Novice » Varnost » Google odslej privzeto s ključi namesto gesel
Lonsarg ::
Se pravi prejšnje geslo, obvezno sestavljeno iz 28 znakov, velikih in malih, posebnega znaka, številke in kapljice krvi device, ni bilo ok, zato bo zdaj PIN v smislu 8475? Kje je catch?
Še en ki ne ve kaj ukinitev gesel sploh je:
1. Izpostavljenost preko interneta bo iz tvojega 28 mestnega passworda šla na public/private key, kar JE bolj varno
2. Izpostavljenost prijave v device in/ali prijave v password/passkey manager bo ostala enaka. Ali je to 4 mestni PIN ali 28 mestni password ali prstni odtis je na uporabniku. Tega ukinitev gesel ne dotika.
Zgodovina sprememb…
- spremenil: Lonsarg ()
nekikr ::
Seveda ne vem, zato pa sprašujem. Torej geslo, dvostopenjska avtentikacija in potem še PIN? Kako to izgleda v praksi?
Spura ::
Sicer pa namizni računalnik nima skener za odtis ali karkoli, samo pin potem pride v poštev...
Avtentikator lahko dela poljubno, recimo ce drzi OS kljuce lahko zahteva vpis passworda od userja ali pa samo pin. To je stvar implementacije avtentikatorja in nima veze z googlom. Site lahko zahteva neko vrsto ali kvaliteto attestatorja. Dobi nazaj attestation in public key.
Google dviguje ceno za svoje brezplačne usluge. Ni več dovolj povezava telefonske številke z računom. Želijo ustvariti popolni digitalni profil za slehernega uporabnika. Če želimo enako uslugo, bo po novem potrebno plačati več. Prepričan sem, da bo prijazna možnost odkloniti dodatno varnost v kratkem ukinjena.
Same neumnosti. Kljuc je lahko Yubikey, ali pa kaj drugega. Lahko je seveda telefon, v katerem primeru imajo pac device ID. Za vecino ljudi je povezava email in telefon znana zadeva, ker pac so v Big Bangu to vpisali v obrazen in nekdo je to bazo odtujil in jo prodajal po celem internetu. Imas podjetja ki take podatke odkupujejo, precistijo in prodajajo naprej, tudi Googlu. Tko da ne mislit da oni rabijo tale mehanizem da vejo kater telefon pase na kater email.
Kje tukaj ti vidis monopolizacijo trga?Ampak dejansko te hočejo prav kirurško spojiti s telefonom, da prav ne boš mogel nič brez njega. In seveda "ni panike, saj je še alternativa" - dokler je ni.
Jp. Varnost je glavni nacin monopoliziranja trga. Ociten pristop, ki deluje.
Verjetno boš na koncu vse potrjeval preko telefona. Če pa bo crknu, bo pa štala.Teh naprav lahko dodas kolikor hoces, razlicnih tipov (seveda ce podpira service). Jst mam laptop, telefon, pa FIDO kompatibilen kljuc. Recimo ko menjas telefon das starega v predal in dodas se novega in zdaj imas backup device.
To je stvar implementatorja. Eno so generirani kljuci, drugo so pa attestation providerji. Recimo moj telefon in moj laptop sta dva razlicna attestatorja (tehnicno gledano je attestator iOS in macOS preko fingerprint scannerja), generirani private keyi se pa lahko med devicei kopirajo, kar recimo Apple dela. Nek browser kot Chrome, ki ima nek sync lahko tudi to pocne. Prednost teh syncov je, da lahko prijavim samo en keypair (izpade kot en device), na enem deviceu in ga uporabim da drugem.
Ta passkeys je sicer zelo omejen, če ni možen prenos iz naprave na napravo. So to že pogruntali?
Brez tega synca ga pac moram na vsakem deviceu posebi. Torej, se prijavim v storitev s telefonom, grem v settinge, kliknem add device in se prijavim z laptopom. Zdej imam isto funkcionalnost kot brez synca, samo da storitev uporablja dva kljuca ne enega.
