» »

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla

FIDO Alliance - Informacijski velikani Apple, Google in Microsoft so oznanili, da na osnovi tehnologije združenja FIDO postavljajo platformo za brezgeselno vpisovanje v uporabniške račune na vseh svojih napravah in operacijskih sistemih. To bi lahko pomenilo ključen premik v prodoru tehnologij za strojno avtentikacijo brez klasičnega gesla.

Z nenehno rastjo števila nalinijskih aplikacij, ki za rabo zahtevajo uporabniški račun, znakovna gesla postajajo vse večji varnostni problem. Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel, ljudje bodisi uporabljajo preveč enostavna bodisi jih na različnih platformah reciklirajo in s tem postanejo tarče za potencialne napade z rabo baz kompromitiranih gesel (password spraying). Zato se že več kot desetletje vztrajno krepi težnja po raznoraznih alternativah, med katerimi so bili sprva priljubljeni preprostejši upravljalniki gesel, zadnje čase pa prodirajo naprednejše avtomatizirane platforme, kot sta OpenID in WebAuthn, pri čemer znajo nekatere izkoristiti tudi današnje metode za biometrično identifikacijo, na primer s prepoznavo obraza ali prstnih odtisov na telefonu. Najpomembnejše industrijsko združenje v tem oziru je FIDO Alliance, pri čemer je FIDO kratica za Fast IDentity Online. Na osnovi njihove tehnologije (kamor sodi tudi WebAuthn) so večja podjetja že lansirala tovrstne storitve; tako je mogoče Androidne telefone od leta 2019 uporabljati za dvostopenjsko preverjanje v Googlovih storitvah, iphone pa od lani za avtentikacijo v macOSu.

Za dejansko množično razširitev tehnologij vpisovanja brez gesla pa mora nastati nek krovni standard in poglavitni trije velikani - Apple, Google in Microsoft - so se naposled družno odločili, da je čas, da FIDO razširijo na vse svoje naprave in operacijske sisteme; se pravi Windows, Chrome, macOS, Android in iOS. Pristop bo uporabljal na novo razvit žeton, ki ga imenujejo FIDO passkey, posebnost metode pa je raba Bluetootha, s katerim se bo strojni avtentikator - pametni telefon - povezal z računalnikom, da bo tam uporabnika identificiral pri vpisu v uporabniški račun. Bluetooth ne slovi ravno po svoji varnosti, tu pa bo uporabljen specifično zaradi potrebe po fizični bližini naprave, s katero se odpravi možnost za zlorabo raznih oblik ribarjenja. Dodatna težava zna biti tudi kompatibilnost - medtem ko je BT resda že lep čas privzeta oprema prenosnikov, pa je s starejšimi namiznimi računalniki drugače. V združenju sicer pravijo, da bomo prve rešitve na osnovi najavljene premise videli prihodnje leto; do takrat bodo bolje razložili tudi, kako bo verifikacija potekala na strojni ravni, bržda z izkoriščanjem funkcij najnovejših varnostnih koprocesorjev v sistemskih čipih.

Na ta način bi brezgeselno vpisovanje lahko dejansko postalo univerzalno in osnovni način identifikacije, torej ne zgolj kot drugotni element v dvostopenjskem postopku. Seveda pa se poleg poraja vprašanje, kako dobro bo zaščiten naš telefon, ki bo kot univerzalni menedžer gesel s tem močno pridobil na vrednosti. V primeru izgube naprave naj bi storitev tu omogočala obnovo podatkov na nov telefon iz oblaka, do katerega bomo dostopali ... z geslom? Tisti bolj paranoični uporabniki bodo zato najverjetneje ostali pri neki sorti večstopenjskega preverjanja.

64 komentarjev

«
1
2

Unchancy ::

Daj, vpiši še svojo telefonsko številko, ovca uporabniška, da te bomo lažje strigli. Pa daj nam dostop do svojega telefona. Zdaj drugače sploh ne bo več možno, dobrodošla v zlato kletko.
To je vse v tvoje dobro, mi smo filantropske organizacije.
If you wait by the river long enough, the bodies of your enemies will float by.

Zgodovina sprememb…

  • spremenil: Unchancy ()

phantom ::

In kakšni podatki se bodo izmenjali s telefonom? A to pomeni, da bo Google/Apple imel pregled nad tem, v katere strani se vpisuješ, ti še bolj sledil na vsakem koraku ...
~
~
:wq

matobeli ::

Končno bodo to zrihtal.

Fino da se vsaj frizerji mal borijo kdo bo strigel ovce.

Lonsarg ::

Prav je da se gesla ukine, so sami problemi ker uporabniki gredo po liniji najmanšega upora in ne gledajo na varnost.

Niti slučajno pa NI pa prav da se spekulira o ukinitvi 2-factor, 2FA mora ostati in celo nujen bi moral biti za vse občutljive servise kot so email itd. Naj bo potem pač 2FA urejen na način da sta oba faktorja non-password.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

matobeli ::

Predvsem je tukaj glavno da se ugotavljanje identitete opravi preko zanesljivega 3rd party na način kjer ne morjo odtečt gesla vsakih 14dni.

Bo pa kar zajeban nardit 2 non-password faktorja

Zgodovina sprememb…

  • spremenilo: matobeli ()

Glugy ::

To je vse zato da potem aktivistom kej podatknejo potem pa nedvoumno dokažejo da gre za isto osebo. Stična točka bo v pravnem dokazovanju ravno ta standardizacija.

