Comments 95
По своей природе парольные ключи невозможно «потерять». Ими не может воспользоваться злоумышленник.
То есть, отпечаток пальца или скан лица не переводятся в цифровой вид и их нельзя будет скопировать? Магия будущего?
И как понимаю опечатка в "парольные".
Ключ хранится на устройстве и он не биометрический, а вот доступ к ключу - да.
Ключ хранится на устройстве и он не биометрический, а вот доступ к ключу - да.
Как правило, все сливаются на следующих вопросах:
Как быть, если уронил устройство в { унитаз | реку | за борт на круизе |
проеувели из кармана }? Пароль "потерять" невозможно (а если человек потерял память с паролем, то, скорее всего, он вообще не помнит, что там в принципе что-то было.Если хозяина телефона вырубили или
ареснасильно удерживают, то "разблокировать ключ" можно и безо всякого его согласия: отпечатки/прочая физия — вот они! Пароль так просто "выковырять из мозга" (а особенно — мёртвого мозга) не получится.
От статических паролей надо уходить, да. Но не в сторону "давайте использовать что-то ещё", а в сторону алгоритмических паролей.
Пароль забыть как раз элементарно. Не зря везде накручено куча всякого для восстановления пароля. Это на самом деле нужно.
Устройство восстанавливается с бекапа и все. Ключ расшифровки бекапа полезно иметь более чем на одной устройстве. Ну и пароль на крайний случай.
Украденное устройство это вообще не проблема. Кусок пластика. Его даже сбросить к заводским настройкам нельзя зачастую.
Пароль увы незаменим для экстренных случаев. Сдохло устройство и нет второго тоже привязанного к вам под руками - обычно такой случай. Бывает редко, но метко. А вот от регулярного ввода паролей в куче мест стоит уходить. Что в общем все и делают потихоньку.
Ну и пароль на крайний случай.
Разделенный по Шамиру и полученным кусочкам растолканный по нескольким географически разделенным местам. И лучше бы чтобы прямо в сервисе так работало -- "для добавления нового артефакта доступа нужно предъявить n ключевых артефактов из m существующих". Где артефакты - другие устройства, разные записанные коды как одноразовые так и многоразовые.
Но кто бы так делал-то... Максимум, что умеют - спрашивать на другом залогиненном устройстве "а пустить новое?"
Но кто бы так делал-то... Максимум, что умеют - спрашивать на другом залогиненном устройстве "а пустить новое?"
И это отличный способ. Купить надежно защищенные устройства может любой. И это совсем недорого по сравнению с любыми другими способами защиты данных.
Разделенный по Шамиру и полученным кусочкам растолканный по нескольким географически разделенным местам
Тут есть некоторая проблема с восстановлением когда понадобится. Продолбать такое ну слишком просто. Потерянных и забытых будет больше чем успешно использованных.
И это отличный способ.
Не совсем. В некоторых случаях хочется, чтобы подтверждение требовалось с двух устройств. Потому что одно - может быть у злодея. И начинается гонка - ты быстрее успеешь его выкинуть или он тебя.
А откуда у злодея возьмется ваше разблокированное устройство? Так чтобы вы при этом были свободны. Ну я в теории могу представить что его у вас на улице из рук выхватили, но это же минуты до блокировки все равно. Выглядит не очень страшно.
Речь идет не только о доступе к устройству. А вообще к чему-нибудь.
Например, доступ к администрированию какого-нибудь форума может быть у нескольких человек, которые изначально не враждовали, но потом поссорились. И решили доступ друг у друга отобрать.
Не надо решать социальные проблемы техническими методами. Это путь в никуда.
Если оно важно велкам в суд. Который сделает все по закону. И передаст права кому надо. Если нет, то и пофиг.
Не надо решать социальные проблемы техническими методами. Это путь в никуда.
Может и так. Но социальные проблемы появляются, если создатели сервиса хорошо не подумали про техническую сторону - и выходят истории вроде такой.
Но согласен, это, скорее, подпорка. Но не для социальной проблемы, а технического недостатка - очень редко где есть разные уровни доступа для сессии. Скажем, ну не предусмотрен в системе уровень 'только для чтения'/'редактирование разрешено только там-то'/'этой сессии запрещено менять атрибуты доступа' - и что делать?
Не использовать системы где нет нормальной ролевой модели (с) Кэп.
В Телеграмме есть 2fa. Очень рекомендую.
Вроде бы это очевидно? И в современном мире достаточно несложно. Ролевые модели и 2fa делать почти все научились делать. Без тех кто не научился вполне можно обойтись.
