» »

Google začel preizkus sveta brez gesel

Google začel preizkus sveta brez gesel

Slo-Tech - O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn in sprejetju tehnoloških velikanov, a na ključni preboj še čakamo. Morda bo odločilen korak, ki ga je danes napravil Google z začetkom velikega testiranja ključev (passkey), v katerem sodeluje 9 milijonov organizacij. Od danes lahko omogočijo prijavo svojim zaposlenim v Google Workspace al Google Cloud s ključem.

To je nova tehnologija preverjanje istovetnosti, ki ne uporablja gesel in jo razvija Združenje FIDO, v katerem sodelujejo tudi Google, Apple in Microsoft. Ključi omogočajo prijavo v storitve s potrjevanjem istovetnosti na nivoju naprave, torej s prstnim odtisom na telefonu, Windows Hello ali Face ID v iPhonu. S tem odpade potreba po geslih in dvostopenjski avtentikaciji ali smsih. Ključev ni možno ukrasti, ker ne vsebujejo nobenega nespremenljivega zaporedja znakov (kot je geslo), ki bi ga bilo možno prekopirati.

Uporabo ključev bodo morali odobriti lokalni administratorji v organizacijah. Poleg izključne uporabe ključev jih bo možno uporabiti tudi kot drugo stopnjo v 2FA. Sčasoma pa si želijo, da bi v celoti nadomestili gesla. Ključev ne podpira le Google, temveč tudi brskalniki in čedalje več upravljalnikov gesel (npr. 1Password).

47 komentarjev

Lonsarg ::

Jap, edini zanesljivo varen način uporabe gesel je, da se ne uporablja gesel.

Lepo da imamo tehnično stadnard za te zadeve pripravljen, nas pa še čaka pestra pot da se zadeve tudi primejo. Zna biti da se bodo celo najprej v podjetjih in šele nato sčasoma do home userjev.

Seljak ::

Jaz sem za to, da bi svet preizkusil življenje brez Googla.

m0LN4r ::

Sem jaz edini, ki se nikjer ni poskeniral svojega prsta ali dal kri za Account?

Bomo pac prste rezal pa bo, tudi to shekano.
https://ref.trade.re/38mvdvxm
Trade Republic 38MVDVXM

feryz ::

Seljak je izjavil:

Jaz sem za to, da bi svet preizkusil življenje brez Googla.
Kdo ti pa brani, da si brez? Aja, ne moreš biti.

Kot zanimivost, trenutno mi prenavljajo spletno stran. Meni se, seveda, jebe, če jo prenovijo ali ne.
Ampak it-fantje prosijo, naj jim dam par jurjev, da vsaj nekaj migajo.
Na sestanku sem jim povedal, da mi resnično, resnično dol visi, kaj bodo naredili. Stran je stara okrog 15 let, osnutek, kasneje je bila zelo malo posodobljena.
Kar bodo naredili, bo boljše kot je, o tem ne dvomim.
Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.
Baje ima wordpress ali v čemerkoli že delajo, že v samo jedro vžgane, analitične od gugla in podobno.
Ampak preden bo stran zamenjana, bodo to uredili. Ali pa spletna stran ne bo menjana in končnega plačila ne bo.

predi ::

Ključev ni možno ukrasti, ker ne vsebujejo nobenega nespremenljivega zaporedja znakov (kot je geslo), ki bi ga bilo možno prekopirati.

...
Because passkeys are based on public key cryptographic protocols, there's no fixed "sequence" that can be stolen or leaked in phishing attacks.


V kolikor je morda še kdo drug zastrigel z ušesi ob zgornjem stavku.

mepako ::

feryz je izjavil:

Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.


Pomoje si preveč zakompliciral
Če ti je vseeno za spletno stran, potem je tudi tvojim strankam vseeno, torej je obisk na strani minimalen, ker te zgleda najdejo kako drugače, s tem pa je možnost, da ti kdo teži zaradi obvestila o piškotkih minimalna. Če pa bi rad da je vse po zakonu, ti glede na prejšni zapis itak dol visi, če je na strani še obvestilo o piškotkih. Se pa s tabo strinjam, da so ta obvestila brezpredmetna in zelo kvarijo uporabniško izkušnjo.

V takem primeru bi jaz rajši dal par jurjev za regres, oziroma tistim, ki dobro delajo.

jlpktnst ::

feryz je izjavil:

Seljak je izjavil:

Jaz sem za to, da bi svet preizkusil življenje brez Googla.
Kdo ti pa brani, da si brez? Aja, ne moreš biti.

Kot zanimivost, trenutno mi prenavljajo spletno stran. Meni se, seveda, jebe, če jo prenovijo ali ne.
Ampak it-fantje prosijo, naj jim dam par jurjev, da vsaj nekaj migajo.
Na sestanku sem jim povedal, da mi resnično, resnično dol visi, kaj bodo naredili. Stran je stara okrog 15 let, osnutek, kasneje je bila zelo malo posodobljena.
Kar bodo naredili, bo boljše kot je, o tem ne dvomim.
Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.
Baje ima wordpress ali v čemerkoli že delajo, že v samo jedro vžgane, analitične od gugla in podobno.
Ampak preden bo stran zamenjana, bodo to uredili. Ali pa spletna stran ne bo menjana in končnega plačila ne bo.


Nemogoče ni, tehnični piškotek seje je možno imeti brez obvestila, ker je itak zahtevan.

To da ima WP vžgano to v jedro mi je pa novost, bi moral preveriti. Sliši se narobe.