Mr.B ::

Glugy je izjavil:

To je vse zato da potem aktivistom kej podatknejo potem pa nedvoumno dokažejo da gre za isto osebo. Stična točka bo v pravnem dokazovanju ravno ta standardizacija.

Nop gre se samo za standardizacijo. Kod je za telefonsko številko vejo že danes. Kaj delaš vejo že danes. Proil vrejtno za vse tri gigante o tebi, se verjento nahaja v isti bazi.
Voljeno telo ogledalo volilnega telesa.

Lonsarg ::

matobeli je izjavil:

Predvsem je tukaj glavno da se ugotavljanje identitete opravi preko zanesljivega 3rd party na način kjer ne morjo odtečt gesla vsakih 14dni.

Bo pa kar zajeban nardit 2 non-password faktorja
Pametna uro plus NFC kartica plus mobitel, evo tri faktorji :)

Bela_Krajina ::

Kako bo s tistimi, ki ne uporabljajo telefona? Ali pa ne zelijo uporabljat telefona?

Mr.B ::

Bela_Krajina je izjavil:

Kako bo s tistimi, ki ne uporabljajo telefona? Ali pa ne zelijo uporabljat telefona?

Kaj pa tisti, ki ne znajo uporabljait računalnika, pametnega telefona (da ne bo pomote) ali tablice.
Voljeno telo ogledalo volilnega telesa.

Bela_Krajina ::

V clanku pravijo, da se to pocne med drugim zato, ker naj si ne bi mogli zapomniti toliko gesel. Zdaj pa vprasanje, kaj pa za tiste, ki uporabljajo racunalnik in internet samo za zelo osnovne zadeve in sploh ne potrebujejo veliko gesel?

Bela_Krajina ::

Prav je da se gesla ukine, so sami problemi ker uporabniki gredo po liniji najmanšega upora in ne gledajo na varnost.

A tebe skrbi za varnost drugih, a ni to njihova stvar? Samo vprasam. Kaj pa ce si tega ne zelijo in zelijo se naprej imet svoja gesla. Si jih kaj vprasal, kaj si o tem mislijo, ali pa bi jim rad vsiljeval svoj pogled na svet? Tisti, ki bi radi biometricna preverjanja, izvolite, saj lahko, to je vasa svobodna volja.

Zgodovina sprememb…

Lonsarg ::

To ni samo moj pogled na svet, to je pogled strokovnjakov na področju IT varnosti.

In ne tako kot pacient sam sebe ne zdravi ampak ga zdravnik je čisto smotrno da tudi login za sistem dizajnira tisti ki dizajnira IT sistem in ne uporabnik sistema.

Bo pa gotovo prehod postopen, to itak.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Bela_Krajina ::

Nisem rekel, da je samo tvoj. Ampak a ni tako, da ima vsak svobodno voljo odlocitve, kaj bo uporabljal? Zakaj bi recimo ti ali pa kdorkoli odlocal, kaj bo average Joe konzumiral?

Lonsarg ::

Saj boš imel svobodno voljo izbrati ponudnika ki pusha v smeri passwordless in ponudnika ki ne pusha v smeri passwordless. No vsaj dokler ne boš 5% manjšina, potem počasi ne bo več takih ponudnikov sistemov :) Ampak to je pač ponudba/povpraševanje.

Predvsem je žalostno da se v Enterprise še toliko gesla uporablja, to je veliko bolj kritično kot pa navadni domači uporabniki.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Bela_Krajina ::

No, lepo, da vsaj priznas. :) Ali si slisal za prisiljeno ponudbo in povprasevanje? Ali se gre v tem primeru za svobodno odlocitev? Pa ce si kdaj slisal za monopol?

Lonsarg ::

To da če nek produkt na trgu hoče zgolj manjšina ta počasi izgine je čisto naravna posledica trga, nič prisilnega ni v tem.

Se ti pa še ni treba prezgodaj sekirati, brez skrbi da bo še dolgo možno z geslom, ker povprečni laiki so pač ujeti v navade in pojma nimajo kaj pomeni varnost.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Bela_Krajina ::

Ne vem ce je to res, da kar izgine iz trga, ce ni povprasevanja. Ali ves, da se nekateri produkti prodajo tudi takrat recimo, ko vedo, da iz tega ne bo dobicka. Tudi vcasih, ko vedo, da bo minus. Kako je to mozno? Lepo, ce vemo, da denar lahko ustvaris iz zraka, iz nicesar, samo vtipkas stevilko v virtualni resnicnost, nekdo pa mora odplacevat kredit za to, vcasih celo zivljenje delajo za tisto imaginarno stevilko nekje v virtualni realnosti.

Zgodovina sprememb…

matobeli ::

Lonsarg je izjavil:

Pametna uro plus NFC kartica plus mobitel, evo tri faktorji :)


Maš prav, sploh kartica bi bla čist super zadeva.

Tisti ki ne uporabljajo pa pač ne bodo uporabljali. Na srečo se bodo o tem odločali tehnološki velikani in ne lokalni CSD.
Nikogar se ne sili.