Делайте сами нормально, используйте тех кто делает нормальные сервисы и людям вокруг себя помогите так же поступать. И мир станет немного лучше и безопаснее.
Спреведливости ради, для доступа к некоторым системам нужно одновременно провернуть 2 разных ключа. Удаленных достаточно друг от друга, чтобы 1 человек не дотянулся
Так что идея ка минимум не нова
Не зря везде накручено куча всякого для восстановления пароля. Это на самом деле нужно.
Мне "это нужно", потому что в одном сайте "в пароле не может быть цифр", в другом "в пароле обязана быть цифра", при этом в подсказке для ввода пароля этой информации нет!
Я не про подсказку. А про "пришлите нам свое фото с паспортом" и всякое такое. Для тех кто надежно забыл пароль от чего-то важного. Чтобы и восстановить можно было и взломать это восстановление было сложнее чем пароль.
Это городить всё равно придётся. Потому что ситуация "сломалось последнее устройство с passkey, бэкапа нет" тождественно равна "надёжно забыт пароль, в хранилке нет" и имеет ненулевую вероятность.
"пришлите нам свое фото с паспортом" — это глупость несусветная, потому как что это докажет? Когда я регистрировался, я ни фото не предъявлял, ни паспорт, соответственно, сравнивать не с чем.
Как быть, если уронил устройство в { унитаз | реку | за борт на круизе |
Взять другое, синхронизировать на него криптоконтейнер от менеджера паролей (а теперь и PassKey-ев), залогинится при помощи них куда надо, потерянное устройство снести из доверенных, добавить новое.
Или - взять другое устройство, которое не утопил, а которое все еще дома лежит. Планшет, скажем. Или воспользоваться длинным резервным кодом, которого не помнишь, но который в надежном месте лежит.
В общем - с точки зрения использования ничем от работы с паролями в менеджере паролей не отличается.
Если хозяина телефона вырубили или
ареснасильно удерживают, то "разблокировать ключ" можно и безо всякого его согласия: отпечатки/прочая физия — вот они!
Боишься этого - пользуйся просто паролем/пином на устройстве. Так же как паролем на криптоконтейнере от менеджера паролей. Хотя да, немного раздражает, что эту возможность замыливают. И что для блокировки устройства или хотя бы открытия защищенного хранилища с ключами нельзя использовать и биометрию, и ввод чего-нибудь одновременно.
Взять другое, синхронизировать на него криптоконтейнер от менеджера паролей (а теперь и PassKey‑ев), залогинится при помощи них куда надо, потерянное устройство снести из доверенных, добавить новое.
Это хорошо, когда таких «куда надо» с десяток, а если все ресурсы массово перейдут на пасскейство?
Для этого устройство тоже должно быть насквозь шифрованное. На большинстве стационарных компов проблема может решаться загрузочной флэшкой.
безопасная альтернатива паролям… пинкод
Пинкод это безопасная альтернатива паролю. Ладно, хорошо.
Когда вы используете ключ входа, это доказывает, что вы имеете доступ к своему устройству и можете его разблокировать.
Однако пароль-то нужен именно для того, чтобы входить с чужого устройства, без своего.
Когда вы входите в систему, она просит устройство подписать уникальный вызов с помощью закрытого ключа.
Но закрытый ключ остался на компьютере, а компьютер в другом городе. Что уж тут поделать.
А в случае ключей доступа нужно помнить, что в данном случае утрата контроля над устройством (смартфоном)
Стоп-стоп, это всё для смартфонов? А что делать людям, у которых нету смартфона?
А что делать людям, у которых нету смартфона?
Пользоваться паролями.
Увы в IMAP ящик Google я уже не могу зайти по паролю...
Да знаю знаю, не пользоваться Google :)
Создайте пароль приложения, если приложение, которым вы ходите по IMAP, не умеет входить с аккаунтом Google и получать индивидуальный токен.
Обладателям кнопочных телефонов доступна даже полноценная 2-факторная авторизация, при условии, что телефон поддерживает J2ME.
Я не могу создать пароль приложения, не включив двухфакторную авторизацию.
Т.е. для того чтобы иметь доступ к почте по IMAP мне надо:
- знать пароль OAuth
- иметь некое приложение TOTP (или упаси боже отдать гуглу свой номер телефона)
- знать какой-то пароль приложения.
Не сложновато для такого простого действия?
Ну и это было в ответ на предыдущий коммент "Пользоваться паролями", а не получится!
Так включите двухфакторную авторизацию.
