Microsoft убеждена, что эпоха паролей подходит к концу. В планах компании — убедить миллиард пользователей отказаться от этого устаревшего и неэффективного метода защиты личных данных и перейти на куда более удобные и безопасные ключи доступа.
В компании отмечают, что злоумышленники знают об уходе паролей в прошлое, а поэтому сейчас они отчаянно наращивают темпы взлома. Microsoft заявляет о блокировке около 7000 атак на пароли в секунду — почти вдвое больше, чем было год назад. Поэтому компания настаивает на ускоренном переходе на ключи доступа — альтернативные методы подтверждения личности без ввода паролей. К таким средствам относится сканирование лица, отпечаток пальца или PIN-код.
«Каким-то образом нам нужно было убедить невероятно большую и разнообразную аудиторию навсегда изменить привычное поведение. И мы с воодушевлением отнеслись к этой задаче». — говорится в блоге компании.
Сейчас ключи доступа можно использовать для авторизации в Xbox, Microsoft 365 или Microsoft Copilot. В компании заявляют, что вход с помощью ключа доступа в 3 раза быстрее, чем при использовании традиционного пароля, и в целых 8 раз быстрее, чем при использовании пароля и традиционной многофакторной аутентификации. Кроме того, пользователи в три раза успешнее входят в систему с помощью ключей, чем с помощью паролей (98% против 32%). При этом 99% пользователей заканчивают процесс регистрации ключа доступа.
Помимо Microsoft авторизацию с помощью ключей доступа активно продвигают и другие компании, включая Apple и Google.
Источник:
(Комментарий удален)
Я так понял если китайфон или айфон сольёт базу отпечатков, то у кого-то будет доступ ко всем твоим данным?
Пальцев меньше чем вариантов паролей.
По идее нужен физический доступ к устройству, на котором был введен отпечаток, скан лица или пин-код. Т.е. можно заходить именно с этого устройства, а без доступа к устройству со всем этим ничего не сделаешь.
Но все это не отменяет того факта, что компании таким способом собирают базу с отпечатками и лицами.
Может китайфоны и сливают базу с отпечатками, а вот про ойфон, самисунг, пуксель так не скажешь, хранится информация исключительно на физическом устройстве. И до конца не понятно, будет ли отпечаток биометрии скопированный с одного устройства работа на другом. Там только хеши хранятся биометрии…
Не скажу за все устройства, но суть таких ключей как раз просто в получении ответа от встроенного в устройство проверки, прошла ли авторизация тем же пальцем/лицом и т.д. или нет, потому никуда ничего не передаётся ...в теории)))
Например если в телефоне переподключить модуль со сканером, то все сохранённые отпечатки затрутся, т.к. хранятся в том же самом модуле, а как только модуль теряется самим телефоном, то телефон перестаёт доверять его истории и требует всё отсканировать снова.
бггг
мелкомягкие совсем за идиотов всех держат
Не верьте им и развивайте память. На бумагу пишите в крайнем случае. По биометрии даже еще не развито так надежно, как пароль, который ты помнишь
Даже ключи шифрования от битлока дичь, не запомнишь, хардварь ключ потеряешь и эта защита только тебя дураком и сделает
Тока, как резерв, при многофакторной...( и забыть, про: pin по sms, как вздор), на мой взгляд дилетанта:)))
Именно, как резерв пойдет, но никак не убирать полностью
Вот именно, они хотят вместо пароля на 20+ символов (со всеми знаками и буквоцифрами) который пару лет подбирать нужно - ввести пин-код на 4 циферки...
Ахахах. 4 цифры перебрать дело пары минут вместо нормального "тяжелого" пароля...
Да, забота о безопасности. [Закадровый смех]
(отредактирован)
Это не так работает.