Mr.B ::

Bela_Krajina je izjavil:

V clanku pravijo, da se to pocne med drugim zato, ker naj si ne bi mogli zapomniti toliko gesel. Zdaj pa vprasanje, kaj pa za tiste, ki uporabljajo racunalnik in internet samo za zelo osnovne zadeve in sploh ne potrebujejo veliko gesel?

Trenutno sem naredil export shranjenih passwordw v chrom. Teh je okoli 350. Veliko sreče, če jih menjaš na vsaki 30 dni, ter da so unikatni.
Voljeno telo ogledalo volilnega telesa.

Master_Yoda ::

To se jim gre tako samo za to da bo to povezano s tvojo pravo identiteto in ne bos mogel vec anonimnih accountov delati + veliki MS, Apple, Google bodo kontrolirali in imeli vse podatke.
Dovie'andi se tovya sagain.

Unchancy ::

Zdaj imam lahko hipotetično kakšno geslo tudi na papirju v blagajni ali si ga zapomnim na pamet, po novem bom moral svoja gesla deliti z IT svinjami, ki si tako trdovratno in vztrajnp prizadevajo vdreti v mojo zasebnost.
If you wait by the river long enough, the bodies of your enemies will float by.

Zgodovina sprememb…

  • spremenil: Unchancy ()

Lonsarg ::

Pa kaj vi bluzite, FIDO standard nima popolnoma nič z zasebnostjo. Tudi ni namenjen sharanju identitete med različnimi stranmi ampak je mišljeno da se vsako stran svoj ključ ustvari. FIDO ključi so delno softwerski ravno zato, da tudi če isti FIDO ključ uporabiš za dve različni strani, da se kljub temu za vsako svoj ID/certifikat ustvari.

Zlorab in težnje velikih podjetij k manjši zasebnosti je veliko, ampak premik v novi passwordles svet nima popolnoma nič z tem, popolnoma ločena debata.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Mr.B ::

Master_Yoda je izjavil:

To se jim gre tako samo za to da bo to povezano s tvojo pravo identiteto in ne bos mogel vec anonimnih accountov delati + veliki MS, Apple, Google bodo kontrolirali in imeli vse podatke.

Kašne anonimne accounte lahko odpiraš pri MS, Applu ali googlu ?

Unchancy je izjavil:

Zdaj imam lahko hipotetično kakšno geslo tudi na papirju v blagajni ali si ga zapomnim na pamet, po novem bom moral svoja gesla deliti z IT svinjami, ki si tako trdovratno in vztrajnp prizadevajo vdreti v mojo zasebnost.

To da živiš v jami, je titak dejstvo... Ostali imamo za vsako pizdarije drugo gelso. V končni fazi je to lažje kot vsakič odpirati drugi email račun itd..
Voljeno telo ogledalo volilnega telesa.

Zgodovina sprememb…

  • spremenil: Mr.B ()

Unchancy ::

Adhominem stalker strikes again.
If you wait by the river long enough, the bodies of your enemies will float by.

Zgodovina sprememb…

  • spremenil: Unchancy ()

Mr.B ::

Unchancy je izjavil:

Adhominem stalker strikes again.

Da Caren, kot da razumeš o čem je tema.
Voljeno telo ogledalo volilnega telesa.

Uporabnik372 ::

Zakaj se vam nekaterim zdi pomembno pisat mnenja, predno si preberete izvorno novico?

FIDO standard(i) delujejo tako, da ima uporabnik pri sebi Avtentikator.

Avtentikator za vsako novo storitev, v katero se želimo avtenticirati, namesto gesla ustvari kriptografski par ključev s katerim Avtentikator storitvi zagotavlja istovetnost uporabnika. Par ključev je za vsako storitev drug in ne vsebuje nobenih podatkov o uporabniku. To pomeni, da končna storitev o tebi ne ve ničesar več od tega, kar si ji prostovoljno zaupal ob prijavi in ne ve ničesar o tem, katere druge storitve uporabljaš. Primer delujočega avtentikatorja danes je Macov TouchID ali YubiKey.

Avtentikator se ne bo avtenticiral s storitvijo brez dovoljenje uporabnika. Kdor uporablja YubiKey mora pritisniti tipko na ključku, kdor uporablja Macov TouchID pa potegnit prst čez bralnik prstnega odtisa. Pomembno tu je, da tvoji biometrični podatki nikoli ne zapustijo Avtentikatorja. Na primeru Maca npr. se tvoj prstni odtis primerja z zgoščeno vrednostjo, ki je shranjena na namenskem čipu, do katerega ne Apple ne druga programska oprema nimajo dostopa.

Problem trenutnih rešitev je, da uporabnik nima vedno s seboj Maca ali YubiKeya. To težavo rešuje predlog opisan v novici. Po implementaciji te rešitve se bo lahko vsak uporabnik odločil za Avtentikator, ki ga ima vedno pri sebi, za večino bo to pametni telefon, za nekatere pametna ura, za druge namenski hardverski ključ kot je YubiKey. Ta avtentikator se bo potem prek bluetootha lahko povezal s katerokoli napravo, ki jo boš uporabljal, naj si bo to računalnik, telefon, televizija in ti omogočal, da se varno prijaviš v katerokoli storitev, brez da bodo tvoji biometrični podatki zapustili tvoj Avtentikator in brez možnosti vmesne naprave, da ti ukrade kriptografske ključe ali tvoje biometrične podatke.