знать пароль OAuth
Вам его знать не нужно, вам его даже не показывают. Его получает клиентское приложение и хранит у себя.
иметь некое приложение TOTP
Вообще не проблема, их под любую платформу полно. Хоть под кнопочные телефоны, хоть под экзотику типа Maemo.
знать какой-то пароль приложения
Создать, скормить его приложению, которое не поддерживает OAuth.
Стоп-стоп, это всё для смартфонов? А что делать людям, у которых нету смартфона?
Пользоваться токенами вроде таких. Сервису/сайту должно быть совершенно все равно, что запрос подписывается хранятся не в внутри защищенного хранилища смартфона, а в другой железке.
Как правило, эти токены — очень дорогая штука. Намного дороже пароля.
А вот тут мне давно хочется придумать какую-нибудь конспирологическую теорию, почему эти токены (в варианте что PIN-ом открывается, а не биометрией) не лежат на каждом углу по цене SIM или банковской карты. Ибо чипы же там вроде по смыслу те же самые. Гуглоамазоны могли бы просто завалить им все и даже почти не заметить по расходам. Но видимо не очень хотят или их старательно отговаривают.
Банковская карта не имеет цены, её банк выдаёт за просто так.
В остальном остаётся вопрос, почему 4-буквенный пин лучше, чем 24-буквенный пароль.
В остальном остаётся вопрос, почему 4-буквенный пин лучше, чем 24-буквенный пароль.
Потому что PIN
1) действует только на конкретном устройстве. На другом перебрать не получится.
2) после очень небольшого количества попыток чип решает, что ему надоело и умирает вместе с хранящимися внутри ключиками.
(1) Спасибо, не знал об этом. Хорошее свойство.
(2) Очень неудобное свойство. Этак забудешь пин, и пока пытаешься вспомнить, уже надо платить за новый чип.
Очень неудобное свойство.
Ну так злодею, который на руки чип получил, тоже неудобно. Для того и делалось.
надо платить за новый чип
Конкретно YubiKey всегда (в т.ч. после исчерпания всех попыток) можно сбросить в ноль и залить на него новый ключ. Но старый при этом умирает безвозвратно, в чём и идея. Платить не придётся =)
Но видимо не очень хотят или их старательно отговаривают.
Их старательно отговаривают. Потому что при такой схеме очень сложно будет отмазываться "это был не я, мой пароль спёрли", тащи маЁры будут "как же спёрли — вот и лицо ваше, и отпечатки...."
В формате смарт-карты - пучок за пятачок, только вот с ридерами сложнее. А с удобным интерфейсом - уж извините.
Криптомикросхемы (HSM) стоят 5-10 американских денег за штуку. Вокруг них надо развести плату; прицепить какой-никакой контроллер, память; упаковать в корпус; сертифицировать; отрекламировать и продать. Навскидку, меньше 30 баксов за штуку никак не выйдет. Это очень сильно дороже SIM или банковской карты. Если гугл выдаст такую штуку каждому из своего миллиарда пользователей, то будут расходы 30 миллиардов. Сами граждане на безопасность (на которую им плевать) 30 баксов не потратят. А кто беспокоится, либо купят сами, либо защитятся иным способом. Например, не будут кликать на фишинговые ссылки.
Криптомикросхемы (HSM) стоят 5-10 американских денег за штуку.
..
Это очень сильно дороже SIM или банковской карты.
Почему? И те и какие-то ключики хранят и что-то криптографическое с ними делают.
А по поводу USB интерфейса и разной разводки - то это, по суди, кард-ридер для флешек. 30 долларов тут - уже некоторый перебор.
Почему? И те и какие-то ключики хранят и что-то криптографическое с ними делают.
Меньше память, нет универсальности. Кроме того, симка — это soc залитый пластиком. Намного технологичнее в производстве.
А по поводу USB интерфейса и разной разводки - то это, по суди, кард-ридер для флешек. 30 долларов тут - уже некоторый перебор.
Основные деньги — это контроллер, HSM, корпусировка и сертификация. Ну и разработка софта. Хотя, если выпускать, миллионными тиражами, разработка вносит незначительно.
А что делать людям, у которых нету смартфона?
У них же есть комп с Windows (там поддержка Passkey через Windows Hello) — правда есть вопросы как это работает с не очень популярными браузерами вроде Brave/ЯндексБраузера. И НЕ переносится между машинами (пока)
Либо комп с macOS — и тогда все переносится (привязка к Apple Account) (правда не работает во всяких мелких непопулярных на macOS браузерах вроде Firefox)
Вообще что где работает сейчас — https://www.passkeys.io/ табличка внизу, более полное описание — https://passkeys.dev/device-support/
Еще у 1Password в бете поддержка Cross-Device Authentication Authenticator заявлена. Правда еще не заявлена, но присутствует еще дискриминация по национальному признаку.