Они хотят, чтобы вместо чего-то вроде стандартного 123456, который стоит у большинства, или даже вместо твоего гипер сложного 50 символьного пароля использовалась асимметричная криптография. Знание локального пинкода от телефона из 4 символов никак не может помочь взломщику, потому что вместо перехвата пароля, что несложно, нужно получать доступ к самому устройству - пока что не было новостей о удалённом вытаскивании passkey и его расшифровке. Использование отпечатка вообще сводит эту проблему на нет. Электронная подпись априори безопаснее сложных паролей
Тока.., при многофакторной и с отдельным ключом вместе, она безопаснее!!!
а аппаратный ключ вроде Yubikey и аналогов ещё безопаснее. Вопрос в том, где остановиться. Passkey на данный момент самый быстрый и удобный вариант реально секьюрных методов авторизации. Спасает от случайной атаки - только доступ к устройству конкретного человека. Активируется быстро и просто. Дальше только усложнять процесс. 2FA для passkey - только для реально ценных активов
(отредактирован)
Вся суть комментаторов на 4пда: высмеять технологию, совершенно ни чего не зная о ней.
ну, надо с пониманием относится к школоте, им еще геометрию и историю сдавать, некогда криптографию учить...
У тебя неверное понимание, passkey это по сути пара криптографических ключей, а твой PIN, либо иной метод защиты являются лишь вектором доверия к устройству, но уж никак не самим ключем.
То же не пойму в чём их отличие. Разве, что PIN вводится с специальном окне, но опять же с этой же клавиатуры и те же цифры.
Пароль уходит на сервер. В виде хэша в идеале, конечно, но знание пароля и логина позволяет взломщику зайти на сайт
Passkey - это асимметричная криптография. Твой пин-код - не для сайта, а для телефона или ноутбука. В идеале вообще отпечаток пальца. На устройстве закрытый ключ, у сайта открытый. Закрытый ключ никогда не передавался через интернет, он хранится локально. При авторизации ты вводишь пин код от своего ноутбука, чтобы разрешить использование passkey, а сайт с помощью электронной подписи подтверждает подлинность ключа. Даже если выяснить пин-код, нужен физический доступ к устройству, чтобы зайти на сайт. Если у кого-то и получилось взломать такую авторизацию удалённо, пока что об этом ничего не известно. Тогда как даже самый сложный пароль, если утечёт, позволяет кому угодно войти в аккаунт
Ого! Понял. Просто я как то и не задумывался надо этим, вроде как мою личность хоть на сайте хоть в банке красть нет выгоды. Ну, мне так кажется, а так в принципе конечно можно выгоду получить.
Только вопрос неудобства все равно остаётся. К примеру сломался у меня телефон и все, я теперь никуда зайти не смогу, комп дома, а мне нужно срочно зайти с другого устройства потому что я в другом месте/городе/стране. Так что не получится отказаться от паролей никак, а таскать к примеру с собой какое нибудь устройство с доступом так же не удобно, можно потерять, сломать и т.д
В твоём сценарии ты так же и сейчас не сможешь получить доступ к ресурсам с двухфакторкой по totp
(отредактирован)
>>Закрытый ключ никогда не передавался через интернет, он хранится локально
Есть нюанс, в WebAuthn, который собственно и был «родителем» для passkey так и было, даже когда токеном выступал смартфон, за исключением одного из режимов (об этом ниже). Ну кроме странных софтовых реализаций.
Случай когда приватная часть ключа покидает устройство был придуман для физических токенов на контроллерах с мизером памяти и происходило примерно так:
1) токен генерирует длинный ключ шифрования и хранит в себе.
2) сайт запрашивает регистрацию ключа
3) токен генерирует пару ключей для WebAuthn, шифрует приватную часть своим тайным ключом шифрования и передает серверу: публичную часть ключа и зашифрованную приватную часть ключа. Брутфорсить AES-шифрование с длинным ключом - тоже дохлый номер. Но сам токене такие ключи не запоминает
И теперь когда человек заходит на сайт - сайт присылает ему зашифрованную приватную часть, токен её расшифровывает, и может успешно подписать ответ серверу
В случае же passkey - туда прикрутили синхронизацию в рамках платформы, а «место» под ключи на устройствах условно-бесконечное.