Poleg tega, da tak način odpravi težavo šibkih gesel, odpira cel kup novih načinov uporabe. Npr. lahko boš popolnega neznanca v kempu prosil, da ti posodi laptop in na njem varno odprl svoj Gmail s pritiskom prsta na čitalec prstnih odtisov na svojem telefonu. Ali pa se prijavil na svoj Netflix račun na televiziji v hotelski sobi. Ali pa odklenil svoj avto.

Unchancy ::

Mr.B je izjavil:

Unchancy je izjavil:

Adhominem stalker strikes again.

Da Caren, kot da razumeš o čem je tema.

Ti si uporabnik VladarPe, ane?
If you wait by the river long enough, the bodies of your enemies will float by.

Zgodovina sprememb…

  • spremenil: Unchancy ()

smrko ::

Uporabnik372 je izjavil:

Zakaj se vam nekaterim zdi pomembno pisat mnenja, predno si preberete izvorno novico?

FIDO standard(i) delujejo tako, da ima uporabnik pri sebi Avtentikator.

Avtentikator za vsako novo storitev, v katero se želimo avtenticirati, namesto gesla ustvari kriptografski par ključev s katerim Avtentikator storitvi zagotavlja istovetnost uporabnika. Par ključev je za vsako storitev drug in ne vsebuje nobenih podatkov o uporabniku. To pomeni, da končna storitev o tebi ne ve ničesar več od tega, kar si ji prostovoljno zaupal ob prijavi in ne ve ničesar o tem, katere druge storitve uporabljaš. Primer delujočega avtentikatorja danes je Macov TouchID ali YubiKey.

Avtentikator se ne bo avtenticiral s storitvijo brez dovoljenje uporabnika. Kdor uporablja YubiKey mora pritisniti tipko na ključku, kdor uporablja Macov TouchID pa potegnit prst čez bralnik prstnega odtisa. Pomembno tu je, da tvoji biometrični podatki nikoli ne zapustijo Avtentikatorja. Na primeru Maca npr. se tvoj prstni odtis primerja z zgoščeno vrednostjo, ki je shranjena na namenskem čipu, do katerega ne Apple ne druga programska oprema nimajo dostopa.

Problem trenutnih rešitev je, da uporabnik nima vedno s seboj Maca ali YubiKeya. To težavo rešuje predlog opisan v novici. Po implementaciji te rešitve se bo lahko vsak uporabnik odločil za Avtentikator, ki ga ima vedno pri sebi, za večino bo to pametni telefon, za nekatere pametna ura, za druge namenski hardverski ključ kot je YubiKey. Ta avtentikator se bo potem prek bluetootha lahko povezal s katerokoli napravo, ki jo boš uporabljal, naj si bo to računalnik, telefon, televizija in ti omogočal, da se varno prijaviš v katerokoli storitev, brez da bodo tvoji biometrični podatki zapustili tvoj Avtentikator in brez možnosti vmesne naprave, da ti ukrade kriptografske ključe ali tvoje biometrične podatke.

Poleg tega, da tak način odpravi težavo šibkih gesel, odpira cel kup novih načinov uporabe. Npr. lahko boš popolnega neznanca v kempu prosil, da ti posodi laptop in na njem varno odprl svoj Gmail s pritiskom prsta na čitalec prstnih odtisov na svojem telefonu. Ali pa se prijavil na svoj Netflix račun na televiziji v hotelski sobi. Ali pa odklenil svoj avto.


Zapisanega ne bom šel preverjat ampak tudi če je vse do črke res, je to samo teorija z visoko marketinško vrednostjo. Potem bomo pa večkrat letno brali, kdo je vdrl, kaj so odnesli, komu so sledili in tako naprej.

Seveda, še obvezno stvar sem pozabil: komu so podatke prodajali

Zgodovina sprememb…

  • spremenilo: smrko ()

Unchancy ::

Uporabnik372 je izjavil:

Zakaj se vam nekaterim zdi pomembno pisat mnenja, predno si preberete izvorno novico?

FIDO standard(i) delujejo tako, da ima uporabnik pri sebi Avtentikator.

Avtentikator za vsako novo storitev, v katero se želimo avtenticirati, namesto gesla ustvari kriptografski par ključev s katerim Avtentikator storitvi zagotavlja istovetnost uporabnika. Par ključev je za vsako storitev drug in ne vsebuje nobenih podatkov o uporabniku. To pomeni, da končna storitev o tebi ne ve ničesar več od tega, kar si ji prostovoljno zaupal ob prijavi in ne ve ničesar o tem, katere druge storitve uporabljaš. Primer delujočega avtentikatorja danes je Macov TouchID ali YubiKey.

Avtentikator se ne bo avtenticiral s storitvijo brez dovoljenje uporabnika. Kdor uporablja YubiKey mora pritisniti tipko na ključku, kdor uporablja Macov TouchID pa potegnit prst čez bralnik prstnega odtisa. Pomembno tu je, da tvoji biometrični podatki nikoli ne zapustijo Avtentikatorja. Na primeru Maca npr. se tvoj prstni odtis primerja z zgoščeno vrednostjo, ki je shranjena na namenskem čipu, do katerega ne Apple ne druga programska oprema nimajo dostopa.