BadgerSkin je izjavil:
Recite mi paranoik, ampak tole meni izgleda malo kot en vsiljen backdoor za znamenite three letter agencies in za sorodne službe.Cisti non-sense nekoga, ki ne razume. Kot prvo, three letter agencies lahko dobijo dostop od googla direktno in se ne rabijo jebat s tvojo prijavo. Kot drugo, nihce te ne sili da uporabljas finger-print scannerje in telefon. Kupi si kak drugacen avtentikator. Kot tretje, verjetno mislis da se bos zdej na google prijavljal s prstnimi odtisi, kar kaze, da v osnovi ne razumes kaj to je.
BadgerSkin je izjavil:
Gesel načeloma posameznik ne rabi izdati, do prstnih odtisov pa imajo lahko "preiskovalci" vedno dostop.Wrong again.
UK: https://www.vice.com/en/article/wnjgdq/...
US: https://www.mckinneylawfirm.com/blog/20...
In ne rabijo samo dostopa do prstnih odtisov, ampak tudi do naprave. Prsti odtisi samo prepricajo napravo, da uporabi pravi private-key. Verjetno mislis, da se bo CIA direktno prijavljala na googlove streznike s slikico prstnega odtisa. Ne razumes tehnologije.
V resnici gre za client side certificate auth, kakor namiguje MrStein, s tem da namesto password managerja zdaj rabiš passkey manager.To je built-in v vsakem browserju, ne rabis nobenega dodatnega programa. Razen ce mislis sync med napravami, kar ni pokrito kot del tega standarda, kar pa tudi ze podpira apple, Safari in Chrome, (ostali pa bodo tudi kmalu).
Vsaka prijava generira svoj key pair. Kar tudi omogoca da z eno napravo avtenticiras vec kot en uporabniski racun na isti storitvi.
... česar pa se pri celi zadevi ne pove je, da je ta public key enak za vse storitve in omogoča preprosto sledenje uporabniku po celem svetu, kar randomizirano geslo in custom email naslov v celoti onemogočata (ob primerni higieni na browserju, se razume).
Sicer pa - nečesa ne razumem dobro. Na telefonu imam shranjen passkey za svoj Google račun. Ampak kakor vidim, tega ne morem uporabiti za prijavo v Gugl na PC-ju?Tako je, razen ce bo Chrome imel kak sync implementiran, lahko pa verjetno kako dodas PC kot napravo.
sam potem moraš ta ključ vedno s sabo vlačit? geslo pa imam vedno v glavi, sicer slabo geslo, ampak imam ga pa vedno pr rokDodaj si tudi telefon, ce hoces convenience.
Predvidevam da nobedn od vas ni poskusil kako to izgleda v realnosti, ane?
Jaz pa sem, in sicer na PC-u ko vse naštimaš, te dejansko vpraša karkoli imaš nastavljeno za logiranje v Windowse (v mom slučaju PIN - na prenosniku prstni odtis), na smartfonu pa prstni otis, tko da ne vem kako je bolj enostavno tipkat geslo in se zaj... z dvojno autentikacijo, ampak ej vsakome po svoje. Meni osebno je ovo bolj izi za logiranje.
Ne, raje se bodo pizdili.
Pa mimogrede, tole nadomesti tvoj Bitwarden, brez baze, brez syncanja, deluje povsod, dokler imas shell pri roki (v powershell si pa sami prevedite):
echo si.en.salabajzer$DOMAIN$PASSWORD|md5sum
(Takaj md5? Zato, da nesposobni kreteni, ki jim nič ni jasno zaženejo vik in krik, se DELAJO pametne, kako ima md5 collisione. Its a trap.)
Super, do trenutka, ko bi rad zamenjal master password tele tvoje fore. Ali pa, bolj realisticno, ko nek service zahteva, da rotiras password vsakih 90 dni. Ali pa, ce imas vec kot en user account na isti domeni. Ali pa ce service zahteva kake dolocene znake v passwordu. Pa zdaj si moram zapomnit tale prefix (salt) in password, namesto samo password. Odlicno. In cela zadeva je security through obscurity, ce kdo vidi tale tvoj command je v trenutku konec tvojega securitya. Vse kar rabim je videt tale prefix na ekranu in dobit en tvoj crackan password od neke storitve, ki ima shitty security in lahko generiram vse tvoje passworde za vse storitve.
Zgodovina sprememb…
- spremenil: Spura ()
LightBit ::
Če jaz to prav razumem, gre pravzaprav za neke oblike password (oz. certifikat) managerja.
Upam da so vsi poskrbeli da je private-key dobro zaščiten in ne samo obfuskiran.
