Google odslej privzeto s ključi namesto gesel

nekikr je 11. okt 2023 ob 19:24 izjavil:

Se pravi prejšnje geslo, obvezno sestavljeno iz 28 znakov, velikih in malih, posebnega znaka, številke in kapljice krvi device, ni bilo ok, zato bo zdaj PIN v smislu 8475? Kje je catch?

Še en ki ne ve kaj ukinitev gesel sploh je:
1. Izpostavljenost preko interneta bo iz tvojega 28 mestnega passworda šla na public/private key, kar JE bolj varno
2. Izpostavljenost prijave v device in/ali prijave v password/passkey manager bo ostala enaka. Ali je to 4 mestni PIN ali 28 mestni password ali prstni odtis je na uporabniku. Tega ukinitev gesel ne dotika.

lebang1 je 11. okt 2023 ob 07:44 izjavil:

Sicer pa namizni računalnik nima skener za odtis ali karkoli, samo pin potem pride v poštev...

Avtentikator lahko dela poljubno, recimo ce drzi OS kljuce lahko zahteva vpis passworda od userja ali pa samo pin. To je stvar implementacije avtentikatorja in nima veze z googlom. Site lahko zahteva neko vrsto ali kvaliteto attestatorja. Dobi nazaj attestation in public key.

c23po je 11. okt 2023 ob 07:14 izjavil:

Google dviguje ceno za svoje brezplačne usluge. Ni več dovolj povezava telefonske številke z računom. Želijo ustvariti popolni digitalni profil za slehernega uporabnika. Če želimo enako uslugo, bo po novem potrebno plačati več. Prepričan sem, da bo prijazna možnost odkloniti dodatno varnost v kratkem ukinjena.

Same neumnosti. Kljuc je lahko Yubikey, ali pa kaj drugega. Lahko je seveda telefon, v katerem primeru imajo pac device ID. Za vecino ljudi je povezava email in telefon znana zadeva, ker pac so v Big Bangu to vpisali v obrazen in nekdo je to bazo odtujil in jo prodajal po celem internetu. Imas podjetja ki take podatke odkupujejo, precistijo in prodajajo naprej, tudi Googlu. Tko da ne mislit da oni rabijo tale mehanizem da vejo kater telefon pase na kater email.

kow je 11. okt 2023 ob 08:26 izjavil:

Miki N je 11. okt 2023 ob 08:14 izjavil:

Ampak dejansko te hočejo prav kirurško spojiti s telefonom, da prav ne boš mogel nič brez njega. In seveda "ni panike, saj je še alternativa" - dokler je ni.

Jp. Varnost je glavni nacin monopoliziranja trga. Ociten pristop, ki deluje.

Kje tukaj ti vidis monopolizacijo trga?

Magic1 je 11. okt 2023 ob 08:36 izjavil:

Verjetno boš na koncu vse potrjeval preko telefona. Če pa bo crknu, bo pa štala.

Teh naprav lahko dodas kolikor hoces, razlicnih tipov (seveda ce podpira service). Jst mam laptop, telefon, pa FIDO kompatibilen kljuc. Recimo ko menjas telefon das starega v predal in dodas se novega in zdaj imas backup device.

MrStein je 11. okt 2023 ob 09:47 izjavil:

Ta passkeys je sicer zelo omejen, če ni možen prenos iz naprave na napravo. So to že pogruntali?

To je stvar implementatorja. Eno so generirani kljuci, drugo so pa attestation providerji. Recimo moj telefon in moj laptop sta dva razlicna attestatorja (tehnicno gledano je attestator iOS in macOS preko fingerprint scannerja), generirani private keyi se pa lahko med devicei kopirajo, kar recimo Apple dela. Nek browser kot Chrome, ki ima nek sync lahko tudi to pocne. Prednost teh syncov je, da lahko prijavim samo en keypair (izpade kot en device), na enem deviceu in ga uporabim da drugem.

Brez tega synca ga pac moram na vsakem deviceu posebi. Torej, se prijavim v storitev s telefonom, grem v settinge, kliknem add device in se prijavim z laptopom. Zdej imam isto funkcionalnost kot brez synca, samo da storitev uporablja dva kljuca ne enega.

BadgerSkin je 11. okt 2023 ob 11:41 izjavil:

Recite mi paranoik, ampak tole meni izgleda malo kot en vsiljen backdoor za znamenite three letter agencies in za sorodne službe.

Cisti non-sense nekoga, ki ne razume. Kot prvo, three letter agencies lahko dobijo dostop od googla direktno in se ne rabijo jebat s tvojo prijavo. Kot drugo, nihce te ne sili da uporabljas finger-print scannerje in telefon. Kupi si kak drugacen avtentikator. Kot tretje, verjetno mislis da se bos zdej na google prijavljal s prstnimi odtisi, kar kaze, da v osnovi ne razumes kaj to je.