Problem trenutnih rešitev je, da uporabnik nima vedno s seboj Maca ali YubiKeya. To težavo rešuje predlog opisan v novici. Po implementaciji te rešitve se bo lahko vsak uporabnik odločil za Avtentikator, ki ga ima vedno pri sebi, za večino bo to pametni telefon, za nekatere pametna ura, za druge namenski hardverski ključ kot je YubiKey. Ta avtentikator se bo potem prek bluetootha lahko povezal s katerokoli napravo, ki jo boš uporabljal, naj si bo to računalnik, telefon, televizija in ti omogočal, da se varno prijaviš v katerokoli storitev, brez da bodo tvoji biometrični podatki zapustili tvoj Avtentikator in brez možnosti vmesne naprave, da ti ukrade kriptografske ključe ali tvoje biometrične podatke.

Poleg tega, da tak način odpravi težavo šibkih gesel, odpira cel kup novih načinov uporabe. Npr. lahko boš popolnega neznanca v kempu prosil, da ti posodi laptop in na njem varno odprl svoj Gmail s pritiskom prsta na čitalec prstnih odtisov na svojem telefonu. Ali pa se prijavil na svoj Netflix račun na televiziji v hotelski sobi. Ali pa odklenil svoj avto.


Dejstvo je, da so se vse te korporacije izkazale za nevredne zaupanja. Ene bolj, druge manj. Dodajmo potencialne zajebe zaradi nesposobnosti in variante tipa Škandal Intel in vse te lepo zveneče ideje niso več videti tako privlačne.
Moje geslo, ki ga poznam na pamet na primer samo za eno storitev, mi boš težko ukradel. Sploh če so varovalke glede števila nepravilnih poskusov.
Namenske aplikacije za to so pa kot sef sredi dnevne sobe - morda je vanj težko vdreti, ampak je pa vidna tarča, na katero se splača fokusirati.
If you wait by the river long enough, the bodies of your enemies will float by.

Lonsarg ::

Kar ti ne uspe razumeti je, da z uporabo gesla še BOLJ zaupaš korporacijam kot z uporabo FIDO avtentikatorja, konkretno bolj.

Ko uporabljaš pasword zaupaš brskalniku ki jih je dokaj malo na trgu in so velika tarca. Hkrati zaupaš še računalniku in tipkovnici da ni keylogerja, ter sobi kjer vtipkuješ da ni kamere, ter spletni strani zaupaš da res shrani zgolj hash in ne gesla! Geslo je nightmare s stališča zaupanja, spekter napada je gromozanski! Ob vsaki uporabi gesla se zanašaš na vsaj 3 korporacije da te ne nategnejo.

Če uporabiš passwordless FIDO avtentikator boš imel veliko več ponudniko za izbirat kateremu zaupaš in brez vmesnih tarč kjer bi te napadli in prestregli geslo. Skratka glede zaupanje se stanje konkretno in drastično izboljša.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Unchancy ::

Lonsarg je izjavil:

Kar ti ne uspe razumeti je, da z uporabo gesla še BOLJ zaupaš korporacijam kot z uporabo FIDO avtentikatorja, konkretno bolj.

Ko uporabljaš pasword zaupaš brskalniku ki jih je dokaj malo na trgu in so velika tarca. Hkrati zaupaš še računalniku in tipkovnici da ni keylogerja, ter sobi kjer vtipkuješ da ni kamere, ter spletni strani zaupaš da res shrani zgolj hash in ne gesla! Geslo je nightmare s stališča zaupanja, spekter napada je gromozanski! Ob vsaki uporabi gesla se zanašaš na vsaj 3 korporacije da te ne nategnejo.

Če uporabiš passwordless FIDO avtentikator boš imel veliko več ponudniko za izbirat kateremu zaupaš in brez vmesnih tarč kjer bi te napadli in prestregli geslo. Skratka glede zaupanje se stanje konkretno in drastično izboljša.


Hvala za pojasnilo, tukaj je potem problem mobilni telefon (izguba) in oblačni backup, kjer se v novici omenja geslo. Se pravi imaš vsa svoja gesla nekje v oblaku in do njih dostopaš z - geslom? V čemu je potem smisel? Meni se trenutni sistem obnese povsem ok.
If you wait by the river long enough, the bodies of your enemies will float by.

Zgodovina sprememb…

  • spremenil: Unchancy ()

energetik ::

Nikjer pa ni omenjeno, če ti samo 1x ukradejo biometrične podatke, si gotof. Do konca življenja jih ne moreš več uporabljati. Prstnih odtisov in oči pač ne moreš menjati...
vires in numeris

Lonsarg ::

Če prav razumem članek govori o tem da imaš več FIDO ponudnikov in taki najlažji za uporabljat bodo od teh velikih korporacij kjer bo backup v oblaku. V tem primeru pač eno izbereš da zaupaš, podoben nivo zaupanja kot trenutno razni password managerji.

Ampak FIDO je standard in boš lahko seveda uporabil tudi ključ brez cloud backupa od nekega x ponudnika za katerem ni korporacije, al pa kak open-source program za na Android naložit z p2p backup/sync med več napravami. Skratka poljubno rešitev, ne samo požegnano od njih.

Skratka na podoben način kot lahko danes izbereš da si ročno zapomniš geslo vs password manager, boš tudi v passwordless prihodnosti lahko izbral med managed ponudniki za avtentikatorje in kakimi offline z PIN/password zaščitenimi zadevami itd.

