Pull to refresh

Comments 26

Теперь чтобы у вас не угнали почту надо будет ходить в маске и перчатках…
Хороший способ слить не только свои пароли, но еще и биометрику. Браво.
Это не так работает. Отпечаток не отправляется в mail.ru или другой сайт с поддержкой WebAuthn.

А вы добавляйте "соль" к отпечатку пальца. Крестик из изоленты на палец — и вы в безопасности!)))


"Танечка, не видела мой напалечник от мейл.ру? Не могу войти в почту!"

В будущем в магазинах будут продаваться наборы из разных искусственных отпечатков пальцев.
Я бы не доверял таким наборам. Только самому генерить рисунок и печатать на микро3д принтере. Когда они смогут в такую точность.

Перевожу с маркетинговского на технический: вы запилили WebAuthn. Это как раз протоколы и browser API, связанные с FIDO2, который расширение U2F. Это очень-очень классно, вы молодцы, что делаете современную и безопасную аутентификацию, но это ни черта не соотносится с заголовком.

Про WebAuthn, кстати, упомянуто в посте.


Обычно принято ругать Mail.ru, но тут следует вполне обоснованно похвалить

UFO just landed and posted this here

Хранится публичный ключ, передаются подписанные credentials

Раньше можно было войти по паролю, теперь по паролю и webauth. С чего это улучшает безопасность?
Даже если webauth гарантирует, что отпечаток (пальца/ключа) не передаётся в мейл.ру через браузер, то кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)? Как мне сменить отпечаток пальца после компрометации?

Пользуйтесь только паролем и для вас ничего не изменится :)
А вообще — использование отпечатка (или токена, кстати) позволяет не светить паролем лишний раз.
На чужом устройстве не поможет, конечно, раз надо каждый браузер привязывать отдельно, но если вдруг ваш ПК заразит страшный троян или кто-то поставит кейлогер, то пароль не утечет.
кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)

Пользуйтесь железными решениями, вроде Yubikey

WebAuthn не передаёт ваш отпечаток. Это вообще криптографическая аутентификация по схеме запрос-ответ. Ваше устройство должно сделать хитрую операцию с запросом на основе приватного ключа, который докажет, что вы это вы. У сервиса ваш публичный ключ, его можно хоть на заборе написать.


Теперь вопрос: как этот ключ хранить? Например, в защищённом чипе, к которому ваша ОС (Windows 10 вроде умеет) пустит только если вы вошли в систему, и доказали, что вы прямо рядом. Например, отпечаток пальца дали — статья вот это упоминает. Зашли на сайт, войти, ОС предлагает показать палец, успех. Или пароль ещё раз ввели. Кстати, из такого чипа приватный ключ обычно достать нельзя — можно туда его положить, можно попросить его самому создать, можно попросить дать ответ.


Или — тот же ключ у вас на внешнем железном решении, как упомянутый Yubikey или аналогичные. Он, кстати, может просить пароль для разблокировки. Или чтобы его погладили. Или и то, и другое. Но эти пароли не покидают вашу машину! Тем более отпечаток пальца.


Плюс WebAuthn (ещё со времени U2F) в том, что к запросу сайта подмешивается отпечаток самого сайта. Это очень мощная защита от фишинга — Googel получит ответ, который отличается от ответа для Google.


Конечно, всё это упирается в доверие локальной машине, но тут что отпечаток, что пароль, простите.


Так что использование WebAuthn вместе с паролем или без него, в целом, очень классная вещь для защиты своих аккаунтов. Пока именно его не внедрили, схема с нормальным паролем + U2F аналогична (но не было полного API готового).

Ну да, а возможность чистить историю поиска в почтовом приложении для андроида так и не осилили…
Теперь бы еще вам со спамом что то сделать и можно пользоваться начать вашей почтой.
UFO just landed and posted this here
Если вектор атаки с изъятием пальца для вас актуальнее, чем возможная кража пароля, то пользуйтесь только паролем :)
Но возможность заходить по пальцу тем пользователям, чья почта не стоит изъятия этого самого пальца — это классно.
Было бы классно, чтоб с одного адреса открывались два ящика с разным содержимым, в зависимости от введённого пароля или приложенного пальца. Ящик «для предоставления» заинтересованным лицам наполняется, естественно, вручную из основного. Многие бы оценили :)
Это mail.ru — заинтересованные лица и так всё сами себе давно предоставили :)
Интересно, много ли желающих раскидывать свою биометрию по разным сервисам типа mail.ru
Я подозреваю, что это работает как windows hellow. Отпечатак пальца только открывает доступ на устройстве к внутреннему хранилищу, где хранится пароль.

Но какой в этом смысл. Я включаю комп, прикладываю палец и у меня загружается винда, где уже установленны все эти приложения и произведён вход с запомненным паролем. В чём новизна-то?
Будет возможность двухфакторной авторизации, и пароль и отпечаток одновременно?
Sign up to leave a comment.