Ну и — в случае с Windows Hello — совсем не обязательно доступ — биометрией (на компе с которого я пишу — ну нет считывателя биометрии, спокойно используется пинкод нужной мне длинны). В случае телефона — использутся указанный при настройке телефона способ разблокировки.
Ну и всякие YubiKey внезапно тоже можно (если есть поддержка на уровне ОС — в Android и ChromeOS не завезли пока) — да, это будет device-bound passkey и если что — восстановить никак — ну так кто ж вам мешал использовать больше одного токена?
Ну и — в случае с Windows Hello — совсем не обязательно доступ — биометрией (на компе с которого я пишу — ну нет считывателя биометрии, спокойно используется пинкод нужной мне длинны).
Вот только
Chrome on Windows stores passkeys in Windows Hello, which doesn't synchronize them to other devices as of May 2023.
Ну и всякие YubiKey внезапно тоже можно (если есть поддержка на уровне ОС — в Android и ChromeOS не завезли пока) — да, это будет device-bound passkey и если что — восстановить никак — ну так кто ж вам мешал использовать больше одного токена?
Вот чего я не понимаю - неужели сделать так, чтобы телефон притворялся USB или bluetooh хардваным токеном по стандартным протоколам(вместо Yubikey его втыкать)? В телефоне вроде как соответствующие интерфейсы есть.
А то что-то то что получается - смотри известный комикс про стандарты.
Еще можно вспомнить, что у нас, вообще-то https умеет использовать (а браузер - спрашивать "какой использовать будем?") клиентские сертификаты. Можно было использовать в духе:
1) Пользователь говорит "хочу тут учетку"
2) Браузер генерирует Certificate Request, посылает сайту.
3) Сайт подписывает его своим собственным Certificate Authority, возвращает браузеру.
4) Браузер сохраняет его в локальном кейсторе
5) Кейстор потом синхронизируется, так же как сейчас passkeys научили.
6) При следующем посещении - идет https хандшейк, в процессе которого этот клиентский сертификат предъявляется (а сайту вроде как идентификтор этого сертификата вполне доступен).
Так что логику, почему сделали именно так, а не иначе - было бы интересно почитать.
Вот чем мешали клиентские сертификаты — мне тоже интересно. Врядли тем что passkeys это еще и про приложения.
Видимо потому что эволюция.
С притворятся — возможно проблема в том, что токен может получится не совсем доверенный, ну или требовать жестко Play Integrity — проверку с hardware attestation (во что могут совсем не все телефоны). Но тоже выглядит ну странно.
И у Гугла будет часть биометрических данных, которые они смогут использовать где угодно, когда угодно и в каких угодно целях. На шаг ближе к цифровому концлагерю.
Тот же Гугл недавно на телефоне обновил приложение Google Authenticator, хранящее коды для 2FA. И теперь оно все эти коды сливает себе в облако. Зачем? А затем, что без этого у Гугла не было доступа к этим кодам, во всяком случае официально. А теперь есть. Официально. Нужно кому-то авторизоваться под кем-то чтобы что-то узнать - пожалуйста, вот 2FA код, а вот тут биометрический идентификатор. Пользуйтесь, на здоровье.
И у Гугла будет часть биометрических данных
С чего бы?
Ну, если мы не говорим про рукожопов из HTC, которые во времена Android 4 хранили прям изображения отпечатков в виде картинок во внутренней памяти.
С того, что хэш отпечатка пальца и является тем самым биометрическим идентификатором. Когда входим в телефон или ещё куда, камера снимает отпечаток хоть с пальца, хоть с лица, затем из полученной информации вычисляется хэш. Когда есть готовый хэш идентификатор, процесс его расчёта можно пропустить - берём значение и вперёд.
Работал с системой отпечатков пальцев. У нас в офисе в начале рабочего дня и в конце сотрудники должны были палец прикладывать к датчику. Так руководство следило кто во сколько пришёл и ушёл. При этом, можно было легко из базы взять идентификатор (для разработчиков, имеющих доступ к базе, конечно) и выполнить запрос к серверу, подписав его этим хэшем. Тот отпечаток был где-то 512 символов длиной. Точно не считал. Так что это очень легко.