Backup dostopi obstajajo že danes za 2 factor, ponavadi pa rabiš z dolumenti in raznimi postopki več dni dokazovat da nazaj dobiš dostop. Opcija da obstaja nek backup password se mi ne zdi lih ok.. Skratka backup dostopi niso nov problem, tudi pasword lahko izgubiš..

Zgodovina sprememb…

  • spremenil: Lonsarg ()

matobeli ::

google authenticate ima qr kodo če se ne motim.

Natisneš, daš v sef (fascikel) in mir.

Sem ravno to obnavljal brez kode, manj težav kot z izgubljenimi dokumenti in več kot z pozabljenim geslom za 4chan.

Vse skup, no biggie.

nirburu ::

Meni je najbolj žalostno to, da efektivno par podjetji diktira tempo in smer razvoja ITja.
Drugega sploh ni več. Samo še tej trije. Postali so televizija našega časa.
Kurirane smeti, ki perejo možgane neslutečim NPCjem.
Bog ne dej, če rečeš kaj proti takemu razvoju, te takoj imajo za ludista.

Kaj piše kje v Bibliji, da moramo nujno imeti clud based avtentikacijo? A drugih opcij ni?

matobeli ::

so, odklopiš se od speta.

Ker vsaka spletna stran ima svojo bolj ali manj slabo različico cloud based avtentikacije.

načeloma je fido korak v smer offline avtentikacije, če obstaja karkoli takega kot je offline avtentikacija za uporabo online storitev.

mr_chai ::

nirburu je izjavil:

Meni je najbolj žalostno to, da efektivno par podjetji diktira tempo in smer razvoja ITja.
Drugega sploh ni več. Samo še tej trije. Postali so televizija našega časa.
Kurirane smeti, ki perejo možgane neslutečim NPCjem.
Bog ne dej, če rečeš kaj proti takemu razvoju, te takoj imajo za ludista.

Kaj piše kje v Bibliji, da moramo nujno imeti clud based avtentikacijo? A drugih opcij ni?


Sj ne rabiš biblije, so že stari egipčani cca 3000 let pred Kristusom v Knjigi smrti opisali rojstvo tehnoloških gigantov, ki nam bodo krojili usodo.

zee ::

Iniciativa ni slaba, vpisovanje brez gesla uporabljam na zasebnem Outlook računu in je izredno elegantno, kljub temu imam za rezervo še kombinacijo gesla in dveh ključkov Yubico.

Skrbi me, ker so se tri veliki odločilli za standardizacijo. Kaj pa ostala manjša podjetja? Kaj se bo zgodilo, če oz. ko bo telefon izgubljen?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Glugy ::

Mr.B je izjavil:

Glugy je izjavil:

To je vse zato da potem aktivistom kej podatknejo potem pa nedvoumno dokažejo da gre za isto osebo. Stična točka bo v pravnem dokazovanju ravno ta standardizacija.

Nop gre se samo za standardizacijo. Kod je za telefonsko številko vejo že danes. Kaj delaš vejo že danes. Proil vrejtno za vse tri gigante o tebi, se verjento nahaja v isti bazi.

Jz svoje telefonske ne talam nakolol. Noben moj račun ni povezan z telefonsko številko, z telefona ne dostopam do pošte in računov ki imajo moje ime. Gmail je večkrat tečnaril da naj za varnost nastavim telefonsko pa sem vedno preskočil ta korak. Ni šans da dajem jz telefonsko okol. Ne rabijo oni tega vedt in pika.

Mr.B ::

smrko je izjavil:

Uporabnik372 je izjavil:

Zakaj se vam nekaterim zdi pomembno pisat mnenja, predno si preberete izvorno novico?

FIDO standard(i) delujejo tako, da ima uporabnik pri sebi Avtentikator.

Avtentikator za vsako novo storitev, v katero se želimo avtenticirati, namesto gesla ustvari kriptografski par ključev s katerim Avtentikator storitvi zagotavlja istovetnost uporabnika. Par ključev je za vsako storitev drug in ne vsebuje nobenih podatkov o uporabniku. To pomeni, da končna storitev o tebi ne ve ničesar več od tega, kar si ji prostovoljno zaupal ob prijavi in ne ve ničesar o tem, katere druge storitve uporabljaš. Primer delujočega avtentikatorja danes je Macov TouchID ali YubiKey.

Avtentikator se ne bo avtenticiral s storitvijo brez dovoljenje uporabnika. Kdor uporablja YubiKey mora pritisniti tipko na ključku, kdor uporablja Macov TouchID pa potegnit prst čez bralnik prstnega odtisa. Pomembno tu je, da tvoji biometrični podatki nikoli ne zapustijo Avtentikatorja. Na primeru Maca npr. se tvoj prstni odtis primerja z zgoščeno vrednostjo, ki je shranjena na namenskem čipu, do katerega ne Apple ne druga programska oprema nimajo dostopa.