BadgerSkin je 11. okt 2023 ob 11:41 izjavil:

Gesel načeloma posameznik ne rabi izdati, do prstnih odtisov pa imajo lahko "preiskovalci" vedno dostop.

Wrong again.

UK: https://www.vice.com/en/article/wnjgdq/...
US: https://www.mckinneylawfirm.com/blog/20...

In ne rabijo samo dostopa do prstnih odtisov, ampak tudi do naprave. Prsti odtisi samo prepricajo napravo, da uporabi pravi private-key. Verjetno mislis, da se bo CIA direktno prijavljala na googlove streznike s slikico prstnega odtisa. Ne razumes tehnologije.

predi je 11. okt 2023 ob 11:55 izjavil:

V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager.

To je built-in v vsakem browserju, ne rabis nobenega dodatnega programa. Razen ce mislis sync med napravami, kar ni pokrito kot del tega standarda, kar pa tudi ze podpira apple, Safari in Chrome, (ostali pa bodo tudi kmalu).

sardina je 11. okt 2023 ob 12:53 izjavil:

... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).

Vsaka prijava generira svoj key pair. Kar tudi omogoca da z eno napravo avtenticiras vec kot en uporabniski racun na isti storitvi.

energetik je 11. okt 2023 ob 13:23 izjavil:

Sicer pa - nečesa ne razumem dobro. Na telefonu imam shranjen passkey za svoj Google račun. Ampak kakor vidim, tega ne morem uporabiti za prijavo v Gugl na PC-ju?

Tako je, razen ce bo Chrome imel kak sync implementiran, lahko pa verjetno kako dodas PC kot napravo.

Karamelo je 11. okt 2023 ob 15:21 izjavil:

sam potem moraš ta ključ vedno s sabo vlačit? geslo pa imam vedno v glavi, sicer slabo geslo, ampak imam ga pa vedno pr rok

Dodaj si tudi telefon, ce hoces convenience.

Nikonja je 11. okt 2023 ob 17:06 izjavil:

Predvidevam da nobedn od vas ni poskusil kako to izgleda v realnosti, ane?
Jaz pa sem, in sicer na PC-u ko vse naštimaš, te dejansko vpraša karkoli imaš nastavljeno za logiranje v Windowse (v mom slučaju PIN - na prenosniku prstni odtis), na smartfonu pa prstni otis, tko da ne vem kako je bolj enostavno tipkat geslo in se zaj... z dvojno autentikacijo, ampak ej vsakome po svoje. Meni osebno je ovo bolj izi za logiranje.

Ne, raje se bodo pizdili.

sardina je 11. okt 2023 ob 17:45 izjavil:

Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):

echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum

(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)

Super, do trenutka, ko bi rad zamenjal master password tele tvoje fore. Ali pa, bolj realisticno, ko nek service zahteva, da rotiras password vsakih 90 dni. Ali pa, ce imas vec kot en user account na isti domeni. Ali pa ce service zahteva kake dolocene znake v passwordu. Pa zdaj si moram zapomnit tale prefix (salt) in password, namesto samo password. Odlicno. In cela zadeva je security through obscurity, ce kdo vidi tale tvoj command je v trenutku konec tvojega securitya. Vse kar rabim je videt tale prefix na ekranu in dobit en tvoj crackan password od neke storitve, ki ima shitty security in lahko generiram vse tvoje passworde za vse storitve.

nekikr je 12. okt 2023 ob 09:07 izjavil:

Seveda ne vem, zato pa sprašujem. Torej geslo, dvostopenjska avtentikacija in potem še PIN? Kako to izgleda v praksi?

Ja saj v bistvu zadeva dejansko ni enostavna če gledaš detajle. Ampak če se fokusiraš samo na končno uporabniško izkušnjo se razlago da poenostavit na:
"Passwordless pomeni da se uporabnike prisili v uporabo pass managerja v zameno za drastično večjo varnost glede izpostavljenosti preko interneta, kako dostopajo do tega pass managerja pa je odvisno od posamezne implementacije, kot velja že sedaj za obstoječe password managerje (ki jih uporabljajo praktično vsi, tudi remember password v browserju je password manager), ponavadi je to PIN za PC oziroma PIN ali prsti odtis za mobitele".

Default implementacije pass managerjev so vezane na login naprave in če odkleneš samo napravo si odklenil tudi pass manager (za odklenit v edit/export mode je nekako standard da je še dodatni check, ponavadi sicer le še enkrat isti login naprave, da se zaščiti pred tem da bi nekdo iz odklenjene naprave eksportal ključe).