Когда есть готовый хэш идентификатор, процесс его расчёта можно пропустить - берём значение и вперёд.
Вперед куда? Потом что если все делать хоть сколько то нормально, то хэш будет подходить только для того защищенного хранилища, что в конкретном смартфоне стоит. И на каждом устройстве будет считаться со своей солью.
Так делать нельзя.
Сейчас есть золотой стандарт работы с биометрией:
Любая биометрия никогда не покидает устройство пользователя. Ни при каких обстоятельствах. Биометрия используется локально на устройстве пользователя чтобы достать ключи из локального хранилища и дальше для всего чего надо используются эти ключи. Ключи от биометрии конечно же никак не зависят. И по биометрии их вычислить нельзя. И наоборот биометрию нельзя вычислить по ключу.
Если вам кто-то пытается продать архитектурно другое решение, то гоните его. Он ничего не понимает в современных стандартах.
Так-то оно так, да вот кто скажет что он сливает данные себе? Тот же Google Authenticator взял и обновил приложение, а при запуске оно взяло и слило все секреты в облако гугла. Типа удобство, но платить за это приходится наличием секретов в облаке, где Гугл может их использовать как захочет и никто кроме них не узнает об этом. То же самое и с биометрией - введут в браузере и вуаля - что и куда оно сливает, кто ж знает.
Так что все эти договорённости и условные стандарты - это лишь голословные заявления, по сути. Как ни крути, а контролированием и программированием людей корпорации давно занимаются. Почитайте историю того же Сноудена или любого другого сотрудника крупной корпорации. Конечно, бывшего сотрудника. Нынешние мало чего расскажут, т.к. им контракт напрямую запрещает это делать.
Технологии это и хорошо, и плохо одновременно. И если бы это всегда было хорошо, то вряд ли бы тоннами блокировались сайты по всему миру и вводилась бы та же цензура. А получение ключей, в том числе биометрических идентификаторов, вопрос времени. И также не стоит забывать про трояны, актуальные до сих пор. Случайно или специально зашли не туда или качнули не то - софт на устройстве и тырит всё, до чего сможет дотянуться. Вот и всё.
Даже у Telegram защиту секретного чата давно сломали. Дуров ещё в начале обещал, не помню точно, 50к зелени, что ли, тому кто прочтёт переписку из его секретного чата с братом. Один хакер смог даже получить тело сообщения, но расшифровать не смог. А спустя время силовики смогли прочитать секретные чаты некоторых людей - забирают телефон и читают. А подобные passkeys сервисы позволят им облегчить эту задачу - достаточно будет через суд обязать сервис выдать ключи биометрии и всё, вот она переписка в прямом эфире, так сказать. И никто не спалит, потому что читающий - владелец этого хэша. И не важно кто им воспользуется и для каких целей.
Теорией заговора объяснить можно все. Но не стоит так делать. Так вы быстро скатитесь до американцы не были не Луне и Земля плоская.
Есть производитель публично декларирует что он поддерживает такой стандарт работы, производитель достаточно крупный чтобы дорожить репутацией и эта репутация у производителя есть, то ему можно верить. Все просто. Поддерживайте хороших ребят своими деньгами.
Ошибки случаются у всех. В том числе rce всякие. Ну что поделать. Вероятность что вы станете целью такой атаки совсем небольшая. Как бы не нулевая. А вот если сам производитель работает с вашей биометрией некорректно это можно узнать на 100%. Просто почитать что и как они делают. Это обычно описано в публично доступных документах. Если ничего не пишут - разумно предположить худшее. Не покупайте у таких и гоните их куда подальше. Все тоже просто.
Айфон даже с аппаратом на руках поломать совсем непросто. Вы точно уверены что за взлом вашего Айфона кто-то заплатит хотя бы 100 тысяч долларов? Я вот не уверен. Значит он надежно защищен.
Нет, то что я очевидно далеко не популярная фигура и что смысла нет "ломать" мои устройство далеко не показатель того что аппараты не ломаются. Вон, сколько случаев было когда нюдсы голливудских звёзд сливали в сеть, ломая Apple Cloud, или как он там называется.
Так что кому надо, смогут взломать кого надо, а для тех кто эти ключи хранит, и вовсе ломать ничего не надо - взял ключ да используй.
Теория заговора теорией, но именно с этим мы и живём, и если закрыть глаза, проблема не исчезнет.
Вы опять уходите в теорию заговора. На практике звезды свои нюдсы "сливают" сами. Это же упоминаемость бесплатная. Часто так делать не стоит, но если надо напомнить о себе вот прям сейчас чтобы взяли в большой проект например, то рабочий способ.