Синхронизация есть и у Гугла, и у Эпл, и у Майкрософт, и даже у некоторых сторонних хранилок, например у bitwarden. Так что приватная часть ключа в зашифрованном виде может покидать устройство, хотя сервера не должны иметь к ней доступ. Ну по крайней мере bitwarden-у я верю (тем более что он селфхост)
(отредактирован)
Слепое доверие к стороннему ресурсу, если конечно он не Ваш!?:) И AES не панацея, на хабре раньше была интересная статья: "Ломаем модифицированный AES-256"!:)
Ничего что «модифицированный»? Да и режим с отсылкой ключа был опциональным. Можно было выбирать токены с достаточным количеством памяти и хранить ключи в самом токене
Не доверяй корпорациям, WebAuthn - открытый стандарт, есть открытые реализации, есть даже открытые схемы физических токенов и такие же открытые прошивки к ним. А ещё есть bitwarden у которого код клиента открыт, и доступен селфхост сервера, чтобы не отдавать «дяде» даже зашифрованные пароли и приватные ключи WebAuthn
(отредактирован)
Ничего, просто как один из обьектов атаки, или вы думаете, что никто на этой планете, не пытался работать со стоковыми реализациями шифрования, первые наверно сами авторы были!?;) Самое простое, что приходит на ум- это, атака методом бумеранга – криптографическая атака на блочный шифр, основанная на методах дифференциального криптоанализа. Алгоритм атаки был опубликован в 1999 году профессором университета Беркли Дэвидом Вагнером, который использовал его для взлома шифров COCONUT98, Khufu и CAST-256! и… для осуществления атаки на основе связанных ключей на полнораундовые шифры AES-192 и AES-256 были применены принципы атаки методом бумеранга и улучшенной атаки методом бумеранга. Данный метод опирается на обнаружение локальных коллизий в блочных шифрах и использование бумеранговых переключателей (boomerang switches), более совершенные реализации, чем метод «грубой силы»,хотя данный метод представляет в основном теоретическую ценность для специалистов и в ближайшее время не будет представлять угрозы практическим реализациям AES из-за высоких требований ко времени обработки и вычислительным мощностям (но в эпоху ускорителей ИИ и зарождения квантового компьютинга, как сказать..). С другой стороны, этот метод можно весьма эффективно применять для криптографических атак хеш-функций, как основной даже;)))
>>Слепое доверие к стороннему ресурсу, если конечно он не Ваш!?:)
Извините, я сразу не заменил этого текста, но я возьму на себя смелость процитировать себя
>>Ну по крайней мере bitwarden-у я верю (тем более что он селфхост)
Мало того что у сервера нет доступа к паролям, ибо они туда улетают зашифрованными, а код клиентов открыт и таковым был всегда, так и инстанс bitwarden у меня свой, а не чужое облако
>>Ничего, просто как один из обьектов атаки, или вы думаете, что никто на этой планете, не пытался работать со стоковыми реализациями шифрования, первые наверно сами авторы были!?;)
Нет, над ними (их взломом) и сейчас работают, ничего против не имею. А в случае успешного взлома - проблем в любом случае будет много, на этом фоне +1 проблема просто теряется. А поделия со сломаной криптографией больше не приносите, потому что фактически статья на которую вы сослались выше - говорит не о взломе AES, а самодельного алгоритма на основе AES
>>атака методом бумеранга
>>данный метод представляет в основном теоретическую ценность для специалистов и в ближайшее время не будет представлять угрозы практическим реализациям AES из-за высоких требований ко времени обработки и вычислительным мощностям
Где эти мощности взять? Да и читал ли ты описание этой атаки? Для её осуществления нужны образцы открытого текста и зашифрованного. Где «злому» серверу взять достаточно пар открытый текст - шифротекст для осуществления такой атаки и получения ключа шифрования? Да и в целом, в данном формате использования атака бессмысленна так как расшифрованный приватный ключ токен даже внутри себя не хранит. А сам ключ используется только для шифрования «приватной части» асимметричной пары WebAuthn/passkey, и если у тебя есть «открытые тексты» - то это уже ключи от каких-то сайтов
>>но в эпоху ускорителей ИИ и зарождения квантового компьютинга, как сказать..