Skrbi glede CIA in podobne so odveč, oni itak že imajo dostop do vseh podatkov na Google. Google jim sam da.
Upam da so vsi poskrbeli da je private-key dobro zaščiten in ne samo obfuskiran.
Skrbi glede CIA in podobne so odveč, oni itak že imajo dostop do vseh podatkov na Google. Google jim sam da.
Lonsarg ::
Seveda ne vem, zato pa sprašujem. Torej geslo, dvostopenjska avtentikacija in potem še PIN? Kako to izgleda v praksi?
Ja saj v bistvu zadeva dejansko ni enostavna če gledaš detajle. Ampak če se fokusiraš samo na končno uporabniško izkušnjo se razlago da poenostavit na:
"Passwordless pomeni da se uporabnike prisili v uporabo pass managerja v zameno za drastično večjo varnost glede izpostavljenosti preko interneta, kako dostopajo do tega pass managerja pa je odvisno od posamezne implementacije, kot velja že sedaj za obstoječe password managerje (ki jih uporabljajo praktično vsi, tudi remember password v browserju je password manager), ponavadi je to PIN za PC oziroma PIN ali prsti odtis za mobitele".
Default implementacije pass managerjev so vezane na login naprave in če odkleneš samo napravo si odklenil tudi pass manager (za odklenit v edit/export mode je nekako standard da je še dodatni check, ponavadi sicer le še enkrat isti login naprave, da se zaščiti pred tem da bi nekdo iz odklenjene naprave eksportal ključe).
Zadevo se potem nadgradi lahko še ali z dodatno avtentikacijo na nivoju pass managerja ki je ločena od logina naprave, ampak tega ponavadi nočeš delat za vse spletne strani, bi bilo preveč zamudno. Zato to kvečjemu narediš z dodatnim ločenim pass managerjem zgolj za občutljive strani. Lažja in boljša rešitev kot dodatni pass manager pa je dodatna 2factor avtentikacija, ampak tukaj je problem če je ta 2F avtentikacija na isti napravi in na isti prstni odtis/PIN vezana kot pass manager. Tega passwordless ne rešuje in to je že sedaj problem, to ni nov problem. Načeloma mobitel vseeno prej opazimo če kdo ukrade/zlorabi kot pa PC, zato je vseeno bolj varno 2F imeti na mobitelu kot na PC, kljub temu da je ta 2F "fejk" ker ima mobitel oboje, pass manager in 2F. Bolje kot brez 2F ampak slabše kot pravi 2F, kjer bi morala biti ločena naprava za 2F. Idealna rešitev bi bila da je 2F čip v glavi in z mislimi potrdiš login vsakič, ampak na to bomo še nekaj časa čakali :)
No jaz sem nekako zadovoljen z rešitvijo da za manj občutljive strani uporabljam pač shranjevanje gesel v browser in to je tako na PC kot mobitelu. Za bolj občutljive strani pa imam pass shranjen le na PC, 2F pa le na mobitelu tak da imam "pravi" 2F za bolj občutljive strani. Edina izjema kjer imam "fejk" 2F je google/microsoft račun, ker do tega nekako moraš iz mobitela dostopat in to pomeni da nimam druge izbire kot da je tako primarna zaščita kot tudi 2F na isti napravi. No ne da nimam druge izbire, ampak če bi hotel še bolj profi varjanto bi si rpecej otežil življenje.
Zgodovina sprememb…
- spremenil: Lonsarg ()
LightBit ::
Tukaj je enostavno prikazano kako deluje: https://fidoalliance.org/how-fido-works/
Zgodovina sprememb…
- spremenil: LightBit ()
Lonsarg ::
Mi gre pa zelo na jetra da mi mobitel ne dovoli za backup prstnega odtisa nastaviti gesla, ampak vztraja da je backup nujno PIN. No sem se sprijaznil s 6 mestnim PINom :) Meni bi bilo vseeno če je backup dolgo geslo, ker backup le redko rabimo, za hitro je pa pač prstni odtis. Je pa res da backupa ne smeš izgubiti, drgač izgubiš vse podatke na telefonu, tak da razumem firme da vztrajajo pri PIN ki ga uporabnik težje pozabi.