Zadrževanje plačila pa ni pravi način, če ne morejo narediti tega kar želiš, potem pač potrebuješ drugega izvajalca. To se ponavadi ugotovi hitro v fazi planiranja in se lahko takrat prekine...

---

Kolikor razumem to novotarijo, standard ne predvideva načina za migracijo ponudnika! Torej če narediš vse z guglom in hočeš stran... si v vodi brez vesla in ne moreš nič drugega kot na roke zamenjat vse!

Zgodovina sprememb…

  • spremenil: jlpktnst ()

bciciban_ ::

feryz je izjavil:

Seljak je izjavil:

Jaz sem za to, da bi svet preizkusil življenje brez Googla.
Kdo ti pa brani, da si brez? Aja, ne moreš biti.

Kot zanimivost, trenutno mi prenavljajo spletno stran. Meni se, seveda, jebe, če jo prenovijo ali ne.
Ampak it-fantje prosijo, naj jim dam par jurjev, da vsaj nekaj migajo.
Na sestanku sem jim povedal, da mi resnično, resnično dol visi, kaj bodo naredili. Stran je stara okrog 15 let, osnutek, kasneje je bila zelo malo posodobljena.
Kar bodo naredili, bo boljše kot je, o tem ne dvomim.
Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.
Baje ima wordpress ali v čemerkoli že delajo, že v samo jedro vžgane, analitične od gugla in podobno.
Ampak preden bo stran zamenjana, bodo to uredili. Ali pa spletna stran ne bo menjana in končnega plačila ne bo.


Zamenjaj šalabajzarje, ki ti to postavljajo na wordpressu. Za nekega curiburi privatnika, ki ima na spletu napisan telefon, mail in objavljenih 5 slik ne rabiš nobene znanosti in piškotov.

c3p0 ::

Podkožni čip bo šel z roko v roki s tem.

feryz je izjavil:

Seljak je izjavil:

Jaz sem za to, da bi svet preizkusil življenje brez Googla.
Kdo ti pa brani, da si brez? Aja, ne moreš biti.

Kot zanimivost, trenutno mi prenavljajo spletno stran. Meni se, seveda, jebe, če jo prenovijo ali ne.
Ampak it-fantje prosijo, naj jim dam par jurjev, da vsaj nekaj migajo.
Na sestanku sem jim povedal, da mi resnično, resnično dol visi, kaj bodo naredili. Stran je stara okrog 15 let, osnutek, kasneje je bila zelo malo posodobljena.
Kar bodo naredili, bo boljše kot je, o tem ne dvomim.
Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.
Baje ima wordpress ali v čemerkoli že delajo, že v samo jedro vžgane, analitične od gugla in podobno.
Ampak preden bo stran zamenjana, bodo to uredili. Ali pa spletna stran ne bo menjana in končnega plačila ne bo.


To mi zgleda, da imaš močno precenjeno ekipo, ki zna le klikat v WP in plugine nameščat. Te malo obračajo. Je pa tega dosti, ne skrbi. Praktično vse agencije računajo mnogo za skoraj nič dela.

Zgodovina sprememb…

  • spremenil: c3p0 ()

Lonsarg ::

Smesno pri nas sem pa jaz kot ITjevec vztrajal da hocem narediti brez cookie obvestila. Celo Matomo analitska platforna, ki jo imamo vgravirano ima na volji en tak "low" setting, da zbira zgolj mininalno anonimizirano statistiko, ki je complient za brez cookie obvestila.

Ampak ne, me je marketing oddelek preglesil "ker jih je skrbelo da bomo premalo vedeli o obisku". Loleki :)

Zgodovina sprememb…

  • spremenil: Lonsarg ()

k4vz0024 ::

Kako se bomo pa pobirali v gmail v fakultetni knjižnici, če ne bo gesel?

Pithlit ::

Torej včasih je bilo: "Povej geslo!" - "Ne bom!"... Pa so te mal prebutal in na koncu niso naprej spustili. Recimo če si bil TSA malenkost sumljiv.

Zdaj te bodo preprosto za prst prijeli pa ti ga pritisnili na čitalnik.

What could go wrong... Google ga konkretno serje zadnje cajte.
Life is as complicated as we make it...

Lonsarg ::

To da umrejo gesla ne pomeni da umre tudi PIN. Geslo je zelo slab security ker je hkrati dolg za vpisovat in hkrati doda malo varnosti in hkrati da lažen občutek varnosti (pri PIN vsaj veš da to ne more bit samostojna zadeva).

Takole zgleda svet brez passworda za uporabo "na ulici", skratka nič novega tu, že sedaj nimamo gesel
- chip/NFC + PIN za high security (kar že uporabljamo za bančne zadeve mimogrede)
- chip/NFC only za kak medium security (ala Urbana, ali pa plačevanje manjših zneskov)

Takole pa zgleda svet brez gesel za dostop do raznih spletnih strani iz poljubnih naprav:
- per device token (ta je safe, ker je vedno hkrati kombiniran še z PIN/Face/prstni odtis za odklep mobilne/PC naprave)
- per chip token (razni Fido key, ta je tudi navadno kombiniran še z kakim PIN ali podobno)

Za razne strani je to dvoje res super zadeva, ker lahko nove device pač dodajaš preko email, tudi če izgubiš dostop do vseh. Bolj problematičen je dostop do emaila, ki ne more imeti sam sebe za recovery metodo :) Tak da če se hočemo še pri emailu znebiti gesla imamo sledeče avtentikacije na voljo kot dodatno POLEG device token:
- SMS
- SMS + PIN
- drug recovery email

Zgodovina sprememb…

  • spremenil: Lonsarg ()

gruntfürmich ::

naj raje skenslajo geslo za spletno banko, ki ga dobiš preko SMS-a. to je šele evropski levičarski kretenizem
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

Pithlit ::

Lonsarg je izjavil:



Takole zgleda svet brez passworda za uporabo "na ulici", skratka nič novega tu, že sedaj nimamo gesel
- chip/NFC + PIN za high security (kar že uporabljamo za bančne zadeve mimogrede)

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Again, what could go wrong?