Кому надо это так не работает. Нет этих магических людей. И магических способов нет. Есть стоимость. Порядок 100 тысяч долларов за взлом можно считать абсолютной неуязвимостью для любого обычного человека. Убить человека дешевле, если что. Вы тоже будете из-за этого переживать?
Итого: Проблемы нет. Если вам важна защита, то используйте хорошие устройства от хороших производителей. Чтобы не думать можно взять Айфон. Если думать, то еще есть варианты. С облаками сложнее. Там стоит смотреть на поддержку е2е шифрования и юрисдикцию облака. Меня icloud для бекапа телефона+облако гугла для всяких файликов+облако яндекса для фоточек с отпуска по этим параметрам устраивают. Возможно для вас актуальнее какой-то другой набор облаков, тут вам виднее. Но такой набор облаков точно есть.
Эти методы лично для вас гарантирует что никто не получит доступ к данных в вашем телефоне.
Ох, ваши данные сливают буквально все. Нет хороших, нет плохих - это бизнес. Про Вас знают все, где вы ходите, что покупаете, что смотрите на телевизоре/ютубе. Посмотрите сливы баз данных, посмотрите в профиле гугла сколько у него на вас инфы (на меня архив весом 70(!!!) Гб). А про документы - в компаниях тоже не дураки сидят, и строчек вроде "не храним никакой информации кроме логина и пароля" вы не увидите, если это не сервисы, у которых приватность - одна из важнейших вещей (например, DuckDuckGo, и то с нюансами). И обратного тоже.
Ошибки случаются и вскрывают невероятные вещи. Например, что айфон, про который вы говорите дальше вскрывается одним сообщением в iMessage, и там настоящий RCE, который, конечно, там появился по ошибке, да. В документах айфона вряд-ли это описано. И следили за высокопоставленными людьми тоже совершенно случайно. Или истории про Pegasus, который вообще за первыми лицами государств. Но если это можно с трудом списать на какие-то теории заговоров, уязвимостями, о которых никто кроме спецслужб не знает, то про телевизоры - тут всем известный факт, что телевизоры очень подешевели, потому что теперь производители зарабатывают на продаже ваших данных. Я вот зашел на Lg Smart TV, в раздел "политики конфиденциальности" и не нашел там не одной строчки о том, что информацией обо мне торгуют. А еще такого нет ни у Sony, ни у Phillips.
Вы точно уверены что за взлом вашего Айфона кто-то заплатит хотя бы 100 тысяч долларов? Я вот не уверен.
Это как в анекдоте, про неуловимого Джо, который неуловимый, потому что его никто не ловит. Если вся защита устройства сводится к тому, что кому это надо - это значит, значит защиты нет. Зачем Вы придумываете длинные и сложные пароли для сайтов, почему не qwerty123? Ведь вряд-ли кто-нибудь будет брутфорсить ваш аккаунт на хабре? Потому что руководствуясь такими аргументами, можно вообще пароли отменить.
Вы точно уверены? Сможете мне в личку прислать пару моих неопубликованных нигде фоточек которые у меня в облаках? Яндекс, Гугл, Эппл. На выбор из любого. Обещаю не подавать в суд, не писать заявлений о взломе и все такое.
Уязвимости бывают везде. Хотите это исправить? Начините с себя. Пишите софт без багов. Или еще лучше идите в Эппл работать такой софт там писать. Я уверен что такие люди им нужны.
А меня бигбаунти платящий миллион за такие уязвимости полностью устраивает. Он гарантирует что такая уязвимость будет стоит слишком дорого чтобы ее против меня использовали. Деньги это лучшая гарантия.
Для защиты данных стоящих миллион долларов надо предпринимать особые усилия. Согласен. Начать стоит с телохранителя. Для защиты от самого очевидного вектора взлома. Дальше уже думать надо.
Это как в анекдоте, про неуловимого Джо, который неуловимый, потому что его никто не ловит. Если вся защита устройства сводится к тому, что кому это надо - это значит, значит защиты нет. Зачем Вы придумываете длинные и сложные пароли для сайтов, почему не qwerty123? Ведь вряд-ли кто-нибудь будет брутфорсить ваш аккаунт на хабре? Потому что руководствуясь такими аргументами, можно вообще пароли отменить.
Вы не так поняли. Платить за взлом меня 100 тысяч долларов никто не будет. Это не имеет смысла. А вот бесплатно или почти бесплатно достать сканером почему бы и нет?