Ampak ponavljam, tega passwordless ne spreminja, ta problem že obstaja sedaj in bo ostal tudi po passwordless. Bo pa passwordless dobro rešil zaščito pred remote vdori. Zato moramo vztrajati na tem da se čimprej zgodi prehod v passwordless, na firmi kar naprej težim sistemcem da bo treba v passwordless, pa zdaj celo nekaj delajo na tem.
Passwordless je sicer najbolj pomemben za tiste strani ki nimajo 2F zaščite, tisti bodo najbolj pridobili.
Ampak ponavljam, tega passwordless ne spreminja, ta problem že obstaja sedaj in bo ostal tudi po passwordless. Bo pa passwordless dobro rešil zaščito pred remote vdori. Zato moramo vztrajati na tem da se čimprej zgodi prehod v passwordless, na firmi kar naprej težim sistemcem da bo treba v passwordless, pa zdaj celo nekaj delajo na tem.
Passwordless je sicer najbolj pomemben za tiste strani ki nimajo 2F zaščite, tisti bodo najbolj pridobili.
Zgodovina sprememb…
- spremenil: Lonsarg ()
Lonsarg ::
Imam Samsung ja in imaš prav dejansko podpira password namesto PIN :) Čudno potem da mi je vsililo PIN med kreacijo prstnega odtisa, očitno imajo le glup setup wizard. Grem spremenit na password :)
Zgodovina sprememb…
- spremenil: Lonsarg ()
Glugy ::
ma kakšni ključi. so pa ja gesla boljš. ključi tud niso najbolj dobro opisani v podrobnosti. smrdi po dajanju zasebnosti v še slabši položaj kot je bilo dosedaj. še posebi ker zdeh privzeto hočejo telefonsko številko. Krasni novi svet pa te fore. Sistematska obdelava podatkov za lažje striženje ovc.
energetik ::
Telefon ni nujen. Ključ imaš/boš imel lahko v pass. managerju na npr. Linux PCju brez kakršnekoli povezave s telefonom.
vires in numeris
Lonsarg ::
2F vezan na SMS se zadnje čase hvalabogu tudi zmanjšuje v popularnosti.
Zgodovina sprememb…
- spremenil: Lonsarg ()
miteq ::
Sem laik. Dajte mi razložit, zakaj bi nekdo uporabljal password manager, ki ima za enim master geslom shranjena vsa ostala gesla. Z vdorom v password manager so izpostavljena vsa vaša gesla. A ni bolj varno, če vsa jajca niso v eni košari?
k4vz0024 ::
Password manager, ki je shranjen lokalno in z močnim geslom je dokaj varen pred vdorom. Jaz uporabljam za vsako storitev drug password. Je pa problem zapomniti si 1000 gesel. Zato password manager. Če si zapomniš vsa gesla, potem ne rabiš PM!
Itak bo treba počasi iz Googla migrirati drugam! Google ne skriva, da bere vsebino naših mailov! Za reklame in ostale nepomembne in trgovske komunikacije je v redu! Za pošiljanje pomembnih informacij pa ne!
Itak bo treba počasi iz Googla migrirati drugam! Google ne skriva, da bere vsebino naših mailov! Za reklame in ostale nepomembne in trgovske komunikacije je v redu! Za pošiljanje pomembnih informacij pa ne!
Zgodovina sprememb…
- spremenil: k4vz0024 ()
Karamelo ::
Sem laik. Dajte mi razložit, zakaj bi nekdo uporabljal password manager, ki ima za enim master geslom shranjena vsa ostala gesla. Z vdorom v password manager so izpostavljena vsa vaša gesla. A ni bolj varno, če vsa jajca niso v eni košari?
odločiti se moraš kaj ti je bolj riskantno?
- to da imaš slaba gesla v tisočih spletnih straneh, ki si jih lahko zapomniš in ti jih lahko pohackajo in jih verjetno uporabljaš še kje drugje, ne samo v eni storitvi
- ali to, da imaš super težka gesla (za vsako storitev svoje geslo) v password managerju in eno za zapomnit za password manager-ja...password manager lahko vežeš preko passkey-a tudi na fizični security key ali fingerprintscanner ali kaj podobnega, torej zeloooo varna stvar, razen če ti ne vdrejo v bajto in vse skupaj poberejo, kar je verjetno majhna verjetnost, razen če nisi kaka iskana CIA osebnost :) samo potem verjetno nebi tega tu spraševal
c23po ::
Ali pa uporabiš preprost sistem: za tistih par strani, kamor se res prijavljaš kot oseba imaš sistem v glavi. Za tiste tisoče pa uporabiš geslo za mail iz prejšnjega stavka, ostalo pa rešiš s "pozabil geslo".