No, zdaj imaš zaenkrat za vsako stran svoje geslo... V teoriji izklopljeno samodejne vpise in shranjevanje gesel. Torej za vsak obisk st, fb, what-the-fuck-ever pač vpišeš geslo. Tko da 'napadalcu' tudi odklenjen telefon ne pomaga dosti. Zamenjamo vsa ta gesla s prstnim odtisom?

Oh what could possibly go wrong?

Sej je fajn svet brez gesel. Tko kot je fajn svet z .zip domenami. What could... fak se ponavljam.
Life is as complicated as we make it...

MrStein ::

O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn


In 4 leta pozneje ne poznam ene spletne strani,ki bi to uporabljala.

Verjetno ker so šli full retard in standard zahteva poseben hardver.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

kriptobog ::

Nekateri ze kar nekaj casa uporabljam fingerprint, namesto 2fa... Yubico yubikey recimo...

Lonsarg ::

Pithlit je izjavil:

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Again, what could go wrong?
To kar opisuješ z ukinitvijo gesla nima nič. Gesla namreč imamo za primarno varnost (izpostavljenost je remote!), PIN in prstni odtis pa so sekundarna varnost na napravi (izpostavljena je določena naprava), ne glede na to ali je za primarno geslo ali token ali čip. Ukinitev gesla torej dotika le primarno varnost, ne dotika sekundarne.

Pithlit je izjavil:

No, zdaj imaš zaenkrat za vsako stran svoje geslo... V teoriji izklopljeno samodejne vpise in shranjevanje gesel. Torej za vsak obisk st, fb, what-the-fuck-ever pač vpišeš geslo. Tko da 'napadalcu' tudi odklenjen telefon ne pomaga dosti. Zamenjamo vsa ta gesla s prstnim odtisom?

Oh what could possibly go wrong?
Tudi tukaj narobe razumeš ukinitev gesel, ukinitev gesla pomeni da imaš namesto gesla per device token, ne vpliva to na sekundarno varnost, torej kako odkleneš napravo kjer so gesla ali tokeni shranjeni. Poleg tega ne drži kar trdiš da si z geslom varen pred odklepom mobitela, če ti nekdo odklene mobitel dobi dostop do emaila s katerim si registriran na drugih straneh dobi posredno vse dostope do teh drugih stranih, tudi FB.

No če pa debatiramo o tej sekundarni varnosti "PIN vs prstni odtis vs vzorec vs šarenica", pa bi jaz osebno vseeno rekel da bistvene razlike ni. Pri PIN ti pač grozi z pištolo pri prstnem odtisu pa ti roko prisilno prisloni na čitalec. Tak da recimo da ima PIN minimalno prednost pred kriminalci ki te fizično napadejo. Je pa PIN slabši pred nefizičnimi napadalci, ker je lažje posneti PIN kot posneti prstni odtis.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

Itak, za pin rabi 10 sekund da opazuje kaj vtipkaš in čao.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Varnost za dostop do naprav je dejansko problem, čeprav ločen problem od gesel. Ker tako PIN kot prstni odtis nista popolna.

To varnost bi se recimo dalo rešit z vgrajenim čipom ki ga kontroliraš z možgani, torej da z mislimi "klikneš dovoli". To bi bil res proper security.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

PrimozR ::

Pithlit je izjavil:

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Spodobni čitalci prstnih odtisov preverjajo še kaj drugega, npr. toploto. Če telefoni tega ne podpirajo, se bodo morali pač prilagoditi.

Sicer pa tudi na odklenjenem telefonu ne gre kar tako brez potrjevanja plačila s prstnim odtisom. V spletne banke se odklenjenemu telefonu navkljub prijavljam s prstnim odtisom, pri vpisovanju kod na PC-ju pa moram za prvo in za potrditveno kodo posebej pristaviti prst. Torej za prijavo v spletno banko na PC-ju potrebujem telefon in TRI branja prsta.

m0LN4r ::

Z mrzlimo prsti ne mores odpret?
https://ref.trade.re/38mvdvxm
Trade Republic 38MVDVXM

Pithlit ::

PrimozR je izjavil:

Pithlit je izjavil:

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Spodobni čitalci prstnih odtisov preverjajo še kaj drugega, npr. toploto. Če telefoni tega ne podpirajo, se bodo morali pač prilagoditi.

Sicer pa tudi na odklenjenem telefonu ne gre kar tako brez potrjevanja plačila s prstnim odtisom. V spletne banke se odklenjenemu telefonu navkljub prijavljam s prstnim odtisom, pri vpisovanju kod na PC-ju pa moram za prvo in za potrditveno kodo posebej pristaviti prst. Torej za prijavo v spletno banko na PC-ju potrebujem telefon in TRI branja prsta.