Problem trenutnih rešitev je, da uporabnik nima vedno s seboj Maca ali YubiKeya. To težavo rešuje predlog opisan v novici. Po implementaciji te rešitve se bo lahko vsak uporabnik odločil za Avtentikator, ki ga ima vedno pri sebi, za večino bo to pametni telefon, za nekatere pametna ura, za druge namenski hardverski ključ kot je YubiKey. Ta avtentikator se bo potem prek bluetootha lahko povezal s katerokoli napravo, ki jo boš uporabljal, naj si bo to računalnik, telefon, televizija in ti omogočal, da se varno prijaviš v katerokoli storitev, brez da bodo tvoji biometrični podatki zapustili tvoj Avtentikator in brez možnosti vmesne naprave, da ti ukrade kriptografske ključe ali tvoje biometrične podatke.

Poleg tega, da tak način odpravi težavo šibkih gesel, odpira cel kup novih načinov uporabe. Npr. lahko boš popolnega neznanca v kempu prosil, da ti posodi laptop in na njem varno odprl svoj Gmail s pritiskom prsta na čitalec prstnih odtisov na svojem telefonu. Ali pa se prijavil na svoj Netflix račun na televiziji v hotelski sobi. Ali pa odklenil svoj avto.


Zapisanega ne bom šel preverjat ampak tudi če je vse do črke res, je to samo teorija z visoko marketinško vrednostjo. Potem bomo pa večkrat letno brali, kdo je vdrl, kaj so odnesli, komu so sledili in tako naprej.

Seveda, še obvezno stvar sem pozabil: komu so podatke prodajali

Kdo je komu udri, nima veze z novico.

Unchancy je izjavil:

Uporabnik372 je izjavil:

Zakaj se vam nekaterim zdi pomembno pisat mnenja, predno si preberete izvorno novico?

FIDO standard(i) delujejo tako, da ima uporabnik pri sebi Avtentikator.

Avtentikator za vsako novo storitev, v katero se želimo avtenticirati, namesto gesla ustvari kriptografski par ključev s katerim Avtentikator storitvi zagotavlja istovetnost uporabnika. Par ključev je za vsako storitev drug in ne vsebuje nobenih podatkov o uporabniku. To pomeni, da končna storitev o tebi ne ve ničesar več od tega, kar si ji prostovoljno zaupal ob prijavi in ne ve ničesar o tem, katere druge storitve uporabljaš. Primer delujočega avtentikatorja danes je Macov TouchID ali YubiKey.

Avtentikator se ne bo avtenticiral s storitvijo brez dovoljenje uporabnika. Kdor uporablja YubiKey mora pritisniti tipko na ključku, kdor uporablja Macov TouchID pa potegnit prst čez bralnik prstnega odtisa. Pomembno tu je, da tvoji biometrični podatki nikoli ne zapustijo Avtentikatorja. Na primeru Maca npr. se tvoj prstni odtis primerja z zgoščeno vrednostjo, ki je shranjena na namenskem čipu, do katerega ne Apple ne druga programska oprema nimajo dostopa.

Problem trenutnih rešitev je, da uporabnik nima vedno s seboj Maca ali YubiKeya. To težavo rešuje predlog opisan v novici. Po implementaciji te rešitve se bo lahko vsak uporabnik odločil za Avtentikator, ki ga ima vedno pri sebi, za večino bo to pametni telefon, za nekatere pametna ura, za druge namenski hardverski ključ kot je YubiKey. Ta avtentikator se bo potem prek bluetootha lahko povezal s katerokoli napravo, ki jo boš uporabljal, naj si bo to računalnik, telefon, televizija in ti omogočal, da se varno prijaviš v katerokoli storitev, brez da bodo tvoji biometrični podatki zapustili tvoj Avtentikator in brez možnosti vmesne naprave, da ti ukrade kriptografske ključe ali tvoje biometrične podatke.

Poleg tega, da tak način odpravi težavo šibkih gesel, odpira cel kup novih načinov uporabe. Npr. lahko boš popolnega neznanca v kempu prosil, da ti posodi laptop in na njem varno odprl svoj Gmail s pritiskom prsta na čitalec prstnih odtisov na svojem telefonu. Ali pa se prijavil na svoj Netflix račun na televiziji v hotelski sobi. Ali pa odklenil svoj avto.


Dejstvo je, da so se vse te korporacije izkazale za nevredne zaupanja. Ene bolj, druge manj. Dodajmo potencialne zajebe zaradi nesposobnosti in variante tipa Škandal Intel in vse te lepo zveneče ideje niso več videti tako privlačne.
Moje geslo, ki ga poznam na pamet na primer samo za eno storitev, mi boš težko ukradel. Sploh če so varovalke glede števila nepravilnih poskusov.
Namenske aplikacije za to so pa kot sef sredi dnevne sobe - morda je vanj težko vdreti, ampak je pa vidna tarča, na katero se splača fokusirati.

Če ne veš o čem se gre, je bolj biti pametno tiho. Ker tvoj anonimni iPhon ravno ni anonimen, je striktno idetificiran kdo je trenutni uproabnik. Od tu dalje pa je tvoje lapanje, nekako tako kot uno, imam dinamični IP sem anonimen.
Voljeno telo ogledalo volilnega telesa.

Zgodovina sprememb…

  • spremenil: Mr.B ()

Lonsarg ::

zee je izjavil:

Skrbi me, ker so se tri veliki odločilli za standardizacijo. Kaj pa ostala manjša podjetja? Kaj se bo zgodilo, če oz. ko bo telefon izgubljen?
Ja obstaja sicer nevarnost da bodo kaj mimo FIDO standarda speljali. Ampak tudi to ni tak problem, tudi če bodo kaj novega dodali bo to najbrž dodano v FIDO standard vsaj naknadno.

