Zgodovina sprememb…

  • spremenilo: vahid ()

gendale2018 ::

Looooooka je izjavil:

Od bralcev slo-techa bi clovek pricakoval vsaj to, da vejo, da se prstni odtisi nikamor ne posiljajo...

lol pošilja se vse do česar se dokopljejo s svojim spywarom
ja sam mali poštar, kurac mi je oštar
čuvajte se žene, bit ćete jebene

bbf ::

NSA Agent je izjavil:

Varnostni sistem, ki sloni na biometriji je en velik EPIC FAILL!

Heker ugotovi tvoje geslo, in ga lahko brez problema v 5 minutah zamenjaš.

Heker ugotovi tvoj prstni odtis ... kaj pa boš zdaj? Si prst odrezal stran?
Kaj pa posnetek roženice? Si boš iztaknil oko, in na črnem trgu eno novo oko od enega Kitajca kupil?
(Pa še vsi Azijci imajo iste črne oči kako jih boš ločil?)

Biometrija je en velik FAILL!!!


bo treba fingrprint anonimajzer met skos pr seb. pa še enga doma, za vsak slučaj

BadB00b1F00d ::

vahid je izjavil:

Ena zadeva mi ni cisto jasna, bo public key generiran za vsako stran posebaj ali bo enak za vse strani. Predvidevam, da ga bo ob registraciji treba naloziti na stran. Kar pomeni, da dobis single identifyer preko vseh strani (kar bi razlozilo zakaj google sodeluje pri tem), ce bo pa na novo generiran imas pa spet password manager, ki bo namesto kratkih passwordov hranil blobe podatkov. Predvidevam, da se bo uporabljal en private/public key pair. Ker je pac super, da imas elektronsko osebno izkaznico, ki jo potem se kaksen paypal poveze na fizicno identiteto.


Protokol deluje tako, da pri registraciji, FIDO2 cert. naprava prvo zgenerira random keyhandle, ki se uporabi za generiranje determinističnega private key preko secreta v napravi, in poslednično iz njega izvleče pubkey-a. Ta keyhandle in pubkey, si naprava ne shrani ampak, pošle nazaj strani, ki je zahtevala registracijo. Pri prijavi mora stran poleg "iziva" poslati tudi keyhandle, da lahko FIDO2 naprava zgenerira pravilen podpis za pukey, ki je bil zgeneriran med registracijo.

gendale2018 ::

bbf je izjavil:

NSA Agent je izjavil:

Varnostni sistem, ki sloni na biometriji je en velik EPIC FAILL!

Heker ugotovi tvoje geslo, in ga lahko brez problema v 5 minutah zamenjaš.

Heker ugotovi tvoj prstni odtis ... kaj pa boš zdaj? Si prst odrezal stran?
Kaj pa posnetek roženice? Si boš iztaknil oko, in na črnem trgu eno novo oko od enega Kitajca kupil?
(Pa še vsi Azijci imajo iste črne oči kako jih boš ločil?)

Biometrija je en velik FAILL!!!


bo treba fingrprint anonimajzer met skos pr seb. pa še enga doma, za vsak slučaj

po drugi strani pa ni nobene ovire da ne bi varnostni sistem uporabljal biometrije in gesla in še ključa na usbju/tekefonu..... če se jih dovolj ujema ta spusti naprej (pač odvisno od željene stopnje varnosti), če ne ne
ja sam mali poštar, kurac mi je oštar
čuvajte se žene, bit ćete jebene

MrStein ::

Lahko bi kot dober vzor slotech to podprl.
(ne pa da podpirajo proprietary sistem evil google-a)
Teštiram če delaž - umlaut dela: ä ?

dope1337 ::

MrStein je izjavil:

Lahko bi kot dober vzor slotech to podprl.
(ne pa da podpirajo proprietary sistem evil google-a)


Ce bo se tema za dipl. nalogo na to temo, na FERIju prosta, se bom spusto v tole, pa lahk naceloma sodelujemo.

Sporocim, k mi prof. odpise
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

krho ::

Meni se to zdi slabše od gesla. Ker zdej lahko vsak ki se usede za računalnik vtakne fido ključek noter in hara naokoli
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

MrStein ::

Dvomim da dela kar tako, brez dodatne kontrole.
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WebAuthn standardiziran, pot v splet brez gesel odprta

Oddelek: Novice / Omrežja / internet
233363 (94) MrStein
»

WebAuthn: bodo gesla na internetu kmalu preteklost? (strani: 1 2 )

Oddelek: Novice / Brskalniki
545703 (2277) Truga
»

PayPal bi odpravil gesla

Oddelek: Novice / Varnost
214643 (2637) Bistri007
»

Apache - localhost JA, IP naslov NE

Oddelek: Omrežja in internet
181833 (1692) ManDriver

Več podobnih tem