Gpay s prstnim odtisom nadomesti pin. Oziroma dela celo tako da v primeru da je telefon odklenjen enostavno smatra da je v rokah avtorizirane osebe in ob plačevanju ne zahteva nobenega posredovanja. Res pa je da več kot 400€ še nisem na tak način skeširala (naenkrat).

Nkbm-ova aplikacija pa ja, zahteva posredovanje. Ampak ker se v tej temi pogovarjamo o googlu, ki ima pod sabo gpay... Jap, svet brez gesel zgleda res wtf could go wrong. Če je googlova vizija sveta brez gesel takšna kot je gpay, se bojim da ni ravno preveč lepo. Je pa komot, to pa ziher. Ni lepšega kot samo prislonit pa it naprej, brez nekih pinov vpisovat.
Life is as complicated as we make it...

no comment ::

m0LN4r je izjavil:

Z mrzlimo prsti ne mores odpret?

Če vidim, da je nekdo dovolj nor, da bi mi odrezal prst, da odklene telefon, mu rajši povem pin in mi ostane roka z vsemi prsti.

MrStein je izjavil:

O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn

In 4 leta pozneje ne poznam ene spletne strani,ki bi to uporabljala.

https://passkeys.directory

Zgodovina sprememb…

PrimozR ::

Pithlit je izjavil:

PrimozR je izjavil:

Pithlit je izjavil:

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Spodobni čitalci prstnih odtisov preverjajo še kaj drugega, npr. toploto. Če telefoni tega ne podpirajo, se bodo morali pač prilagoditi.

Sicer pa tudi na odklenjenem telefonu ne gre kar tako brez potrjevanja plačila s prstnim odtisom. V spletne banke se odklenjenemu telefonu navkljub prijavljam s prstnim odtisom, pri vpisovanju kod na PC-ju pa moram za prvo in za potrditveno kodo posebej pristaviti prst. Torej za prijavo v spletno banko na PC-ju potrebujem telefon in TRI branja prsta.

Gpay s prstnim odtisom nadomesti pin. Oziroma dela celo tako da v primeru da je telefon odklenjen enostavno smatra da je v rokah avtorizirane osebe in ob plačevanju ne zahteva nobenega posredovanja. Res pa je da več kot 400€ še nisem na tak način skeširala (naenkrat).

Nkbm-ova aplikacija pa ja, zahteva posredovanje. Ampak ker se v tej temi pogovarjamo o googlu, ki ima pod sabo gpay... Jap, svet brez gesel zgleda res wtf could go wrong. Če je googlova vizija sveta brez gesel takšna kot je gpay, se bojim da ni ravno preveč lepo. Je pa komot, to pa ziher. Ni lepšega kot samo prislonit pa it naprej, brez nekih pinov vpisovat.

A. GPaya še nisem testiral, ampak če Play Store na PC-ju zahteva moje geslo, da na telefon namesti app, sem predvideval, da tudi GPay zahteva dodatno potrditev. Ker ima smisel. Tako kot kupovanje dodatkov v špilih, da ti mulci ne pokupijo vsega brez nadzora npr.

Pithlit ::

PrimozR je izjavil:

Pithlit je izjavil:

PrimozR je izjavil:

Pithlit je izjavil:

Imaš gpay na telefonu aktiviran... Nekdo te za voglom razbije ko kanto, ti vzame telefon, ga odklene s tvojim prstom in ti lahko gladko izprazne račun. Ker gpay pin nadomešča s prstnim odtisom. Dokler je telefon odklenjen plačevanje enostavno deluje. No, za ziher ti lahko še prst odščipne če se telefon slučajno sam od sebe zaklene.

Spodobni čitalci prstnih odtisov preverjajo še kaj drugega, npr. toploto. Če telefoni tega ne podpirajo, se bodo morali pač prilagoditi.

Sicer pa tudi na odklenjenem telefonu ne gre kar tako brez potrjevanja plačila s prstnim odtisom. V spletne banke se odklenjenemu telefonu navkljub prijavljam s prstnim odtisom, pri vpisovanju kod na PC-ju pa moram za prvo in za potrditveno kodo posebej pristaviti prst. Torej za prijavo v spletno banko na PC-ju potrebujem telefon in TRI branja prsta.

Gpay s prstnim odtisom nadomesti pin. Oziroma dela celo tako da v primeru da je telefon odklenjen enostavno smatra da je v rokah avtorizirane osebe in ob plačevanju ne zahteva nobenega posredovanja. Res pa je da več kot 400€ še nisem na tak način skeširala (naenkrat).

Nkbm-ova aplikacija pa ja, zahteva posredovanje. Ampak ker se v tej temi pogovarjamo o googlu, ki ima pod sabo gpay... Jap, svet brez gesel zgleda res wtf could go wrong. Če je googlova vizija sveta brez gesel takšna kot je gpay, se bojim da ni ravno preveč lepo. Je pa komot, to pa ziher. Ni lepšega kot samo prislonit pa it naprej, brez nekih pinov vpisovat.

A. GPaya še nisem testiral, ampak če Play Store na PC-ju zahteva moje geslo, da na telefon namesti app, sem predvideval, da tudi GPay zahteva dodatno potrditev. Ker ima smisel. Tako kot kupovanje dodatkov v špilih, da ti mulci ne pokupijo vsega brez nadzora npr.