Mr.B ::

zee je izjavil:

Iniciativa ni slaba, vpisovanje brez gesla uporabljam na zasebnem Outlook računu in je izredno elegantno, kljub temu imam za rezervo še kombinacijo gesla in dveh ključkov Yubico.

Skrbi me, ker so se tri veliki odločilli za standardizacijo. Kaj pa ostala manjša podjetja? Kaj se bo zgodilo, če oz. ko bo telefon izgubljen?

FIDO at LINE: FIDO2 server as an open-source project

Glugy je izjavil:

Mr.B je izjavil:

Glugy je izjavil:

To je vse zato da potem aktivistom kej podatknejo potem pa nedvoumno dokažejo da gre za isto osebo. Stična točka bo v pravnem dokazovanju ravno ta standardizacija.

Nop gre se samo za standardizacijo. Kod je za telefonsko številko vejo že danes. Kaj delaš vejo že danes. Proil vrejtno za vse tri gigante o tebi, se verjento nahaja v isti bazi.

Jz svoje telefonske ne talam nakolol. Noben moj račun ni povezan z telefonsko številko, z telefona ne dostopam do pošte in računov ki imajo moje ime. Gmail je večkrat tečnaril da naj za varnost nastavim telefonsko pa sem vedno preskočil ta korak. Ni šans da dajem jz telefonsko okol. Ne rabijo oni tega vedt in pika.

Da te unikatno identificirajo, ne rabiš integrirat telefona z googlom. Ko da je google povprašal po večji varnosti, na tovem telefonu, že ve kdo si. si pošlji si kdaj email na nek x račun in poglej source.
Voljeno telo ogledalo volilnega telesa.

Zgodovina sprememb…

  • spremenil: Mr.B ()

Unchancy ::

Če ne veš o čem se gre, je bolj biti pametno tiho.

Tebe to ne utiša. Tvoj post dokazuje, da ti gre zgolj za ad hominem obračunavanje, mora biti precej zoprno biti ti, karkoli bi napisal še dodatno v tem verbalnem obračunu, ki si ga spet začel, ne more niti približno biti hujše, kot je biti Mr.B.
If you wait by the river long enough, the bodies of your enemies will float by.

Mr.B ::

Unchancy je izjavil:

Če ne veš o čem se gre, je bolj biti pametno tiho.

Tebe to ne utiša. Tvoj post dokazuje, da ti gre zgolj za ad hominem obračunavanje, mora biti precej zoprno biti ti, karkoli bi napisal še dodatno v tem verbalnem obračunu, ki si ga spet začel, ne more niti približno biti hujše, kot je biti Mr.B.

No vidiš, pa kljub temu pišeš, da ko bo enotni standard bodo spremljali ali nekaj. To da nimaš pojma ne samo kako web deluje, celo komentiraš v smislu Qanon ak Trump besednjaka. Potem pa jokaš ko se ti ne izide. Kar tako naprej draga.
Voljeno telo ogledalo volilnega telesa.

spegli ::

"Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel"

Zato so izumili password manager. Npr. KeyPassX

nirburu ::

matobeli je izjavil:

so, odklopiš se od speta.

Ker vsaka spletna stran ima svojo bolj ali manj slabo različico cloud based avtentikacije.

načeloma je fido korak v smer offline avtentikacije, če obstaja karkoli takega kot je offline avtentikacija za uporabo online storitev.


Rekel sem hiperbolično, nisem konkretno navajal alternativo avtentikaciji.
Zagotovo obstajajo druge metode ali modifikacija te ki predlagajo.
Point je, da ta podjetja vodijo celoten IT razvoj.
Zato poznamo samo eno smer, in kar je še bolj tečno je, da to navajate kot edini napredek.
Ni res, vedno je lahko alternativa, samo želeti si jo moramo.

Tej velikani pa si jasno tlakujejo standarde, ki jim bodo služili.

Zakaj bi se moral odklopit iz spleta, če mi ni všeč njihov model ne vem. Splet je v osnovi dokaj svoboden, zgolj želeti si moramo druge opcije kot te ki jih nam ponujajo.

kow ::

Splet je ze zelo centraliziran in internet je vse manj svoboden. Vecino ljudi to pac ne moti, ker samo zelijo stiskati gumb kupim in nic razmisljati. Ze distribucija programja na telefonu je popolnoma centralizirana. Imas Google store in pa apple store, vecina ponudnikov ti ne nudi lastne distribucije.

nirburu ::

Vrjamem.
Sam ko iščem nekatere politične teme moram na yandex. Googla sicer ne uporabljam, ampak žal so vsi zahodni, eni več drugi manj, prodani isti kabali.
Sanjam o boljšem spletu, NPCji pa mi party-brejkajo sanje.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
645734 (2062) Mr.B
»

WebAuthn standardiziran, pot v splet brez gesel odprta

Oddelek: Novice / Omrežja / internet
235755 (2486) MrStein
»

WebAuthn: bodo gesla na internetu kmalu preteklost? (strani: 1 2 )

Oddelek: Novice / Brskalniki
5412795 (9369) Truga

Več podobnih tem