Все что надо для полной безопасности это обеспечить достаточно высокую стоимость взлома ваших данных. И все.
Плохой пароль или тем более без пароля не подходит по этому критерию. Это дает околонулевую стоимость взлома, что имеет смысл.
на меня архив весом 70(!!!) Гб)
Лично у меня в архиве гугла по объёму 90% составляют видеоролики, которые я грузил на ютуб. Ещё почты полтора десятка гигов. Всё остальное — копейки.
Потому использовать фирменный аутентификатор для сторонней аутентификации можно использовать только для неважных сайтов
В этом случае как раз не важно - они получат код активации только по своему секрету, который в аутентификатор добавляется. А вот Гугл получит доступ ко всем сервисам, добавленным в это приложение. Также как и все, кто имеет власть над Гуглом.
Но это же 2fa-код, пароля то у гугла при этом нет.
Да, но прецедент есть. А passkeys призван отказаться от паролей в пользу аутентификации по лицу и/или отпечатку пальца.
То есть, по сути, теперь вместо рандомного сложного пароля везде будет использоваться максимум 11 вариантов по количеству пальцев на руках или лицу, да и те будут лежать в этом хранилище, доступ к которому явно будет не только у разработчика и не только с целью улучшить жизнь.
Вдобавок спецслужбам не нудно будет взламывать устройства - достаточно приложить палец или показать лицо. И, как мы знаем, они далеко не всегда бандитов ловят...
А passkeys призван отказаться от паролей в пользу аутентификации по лицу и/или отпечатку пальца.
Это почему-то такое впечатление создают. На самом деле passkeys отдельно, а способ их хранения и доступа к ним -- отдельно. Не хочешь разлочивать устройство биометрией - используй другой способ.
Оно, в общем, ничем не отличается от хранения кучку рандомных сложных паролей в криптоконтейнере любимого менеджера паролей. Которые наверняка тоже этому научатся и уже начинают - у 1password уже какая-то поддержка есть. И на мобильных устройствах эти менеджеры тоже приблизительно все умеют при помощи биометрии свой контейнер открывать (очевидно, сохраняя ключ шифрования контейнера в кейсторе системы, который "доступ к которому явно будет не только у разработчика и не только с целью улучшить жизнь.")
Даже если не смотреть на технический процесс, можно взглянуть на физическое взаимодействие. Допустим, кому-то понадобится доступ к устройству гражданина. Сейчас органы любой страны делают запрос в инстанцию, и она предоставляет им все нужные данные, хранящиеся у них. Это время и неполные данные. И всё потому, что человек не скажет свой пароль. А в случае применения биометрии это всё будет не нужно - пальцы и лицо всегда при себе. В том числе поэтому те же политологи не рекомендуют использовать биометрические данные для разблокировки того же телефона.
Зачем?
Бэкапы. Проепотерять устройство с ключами очень больно, потому что коды восстановления найти -- та ещё задача. Я ради облачных бэкапов на Microsoft Authenticator перешёл, а с товарищем использовал Authy, где все ключи автоматически синкаются между устройствами, подключёнными к аккаунту.
В практическом смысле , это как я понимаю - новое средство дискриминации иранов, суринамов и нашей богоспасаемой. Оно поддается программной эмуляции на стороне пользователя, или таки нет ?? Из статьи - неясно ...
Я во всей этой истории одного понять не могу: сценария первой авторизации на новом устройстве.
Вот есть аккаунт. Я хочу авторизоваться в нём на новом устройстве - то есть каким-то боком залить на него закрытый ключ. Я правильно понимаю, что для этого я как минимум должен иметь под рукой ещё одно устройство, где я уже авторизован - или таки зайти со старым-добрым паролем?
Я правильно понимаю, что для этого я как минимум должен иметь под рукой ещё одно устройство, где я уже авторизован - или таки зайти со старым-добрым паролем?
Да. Но это касается только криптоконтейнера с ключами и/или той учетки, где он хранится. Все остальное, что поддерживает PassKeys - можно, теоретически, сразу при помощи их регистрировать, не заводя пароля.
С регистрацией вопрос понятен: пока жива та сессия, в которой проходила регистрация, можно меня считать авторизованным и сохранить мой открытый ключ с уверенностью.
Как раз вся интрига в ситуации, когда аккаунт уже есть, и надо доказать, что вот это свеженькое устройство принадлежит тому же пользователю. Но без другого уже авторизованного устройства.