Nope gpay ne zahteva nič. No, mogoče je kje nastavitev ampak default je odklenjen telefon == avtorizirano plačilo. Sej je smiselno, dokler privzemamo da ima telefon v rokah pač lastnik. Itak moraš telefon nekako odklenit za plačat, tako da ni ravno nekega smisla po dodatnem preverjanju. Seveda dokler ti nekdo telefona ne sune pa prsta zraven. Nkbm, kolikor sem imela šanso opazovat, ima dokaj annoying implementacijo (meni je šlo na živce gledat une kolobocije, mogoče je dejanska uporaba bolj prijazna od videnega). Curve pa pač... kolikor sem uporabljala sem morala aplikacijo imet odprto da je delovalo (gpay je važno samo da je fon odprt pa lahko vmes Sudoku nabijaš) in se tudi ne spomnim da bi bilo potrebno pin vnašat.

Ampak ja, gpay igra na zaupanje. Če gre Google po tej poti, hja, sem hudo skeptična (in ja, se zavedam protislovja... po drugi strani, neke grozne škode ne bo če mi kdo izprazni račun povezan z gpay).
Life is as complicated as we make it...

MrStein ::

Če če če...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Ampak ponovno, ukinitev gesel nima nič z PIN vs prstni odtis, ločena zgodba. Nobeno geslo te ne varuje pred tem da ti nekdo ukrade telefon skupaj s prstom/PINom in tako pride do tvojega emaila in posredno vseh strani.

Geslo ne rešuje ničesar, samo težave povzroča zaradi remote izpostavljenosti. Zato mora umreti.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

no comment je izjavil:


MrStein je izjavil:

O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn

In 4 leta pozneje ne poznam ene spletne strani,ki bi to uporabljala.

https://passkeys.directory

Kul.
Čeprav jih je nekam malo na spisku.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

delavec44 ::

Lonsarg je izjavil:

T
- per device token (ta je safe, ker je vedno hkrati kombiniran še z PIN/Face/prstni odtis za odklep mobilne/PC naprave)


Kaj pa narediš, če bi rad imel na eni napravi več računov za isto spletno stran?

Lonsarg ::

Saj ta per device token si lahko predstavljas kot nek avtomatizirani password manager, ki kreira public/private key kriptirne parcke on the fly. In vsak sposoden password manager podpira vec username za isto stran.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

feryz ::

Aha, to je najbrž tako ultra zaščiteno, kot nlb klik.
S prstnim odtisom. Če si se pa po prstu užgal, pač uporabiš PIN kodo. Ponavadi štiri nule ali pa 1234.

fulk ::

feryz je izjavil:

Seljak je izjavil:

Jaz sem za to, da bi svet preizkusil življenje brez Googla.
Kdo ti pa brani, da si brez? Aja, ne moreš biti.

Kot zanimivost, trenutno mi prenavljajo spletno stran. Meni se, seveda, jebe, če jo prenovijo ali ne.
Ampak it-fantje prosijo, naj jim dam par jurjev, da vsaj nekaj migajo.
Na sestanku sem jim povedal, da mi resnično, resnično dol visi, kaj bodo naredili. Stran je stara okrog 15 let, osnutek, kasneje je bila zelo malo posodobljena.
Kar bodo naredili, bo boljše kot je, o tem ne dvomim.
Le en pogoj sem jim dal oz. željo. Da nočem piškotkov in obvestila o piškotkih. Trenutno je to misija nemogoče, it-jevci tega niso sposobni izpeljati.
Baje ima wordpress ali v čemerkoli že delajo, že v samo jedro vžgane, analitične od gugla in podobno.
Ampak preden bo stran zamenjana, bodo to uredili. Ali pa spletna stran ne bo menjana in končnega plačila ne bo.


Kot pravijo drugi. Nategnili so te.
Basic bitch wordpress stran postaviš sam v par dneh, če si malo iz ITjeve stroke. Če nisi, ne bi plačal izvajalca več kot 500€. Kaj šele par jurjev.

Pithlit ::

Lonsarg je izjavil:

Ampak ponovno, ukinitev gesel nima nič z PIN vs prstni odtis, ločena zgodba. Nobeno geslo te ne varuje pred tem da ti nekdo ukrade telefon skupaj s prstom/PINom in tako pride do tvojega emaila in posredno vseh strani.

Geslo ne rešuje ničesar, samo težave povzroča zaradi remote izpostavljenosti. Zato mora umreti.

Privzemaš da imamo storitve vezane na Gmail oz da je katerikoli mail ki ga uporabljamo nekako z enim klikom dostopen na fonu.

Jaz uporabljam protonmail (brez Backup mail-a za password retrieval). Srečno pri vdoru vanj brez gesla. Go fetch!

Tko je ko v bajti s tabo živi ultraljubosumna bivša. Se naučiš kako stvar ali dve.

Se strinjam da so gesla tečna in vse. Ampak to je edina stvar ki jo lahko vsakdo hrani v svoji glavi. Biometrična zaščita je, pri dovolj 'motiviranem' napadalcu, povsem neučinkovita. Medtem ko se tvojega uma (če si ti dovolj motiviran) vsaj zaenkrat še ne da na silo brati.
Life is as complicated as we make it...

feryz ::

fulk je izjavil:

Kot pravijo drugi. Nategnili so te.
Basic bitch wordpress stran postaviš sam v par dneh, če si malo iz ITjeve stroke. Če nisi, ne bi plačal izvajalca več kot 500€. Kaj šele par jurjev.
Seveda jo lahko postavim sam. V kolikor bi se mi dalo, ampak te stvari so ultra dolgočasne.