Zadevo se potem nadgradi lahko še ali z dodatno avtentikacijo na nivoju pass managerja ki je ločena od logina naprave, ampak tega ponavadi nočeš delat za vse spletne strani, bi bilo preveč zamudno. Zato to kvečjemu narediš z dodatnim ločenim pass managerjem zgolj za občutljive strani. Lažja in boljša rešitev kot dodatni pass manager pa je dodatna 2factor avtentikacija, ampak tukaj je problem če je ta 2F avtentikacija na isti napravi in na isti prstni odtis/PIN vezana kot pass manager. Tega passwordless ne rešuje in to je že sedaj problem, to ni nov problem. Načeloma mobitel vseeno prej opazimo če kdo ukrade/zlorabi kot pa PC, zato je vseeno bolj varno 2F imeti na mobitelu kot na PC, kljub temu da je ta 2F "fejk" ker ima mobitel oboje, pass manager in 2F. Bolje kot brez 2F ampak slabše kot pravi 2F, kjer bi morala biti ločena naprava za 2F. Idealna rešitev bi bila da je 2F čip v glavi in z mislimi potrdiš login vsakič, ampak na to bomo še nekaj časa čakali :)

No jaz sem nekako zadovoljen z rešitvijo da za manj občutljive strani uporabljam pač shranjevanje gesel v browser in to je tako na PC kot mobitelu. Za bolj občutljive strani pa imam pass shranjen le na PC, 2F pa le na mobitelu tak da imam "pravi" 2F za bolj občutljive strani. Edina izjema kjer imam "fejk" 2F je google/microsoft račun, ker do tega nekako moraš iz mobitela dostopat in to pomeni da nimam druge izbire kot da je tako primarna zaščita kot tudi 2F na isti napravi. No ne da nimam druge izbire, ampak če bi hotel še bolj profi varjanto bi si rpecej otežil življenje.

Mi gre pa zelo na jetra da mi mobitel ne dovoli za backup prstnega odtisa nastaviti gesla, ampak vztraja da je backup nujno PIN. No sem se sprijaznil s 6 mestnim PINom :) Meni bi bilo vseeno če je backup dolgo geslo, ker backup le redko rabimo, za hitro je pa pač prstni odtis. Je pa res da backupa ne smeš izgubiti, drgač izgubiš vse podatke na telefonu, tak da razumem firme da vztrajajo pri PIN ki ga uporabnik težje pozabi.

Ampak ponavljam, tega passwordless ne spreminja, ta problem že obstaja sedaj in bo ostal tudi po passwordless. Bo pa passwordless dobro rešil zaščito pred remote vdori. Zato moramo vztrajati na tem da se čimprej zgodi prehod v passwordless, na firmi kar naprej težim sistemcem da bo treba v passwordless, pa zdaj celo nekaj delajo na tem.

Passwordless je sicer najbolj pomemben za tiste strani ki nimajo 2F zaščite, tisti bodo najbolj pridobili.

Imam Samsung ja in imaš prav dejansko podpira password namesto PIN :) Čudno potem da mi je vsililo PIN med kreacijo prstnega odtisa, očitno imajo le glup setup wizard. Grem spremenit na password :)

Telefon ni nujen. Ključ imaš/boš imel lahko v pass. managerju na npr. Linux PCju brez kakršnekoli povezave s telefonom.

Sem laik. Dajte mi razložit, zakaj bi nekdo uporabljal password manager, ki ima za enim master geslom shranjena vsa ostala gesla. Z vdorom v password manager so izpostavljena vsa vaša gesla. A ni bolj varno, če vsa jajca niso v eni košari?

miteq je 13. okt 2023 ob 22:27 izjavil:

Sem laik. Dajte mi razložit, zakaj bi nekdo uporabljal password manager, ki ima za enim master geslom shranjena vsa ostala gesla. Z vdorom v password manager so izpostavljena vsa vaša gesla. A ni bolj varno, če vsa jajca niso v eni košari?

odločiti se moraš kaj ti je bolj riskantno?

- to da imaš slaba gesla v tisočih spletnih straneh, ki si jih lahko zapomniš in ti jih lahko pohackajo in jih verjetno uporabljaš še kje drugje, ne samo v eni storitvi
- ali to, da imaš super težka gesla (za vsako storitev svoje geslo) v password managerju in eno za zapomnit za password manager-ja...password manager lahko vežeš preko passkey-a tudi na fizični security key ali fingerprintscanner ali kaj podobnega, torej zeloooo varna stvar, razen če ti ne vdrejo v bajto in vse skupaj poberejo, kar je verjetno majhna verjetnost, razen če nisi kaka iskana CIA osebnost :) samo potem verjetno nebi tega tu spraševal

Sistem v glavi je slaba ideja. En klik, pa se ne spomniš več nič od tega.
Imaš samo 2 varni in zanesljivi varianti:
- random generirana močna gesla, sprintana na papirju in jih vnašaš ročno
- random generirana močna gesla, shranjena v pass. managerju in se vnesejo avtomatsko ali copy/paste

S tem da pass. manager ti ne more zgoreti, master geslo pa lahko vgraviraš v jekleno ploščico, hkrati tudi uporabljaš 2FA. Zame je izbira jasna.

KSZ.

Pred mnogimi časi, so bili na Slo-Tech-u tudi članki.

Pogrešam:
Priročnik: Varna gesla za telebane. ;)