Не понимаю никакой интриги. Ситуация в точности соответствует "у меня пароль от учетки соцсети в зашифрованном контейнере менеджера паролей хранится. А контейнер - на google drive."
Соответственно, вопрос с доказыванием 'принадлежит тому же пользователю' - это кому доказать?
Гугл драйву? Да, нужен пароль, чтобы это контейнер открыть.
Соцсети? Нет, не нужен, - ключик достается из того файлика, что google drive скачивается.
Так весь прикол этих passkey - в том, что пара открытого и закрытого ключей своя для каждого устройства. Нет контейнера как такового. Есть бэкап, но это другая история.
Ну и да, вопрос "а как авторизоваться в Гугле?" никуда не девается...
Так весь прикол этих passkey - в том, что пара открытого и закрытого ключей своя для каждого устройства. Нет контейнера как такового
Отдельный на каждом устройстве - это Гугл для своих учеток немного параноит. А вообще-то нет. Именно контейнер с одними и теми же ключиками и есть.
Вот тут Гугл объясняет, как это работает.
To address the common case of device loss or upgrade, a key feature enabled by passkeys is that the same private key can exist on multiple devices.
Когда дело касается безопасности мессенджеров всегда вспоминают неуловимого Джо, но когда доступа к другим аккаунтам, то все трясутся как осиновые листы.
затрудняет одновременное использование разных экосистем
Не проблема, менеджеры паролей такие как 1Password и Bitwarden заявляют о поддержке Passkey. А они кросс-платформенные.
Даже сейчас у Apple есть свой родной «парольный менеджер» (Keychain вроде называется), есть выбор, использовать нативное решение iOS, но тогда на другой платформе без устройства от Apple не зайдешь или добавить пароль сразу в сторонний менеджер паролей и спокойно прыгать по платформам без привязки к одной.
Лично использую сторонний менеджер, но вот если родственник использует только iPhone и iPad, то приучаю их использовать родное решение, зачем им другая платформа, так ещё это надежнее, чем когда они прям в чехле носят бумажку с паролем или постоянно забывают. Достаточно обучить их одной вещи на свете – пин-код при людях не вводить, а разблокировать гаджет по лицу/пальцу, всё (ну и записываю в свой менеджер их пароль от Apple аккаунта, так что могут спать спокойно и не бояться потерять телефон). Всё зависит от сценариев использования, лично я об этом уже давно мечтал, если пользователь ответственный - дайте нам такие инструменты, мы сами позаботимся обо всём и будем в ответе сами, если пользователь не очень в этом разбирается - есть другие инструменты, где они делегируют ответственность типа эплам и гуглам. Это ни минусы, ни плюсы, а просто разный подход.
А хотелось бы более экзотической вещи, представьте, одна сид-фраза и любой аппаратный кошелек становится вашим ключом в любой сервис. Даже облако не нужно, а ключи подписываются в самом хардвалете, что уже исключает саму утечку приватного ключа и не надо хранить в смартфоне/ноуте. Вот это было бы реально будущее.
А выбор пользователю никто дать не думает?
Хочет — пароль, хочет — на почту код, хочет — по смс, а хочет — в приложение на телефоне.
Из личной практики:
- смотри, я пароль сделал по анализу лица. Не надо ничего печатать и фиг кто войдет!
Напечатал фотографию на А4, поднес к камере: вуаля...
С отпечатками чуть больше возни, но история я думаю похожая...
Судя по обсуждению не все правильно поняли про биометрию, она не нужна в Passkeys, ключи хранятся на устройстве, чтобы получить к ним доступ надо подтвердить лицом/пальцем или пин-кодом телефона как при разблокировке экрана. Это просто мастер-пароль к ключам.
Возможно авторам статьи стоило https://passkeys.dev/ еще перевести целиком или хоть ссылку на него дать.
Как и на https://www.passkeys.io/ где можно потыкатся на своем железе и посмотреть как оно более менее должно работать.
где можно потыкатся на своем железе и посмотреть как оно более менее должно работать.
Зашел на этот сайт с компа в Лисе в Минте и че? Как этим пользоваться? Ввел мыло. При нажатии "Save a passkey", в адресной строке выплывает непонятное сообщение типа Сайт хочет зарегить аккаунт с одним из моих ключей. Ты можешь подключить какой нибудь из них или уйти и только кнопка Cancel. И иконка фингерпринта. Как дальше то? Как подключить? Или это только для смартфонов? С мобилы удалось, но я с компа хочу.
Лол, ждём ещё поддержку SQRL от гугла.
Ключи Passkeys — начало постпарольной эпохи? Не так быстро…