Sicer pa si falil poanto. Prosili so me, če lahko dobijo nekaj denarja, kriza pač. Torej mi bodo posodobili/spisali na novo spletno stran. Jaz od nje itak ne vidim nobene koristi, ampak ok, zakaj ne, če bi fantje radi nekaj delali in rabijo denar.
Na tem forumu se itak samo o denarju pogovarjate. Lakomnost in požrtnost je tukaj prvo vodilo v vsaki temi.

Lonsarg ::

Pithlit je izjavil:

Jaz uporabljam protonmail (brez Backup mail-a za password retrieval). Srečno pri vdoru vanj brez gesla. Go fetch!
Vsakič ko pregleduješ email na telefonu vpisuješ geslo? Sem skoraj zihr da ne (al si pa en na miljon), najbrž uporabljaš PIN, ergo te geslo ščiti zgolj pred remote vdorom, ne pa pred lokalnim. Za remote vdore pa je token boljša zaščita od gesla.

Itak pa prehod iz gesel na tokene ne pomeni da ni mogoče če si advanced uporabnik še vedno uporabljat geslo pri sebi lokalno, pač najdeš neko rešitev ki zaščiti token z geslom in ta token potem daš na eno/več lokacij in imaš potem efektivno iz security stališča stanje, kot bi imel samo geslo, čeprav je server-side ponudnik izpostavljen zgolj z token. Varnost je potem sicer odvisna od tega kam boš z geslom zaščiten token dal, v najbolšem primeru boš imel enako varnost, precej težko pa boljšo kot token only, bo pa tak hibrid definitivno bolj varen kot direktno z geslom izpostavljen strežnik.

Bistvo pa je da je treba default izkušnjo izboljšat in default izkušnja z gesli je da imajo ljudje GROZNO slabo zaščitene zadeve. Zato morajo gesla postati izključno domena advanced uporabnikov ki kaj vedo o varnosti.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Glugy ::

men tole ni nič všeč. to pomen da vsak ki ima dostop do naprave ima v bistvu že tvoje geslo. če imaš radovedne otroke bo to res en boh pomagi. da ne govorim o tem da ti lahko sledijo potem kot da bi šlo za tvoj prtni odtis po celem spletu. vso srečo če si aktivist... te bodo še lažje nadziral grenil življenje ali vsaj omejeval pri tvojem delu. v življenju je informacija tista ki je največ vredna....zato je brezgeselno sranje problem.

Lonsarg ::

Vsak ki ima dostop do tvojega mobitela de-facto že ima posredni dostop do vsega, TUDI v svetu gesel, brezgeselnost tega ne spreminja.

Kdor daje otroku odklenjen telefon brez ločenega izoliranega "kid mode" se lahko malo zamisli ja.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Pithlit ::

Lonsarg je izjavil:

najbrž uporabljaš PIN

Dej mi še mal razloži kaj jaz delam in kaj ne. Ker očitno veš bolje od mene. Verjetno sam zato ker se ti teorija podre.

Še enkrat, praktično vse servise imam na protonmail... ki je za 17 mestnim geslom. Protonmail ni povezan z nobenim drugim mailom, tko da če hočeš not vdret boš moral bruteforcat mail, ali pa mene. Srečno pri obeh početjih. Ampak očitno po tvoje uporabljam pin.

Lonsarg je izjavil:

Vsak ki ima dostop do tvojega mobitela de-facto že ima posredni dostop do vsega, TUDI v svetu gesel, brezgeselnost tega ne spreminja.

Kdor daje otroku odklenjen telefon brez ločenega izoliranega "kid mode" se lahko malo zamisli ja.

Še enkrat, to ni res. Komur je mar pač tega ne omogoča.
Life is as complicated as we make it...

Zgodovina sprememb…

  • spremenila: Pithlit ()

MrStein ::

Glugy je izjavil:

men tole ni nič všeč. to pomen da vsak ki ima dostop do naprave ima v bistvu že tvoje geslo. če imaš radovedne otroke bo to res en boh pomagi. da ne govorim o tem da ti lahko sledijo potem kot da bi šlo za tvoj prtni odtis po celem spletu.

Za vsak servis se generira drug ključ, tako da se preko tega ne da slediti. Vsaj ne preprosto.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Pithlit je izjavil:

Lonsarg je izjavil:

najbrž uporabljaš PIN

Dej mi še mal razloži kaj jaz delam in kaj ne. Ker očitno veš bolje od mene. Verjetno sam zato ker se ti teorija podre.

Še enkrat, praktično vse servise imam na protonmail... ki je za 17 mestnim geslom. Protonmail ni povezan z nobenim drugim mailom, tko da če hočeš not vdret boš moral bruteforcat mail, ali pa mene. Srečno pri obeh početjih. Ampak očitno po tvoje uporabljam pin.
Še vedno nisi povedal kako spremljaš email na mobilni napravi. Lahko sicer ugibam glede na tvoje namige da imaš morda dva različna emaila, ampak morda pa lahko vseeno sam poveš kaj bolj direktno kot pa zgolj namigi da mi ne bo treba ugibat ane?