Искусственный Идиот-то чем тут поможет? Нейросети пока умеют только «фарш» из текста выдавать, и в ближайшие годы это не изменится, не способны они мыслить.
Квантовый компьютер - это не волшебная палочка, да и не дает он пока никаких совершенно особенных преимуществ при взломе «симметричной криптографии» к которой относится AES, а для эффективных атак на асимметричную пока слишком мало кубитов, слишком малое время они стабильны, слишком много ошибок. Нужны ещё годы, а алгоритмы устойчивые к атакам через КК, пусть медленно, но внедряют уже сейчас
(отредактирован)
>>Искусственный Идиот-то чем тут поможет? Нейросети пока умеют только «фарш» из текста выдавать, и в ближайшие годы это не изменится, не способны они мыслить.
Возможность применения свёрточных нейронных сетей к задаче анализа стойкости итеративных блочных шифров. Это новый подход к построению атак-различителей на основе свёрточной нейронной сети, обученной различать графические эквиваленты шифртекстов, полученных в режиме шифрования CTR (счётчика) после разного числа раундов, в том числе после такого, которое обеспечивает удовлетворительные статистические свойства шифртекста. По аналогии со статистическими тестами, данный подход позволяет создавать различители без необходимости проведения аналитического исследования каждого шифра, что даёт возможность строить универсальные различители сразу для серии блочных шифров. В потенциале подхода, несколько схем построения универсальных атак-различителей, которые, в ряде случаев позволяют выявлять отклонения от случайности на меньших выборках и при большем числе раундов, чем ранее известные статистические тесты...
>> а для эффективных атак на асимметричную пока слишком мало кубитов, слишком малое время они стабильны, слишком много ошибок. Нужны ещё годы, а алгоритмы устойчивые к атакам через КК, пусть медленно, но внедряют уже сейчас
К примеру, для криптоанализа RSA нужно несколько тысяч управляемых кубитов..., вопрос в масштабировании и стоимости решений, тут и статья была с интересной новостью (почти год назад) "IBM намерена создать квантовый компьютер на 100 000 кубитов", а там, планы с динамикой развития до 2033 года, а 100к кубитов - это не сотни, как сейчас в 24 году, могут и "замахнуться" на блочники, так в целях практического решения:)
А если нет интернета?
а всмысле?
Passkey - для авторизации на сайтах без пароля. Не для локального доступа
Если нет интернета, вам изначально ничего не светит
Или имеете в виду, если нет интернета на нужном устройстве? Тогда либо синхронизация, либо раздача. На том, которое используете для входа, он должен быть априори
4 циферки подобрать или 20-64+ букв разного регистра + цифр + знаков подобрать это вещи очень разные...
Брутфорс разницей во много лет!
Оставайтесь с 4 циферками подбираемыми за 5 минут на мощном железе, а мы предпочтём тяжелые пароли на которые несколько лет минимум уйдет на подбор.
(отредактирован)
Всмысле - подобрать? Это локальный пароль. Его можно выложить в закрепе на личной странице в соцсети с подробной инструкцией, от чего этот пин, но набирать его надо у тебя на телефоне. Он вообще никогда не передаётся через интернет. Без физического доступа сделать ничего не получится
ну то есть если пин на ноуте, то его вирус не сможет взломать и украсть с данные пароли кукисы для входа на банки?