Računalniki nimajo spominov.
energetik ::
Sistem v glavi je slaba ideja. En klik, pa se ne spomniš več nič od tega.
Imaš samo 2 varni in zanesljivi varianti:
- random generirana močna gesla, sprintana na papirju in jih vnašaš ročno
- random generirana močna gesla, shranjena v pass. managerju in se vnesejo avtomatsko ali copy/paste
S tem da pass. manager ti ne more zgoreti, master geslo pa lahko vgraviraš v jekleno ploščico, hkrati tudi uporabljaš 2FA. Zame je izbira jasna.
Imaš samo 2 varni in zanesljivi varianti:
- random generirana močna gesla, sprintana na papirju in jih vnašaš ročno
- random generirana močna gesla, shranjena v pass. managerju in se vnesejo avtomatsko ali copy/paste
S tem da pass. manager ti ne more zgoreti, master geslo pa lahko vgraviraš v jekleno ploščico, hkrati tudi uporabljaš 2FA. Zame je izbira jasna.
vires in numeris
Lonsarg ::
Razen izjem, kak promil ljudi, ljudje nismo sposobni oziroma nimamo ekstra časa, da bi se šli implementirat sistema gesel v glavi ki ima zadovoljovo varnost (po domače tudi tisti ki bi bili tega zmožni nimamo lih časa to počet, vsaj ne več kot za par pomembnih strani, definitivno pa ne kar za vse). Tak da za 99.9% ljudi je pass manager edina varna izbira. Oziroma pass manager plus dodatno 2factor za bolj občutljive strani, da niso "vsa jajca v eni košari".
In večina ljudi slaba gesla generira, ko sami generirajo gesla za pass manager. Zato je edina rešitev pass manager, ki sam generira gesla mimo uporabnika in to je kar prehod na passwordless prinese. Ja nekaj nas je ki že sedaj z navadnimi password managerji to pazimo, ampak smo v manjšini. Passwordless to prinese vsem.
In večina ljudi slaba gesla generira, ko sami generirajo gesla za pass manager. Zato je edina rešitev pass manager, ki sam generira gesla mimo uporabnika in to je kar prehod na passwordless prinese. Ja nekaj nas je ki že sedaj z navadnimi password managerji to pazimo, ampak smo v manjšini. Passwordless to prinese vsem.
Zgodovina sprememb…
- spremenil: Lonsarg ()
Matko ::
KSZ.
Pred mnogimi časi, so bili na Slo-Tech-u tudi članki.
Pogrešam:
Priročnik: Varna gesla za telebane. ;)
Pred mnogimi časi, so bili na Slo-Tech-u tudi članki.
Pogrešam:
Priročnik: Varna gesla za telebane. ;)
Oberyn ::
za tistih par strani, kamor se res prijavljaš kot oseba imaš sistem v glavi.
Ne se zanašat na spomin. Doživite en manjši stres, pa gre lahko to v dim za mesece ali za vedno. Recimo po navadni splošni narkozi ima veliko ljudi težave s spominom. To vas lahko doleti kadarkoli. Primeren način za varovanje pomembnih gesel ali master gesla za pass manager je Shamir's secret sharing. Edini problem pri tem je, da morate spraviti skupaj ene pol ducata znancev v korporealni obliki, kar je v današnjih časih še kar zapleteno, namreč 7612 friends na antisocialnih omrežjih tu ne pomaga.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Google odslej privzeto s ključi namesto gesel (strani: 1 2 )Oddelek: Novice / Varnost | 12198 (5908) | Oberyn |
» | Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )Oddelek: Novice / Varnost | 15013 (10422) | NejcSSD |
» | Apple, Google in Microsoft standardizirajo podporo vpisovanju brez gesla (strani: 1 2 )Oddelek: Novice / Ostala programska oprema | 13117 (9445) | Mr.B |
» | Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )Oddelek: Novice / Zasebnost | 19522 (13331) | MrStein |
» | Internetno bančništvo (strani: 1 2 )Oddelek: Loža | 19694 (15380) | Tilen |