Če že daš kontro na mojo izjavo "že sedaj si izpostavljen preko PIN ali prstni odtis in ukinitev gesla glede tega nič ne spreminja" potem je logično da boš zraven še napisal kako to za tebe ne velja. In morda tudi kako si predstavljaš, da bi ukinitev gesla karkoli pokvarila, al zakaj si proti ukinitvi.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

fulk ::

Glugy je izjavil:

men tole ni nič všeč. to pomen da vsak ki ima dostop do naprave ima v bistvu že tvoje geslo. če imaš radovedne otroke bo to res en boh pomagi. da ne govorim o tem da ti lahko sledijo potem kot da bi šlo za tvoj prtni odtis po celem spletu. vso srečo če si aktivist... te bodo še lažje nadziral grenil življenje ali vsaj omejeval pri tvojem delu. v življenju je informacija tista ki je največ vredna....zato je brezgeselno sranje problem.


Tko nekako.

Vse te globohomo novotarije uporabljajo ljudje, ki so brezvezni. Nikoli nič posebnega naredili, nikoli izzivali, nikoli rekli kaj nevšečnega, nikoli šli kam kjer ne bi smeli.
Pač droni v pravem pomenu. Držijo se tirov, ki so jim tlakovani vnaprej.
Tem je jasno vse to super in komfortno.

Kar ne bi bilo nič narobe, ampak otežujejo življenje nam, ki radi pogledamo kdaj izven škatle.

Jaz bom ostal na geslu, do konca, dokler se bo dalo.

Lonsarg ::

Trenutno stanje je da so gesla največja varnostna luknja celotne informacijske varnosti. In to DALEČ največja, pusham z vso silo tako v firmi kot privat v passwordless svet. Passwordless servisni računi, 2FA... Ampak zadeve gredo žalostno počasi, že na nivoju ponudnikov, kaj šele pri implementaciji. Je sicer res da je 2FA prvi korak v passwordless in vsaj 2FA je počasi standard v firmah, ampak treba bo še dlje, predvsem pa je problem ker se privat niti 2FA ni prijel.

Za vztrajne z gesli bodo pač raznorazni token manager programi (ali spletni, ali offline), ki bodo geslo konvertirali v token pa boste lahko še naprej imeli gesla. Skratka kaj boste vi lokalno počeli bo prosto po prešernu, važno da je client-server komunikacija izvedena preko token (torej certifikat) ne pa preko gesla. In to je FIDO, standardizira to komunikacijo, lokalne FIDO implementacije pa so lahko poljubne.

Ko ima enkrat neka stran vzpostavljen login preko FIDO standarda dobi user s tem popolno kontrolo kje bo hranil token za dostop in kako bo ta token zaščitil, nič več nisi v nemilosti firme glede implementacije login metode, kot je trenutno z gesli.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Pithlit ::

Lonsarg je izjavil:

Pithlit je izjavil:

Lonsarg je izjavil:

najbrž uporabljaš PIN

Dej mi še mal razloži kaj jaz delam in kaj ne. Ker očitno veš bolje od mene. Verjetno sam zato ker se ti teorija podre.

Še enkrat, praktično vse servise imam na protonmail... ki je za 17 mestnim geslom. Protonmail ni povezan z nobenim drugim mailom, tko da če hočeš not vdret boš moral bruteforcat mail, ali pa mene. Srečno pri obeh početjih. Ampak očitno po tvoje uporabljam pin.
Še vedno nisi povedal kako spremljaš email na mobilni napravi. Lahko sicer ugibam glede na tvoje namige da imaš morda dva različna emaila, ampak morda pa lahko vseeno sam poveš kaj bolj direktno kot pa zgolj namigi da mi ne bo treba ugibat ane?

Če že daš kontro na mojo izjavo "že sedaj si izpostavljen preko PIN ali prstni odtis in ukinitev gesla glede tega nič ne spreminja" potem je logično da boš zraven še napisal kako to za tebe ne velja. In morda tudi kako si predstavljaš, da bi ukinitev gesla karkoli pokvarila, al zakaj si proti ukinitvi.

Dej no, ne se spuščat pod tvoj normalen nivo sam zato ker se nekdo ne strinja s tabo. Sem že vse napisala, ne se delat da ne veš.

Ampak prav, ker si me tako lepo prosila ti bom še enkrat:

Glede Maila verjetno veš da za android brez Google accounta skorajda ne gre. Gmail pač uporabljam za vsakodnevne gluposti. Servisi in storitve so vezani pa na ločen (Proton)mail - ker ni nobene potrebe po stalnem čekiranju.

Zakaj naj bi bila jaz proti ukinitvi gesel - načeloma niti nisem, ker gesla so tečna in vse te gluposti. Ampak ko vidim da se je to Google spravil delat, pa vidim kako to dela z gpay... Nisem navdušena nad tem da ima nekdo dostop do VSEGA samo zato ker ima dostop do mojega odklenjenega telefona. Ker o tem trenutno z mojim setupom lahko samo sanja. Moj prstni odtis odklene telefon, po tem te pa pričaka geslo za skoraj vsako jebeno stvar ki kaj pomeni (problem je gpay... če mi nekdo izprazni račun povezan z njim bo sicer bolelo, ne bo pa konec sveta. Pa potencialno Gmail z vsem spam-om k je gor).

Moj prstni odtis te ne bo spustil do nobene strani ki zahteva geslo. Če Google implementira te zadeve tako kot je implementiral gpay... te pa bo. In boš naenkrat imel dostop do vseh social media, edavkov, certifikatov... z enim samim prstnim odtisom. Če ima nekdo fizični dostop do tvojih naprav ti noben digitalni token ne pomaga. Pomaga ti lahko edino neko geslo (kolikor je pač geslo močno) ki je varno zapakirano v tvojih možganih.