Пока что такого не случалось
И это не кукис и не пароль. Это закрытый ключ электронной подписи. Почти наверняка сам зашифрован, хранится где-нибудь в TPM (да, это не бесполезная штука, которая нужна только для установки виндовс 11) и расшифровывается на краткое время, что снижает окно возможностей
К тому же абсолютно безопасного способа не существует. Сто процентов где-то есть найденный или не найденный метод эти ключи вытащить. Разница только в том, что, если вирус вытащил ключ, паролю там вообще ничего не светило бы. Уровень безопасности, конечно, не полный, но пароль и рядом не стоял
Никто пароль не будет брутфорсить, его просто возьмут из базы слитой с того ресурса.
Зачем вы так:) 17 символов на каждый pass и отдельные ключики на usb-шке, которые генерятся постоянно (каждые 7 суток) в облаке и носишь, как брелок на ключах, в собственном кармане!
Про сетчатку забыл. Когда все соберут в "гипер защищенную локальную базу данных, которой нет у майрософта", внезапно окажется, что инфа случайно утекла. Но ебл3т не поменяешь, как и отпечаток пальца, голос и радужку в отличии от пароля.
(отредактирован)
С пальцами проблема, почему-то даже на весьма недёшевых ноутбуках отвратительные сканеры отпечатка пальцев.
Странно. Рилми ноут за 30к год у меня был. Сканер идеальный. Он большой, лучше чем в телефонах в разы. Даже мокрую руку срисовывает мгновенно, авторизация молниеносна. Теперь Леново за 60к, та же история - едва прикоснулся и всё готово
В HP за 120к (2021 год) он отвратительный.
ну, всегда есть исключения. Тем более ноуты hp - это ноуты hp
наоборот, ведь это лучше, что отвратительные..., можно с них брать много рандомного "мусора"!?:)
Фото уже собрали, когда Win10 только вышла тут на Хабре была статья с разбором, что вебка самостоятельно активируется и отправляет неизвестно что неизвестно куда (хотя понятно куда)... Лица пользователей винды уже давно у них
Ну мы как цук закрываем камеру наклейкой
passkey быстрее и универсальнее, не зависит от телефона. Большинство 2fa сейчас - смс, которые не безопасны априори, и totp, за которым надо сначала сходить, потом ввести. Набрать пароль от устройства и ткнуть на подтверждение, или даже просто приложить палец, намного удобнее
или в гугл аутентификатор
или в keepassx
но зато totp ни от чего вообще не зависит, и не перехватывается
смс в этом плане гораздо более уязвимы, в любой момент может быть выпущен клон симки, или сама симка переоформлена на другое лицо, в обход всех законов, и потом несколько месяцев доказывай что не верблюд, а все это время доступа к учеткам у тебя нет, зато он есть у кого-то левого
почему в банковских приложениях нет тотра?
А если нет интернета?
Уже выше тоже самое писал, 4 цифры это 10000 комбинаций брутфорса (5 минут пока сигарета дымится :) ), а по старинке пароль на 20-64 знака с символами, цифрами, и буквами разного регистра даже суперкомпьютер анб будет несколько лет подбирать
(отредактирован)
Только вот анб придется получить ещё физический доступ к компьютеру, потому что Майкрософт агитирует на passkey. А это таки ассиметричная криптография, и приватный ключ во время аунтентификации не покидает устройство. И сайты не имеет к нему доступа
(отредактирован)
Вас очень приятно читать. Узнал много нового! Спасибо большое! Пишите ещё! Драгоценные комментарии.
АНБ, может и крипторектально использовать разные типы нагревательных элементов! Кто им запретит, то!?:)))
Например расстояние? Сложно воздействовать «криптонектально», если человек находится за тысячи километров от США? Не то чтобы совсем невозможно, но нужно очень допечь…
Вот поэтому у Сноудена, был такой тернистый путь!?