Torej nisem proti umakinitvi gesel. Ker pa vidim kako se Google zadnje čase loteva stvari, me to dela nervozno. Če tebe to pusti hladno... hja. Si dej predstavljaj trip v USA pa srečanje s TSA kjer oni hočejo imet dostop do tvojih social media pa mail-a pa financ pa... Bi jim povedala gesla? Bi jim pomolila prst pod nos? Kaj jim brani enostavno prijet tvoj prst in... ups! Would you look at that.

Jaz imam rada tisto malo zasebnosti ki mi še ostaja na voljo. Tudi če jo moram skrivat za gesli. Brez gesel tudi tega ne bo več.
Life is as complicated as we make it...

Lonsarg ::

Evo no saj tako razmišljanje mi je v osnovi čisto všeč. Tudi ločen email za registracije da se izogneš izpostavljenosti naprave, super da kdo gleda toliko na varnost, večina nas ne gre tako daleč.

Vseeno pa je tvoja kontra Google potezam ekstremno kontraproduktivna če kao gledaš na varnost. Ker če si proti Googlu v članku kjer je govora o FIDO stnadardu to pomeni da si posredno proti FIDO standardu, brez tega standarda pa bo informacijska varnost ostala v srednjem veku. FIDO je treba promovirat in zahtevat od vseh firm da ga implementirajo in tudi ploskat vsaki firmi ki to implementira/promovira, tudi če sicer ta firma počne bedarije.

Poleg tega pa to kar se ti greš, da imaš nek email zaščiten z nečim kar ni odklenljivo preko mobitela je povsem v skladu z funkcionalnostmi FIDO standarda. Trenutno je tvoja zaščita "nekaj kar več", preko FIDO lahko to ohraniš, lahko pa spremeniš v "kombinacijo nečesa kar veš in kar imaš" z recimo PIN/geslo + FIDO ključek v predalu, ki ne gre iz hiše. Tudi geslo boš lahko ohranil, bodisi token store na PC zaščiten z geslom, bodisi FIDO key z geslom, skratka miljon opcij se ti bo odprlo, nobena pa zaprla.

Passwordless kljub imenu NE pomeni nujno da ni geslo del zaščite. Passwordless samo pomeni da server login ne sme biti preko gesla. Potrebujemo svet kjer so vsi strežniki FIDO only in prepovedujejo gesla, tudi protonmail mora v to smer sčasoma.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

fulk ::

Lonsarg je izjavil:

Trenutno stanje je da so gesla največja varnostna luknja celotne informacijske varnosti. In to DALEČ največja, pusham z vso silo tako v firmi kot privat v passwordless svet. Passwordless servisni računi, 2FA... Ampak zadeve gredo žalostno počasi, že na nivoju ponudnikov, kaj šele pri implementaciji. Je sicer res da je 2FA prvi korak v passwordless in vsaj 2FA je počasi standard v firmah, ampak treba bo še dlje, predvsem pa je problem ker se privat niti 2FA ni prijel.

Za vztrajne z gesli bodo pač raznorazni token manager programi (ali spletni, ali offline), ki bodo geslo konvertirali v token pa boste lahko še naprej imeli gesla. Skratka kaj boste vi lokalno počeli bo prosto po prešernu, važno da je client-server komunikacija izvedena preko token (torej certifikat) ne pa preko gesla. In to je FIDO, standardizira to komunikacijo, lokalne FIDO implementacije pa so lahko poljubne.

Ko ima enkrat neka stran vzpostavljen login preko FIDO standarda dobi user s tem popolno kontrolo kje bo hranil token za dostop in kako bo ta token zaščitil, nič več nisi v nemilosti firme glede implementacije login metode, kot je trenutno z gesli.


Jaz za moje kritične segmente, vedno znova napišem geslo in si ga zapomnem. Nikoli ni po defaultu. Če pa imam keylogger na napravi, imam večje probleme kot pa si zapomnit to.
Se pa strinjam. Če implementirate neko offline metodo potrjevanja, kjer je edini način, da mi nepridiprav vdre v stanovanje, potem ok. Sprejmem.
Žrtvovati svojo digitalni ID za nekaj več komforta pa žal ne.
Sploh ne vem kaj je tako produktivnega na tem svetu, da morajo imeti ljudje vse ultra fast. Večina zadev v modernem svetu je itak BS. Koga jebe, če ukradejo novi Top gun. Je zgolj film.

Lonsarg ::

Sploh ne gre za fast (fast narediš mimogrede, če se da), remote izpostavljen strežnik na geslo je pač že v osnovi problematičen, ko dodaš še kako laiki delajo z gesli pa sploh groza.

FIDO te vsaj kar se client-server interakcije prisili v unikaten ključ per stran oziroma celo per device potencialno, kake bodo lokalne fido implementacije bo sicer čas pokazal, ampak tudi če bodo slabe (upam da ne) ne more bit slabše kot remote izpostavljenost na geslo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
6413398 (9726) Mr.B
»

Evropski ponudniki e-mail in "oblačnih" storitev (zasebnost itd.) (strani: 1 2 )

Oddelek: Informacijska varnost
8635517 (33773) SeMiNeSanja
»

Kim Dotcom zagnal kriptografsko oblačno storitev Mega (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
8742622 (37397) snezak
»

Google bi se znebil gesel. Kaj je alternativa?

Oddelek: Novice / Omrežja / internet
4613679 (11032) Jst
»

Nov mesec, novi popravki za Microsoftove programe

Oddelek: Novice / Varnost
164890 (3554) ender

Več podobnih tem