Любая чувствительная инфа под грифом, с государственной геральдикой…тока, в путь;)
passkey не подвержен угрозе брутфорса
кроме квантовых кластеров, на ионных ямках;) думаю к них уже пару таких найдется на складах;)))!
Тем, что он не для сайта. Это пароль от твоего телефона или ноутбука, без доступа к нему он бесполезен. Полностью локальный. А уже после его ввода устройство входит в аккаунт на сайте по passkey, который по сути очень похож на электронную подпись. Это надёжнее любого пароля, потому что пароль передаётся через интернет и может быть использован повторно (знаешь пароль - вошёл в аккаунт), а passkey, даже если его перехватить, второй раз использовать не получится, это просто электронная подпись случайно сгенерированногг кусочка данных
Оплатил Винду - ставишь - оплатите ключ защиты винды - оплатите облако, офис, и диск - оплатите за доступ к рабочему столу...
И всё равно при первом тестируемом обновлении получите кирпич вместо рабочей машины...
Просто оплатите хоть что-нибудь :) Путь apple :))))))
(отредактирован)
Так технология открытая. Полно уже независимых реализаций от разных разработчиков
а як же, такой куш и не воспользоваться?:)
Сговорились гады, атакуют "по всем фронтам". :))
Яндекс вроде уже имеет поддержку passkey?
ой, ну как бы не изрыгнуть из себя, как бы не приплести.
сидите там у себя, как я погляжу, переживаете, аж не знаете куда деться
У тебя фляга походу свистит уже. Под каждый мой комментарий лезешь.
Не под каждый, проверьте, или глюки уже?
Ничего, кроме бессмысленного хамства не можешь из себя выдавить?)
А можешь подать пример? Научи, а?!;)
Как бы грубо не звучало, мамку свою проси воспитывать, а не меня.
А, ну то есть тебе можно в каждом комменте хамить и писать всякий бред, а мне нет?
Корона гвоздями, я смотрю, прибита и давно лопатой не поправляли?
Только не я тебе пишу первым в грубой форме, а ты мне, за это и получаешь закономерный ответ. Может тебе пора загнуть молоточком корону, чтобы не мешалась окружающим людям?)
Ты грубишь всем
Каким образом, где?)
То есть настолько всё плохо, что даже не замечаешь за собой? Тем непроходимым набросным бредом что несёшь везде.
- Ааа, у нас отбирают меганадежные пароли который брутфорсить 10 лет, и хотят перевести на четырехзначный пин!!!
(отредактирован)
Ты что... Это же пин код из 4 символов. Как он может быть безопаснее, символов-то 4! А ещё злые майки собирают наши лица и отпечатки пальцев!
(Сарказм)
0000 - у меня такой уже 4 года. Раз пин не имеет значения, а только средство подтверждения то какая разница? Он может быть и из одной цифры.
Это если следовать логике выше написавших. Ведь аутентификация проходит через телефон: подтвердить 2 цифры на экране компьютера, с помощью их ввода в телефоне и подтвердить пином. Если генератор на устройстве (телефоне) то какая разница. Нужен доступ к телефону, а если он уже есть, то пин майкрософта и гугла - это туфта. Поскольку подобрать пин или скан отпечатка - это не такое и сложное дело, если уж так нужно доступ к чему-то.
Я не запоминаю 4 значные пины и считаю их атавизмом. Отпечоток лучше. Но мне проще запомнить тарабарщину из множества знаков, типа: /люсенька÷Зараза&СДАЛИСЬ=тебеэтиRaKaMoNy]
почему атавизм? Если это пин для защиты телефона, где стоят ваши банковские приложения, например, мессенджеры, хранятся фотографии и другие личные данные, то это не адекватная риску мера защиты. Такое годится, только если в вашем телефоне нет ничего, что могло бы заинтересовать другого человека
Кстати, нет. Подобрать пин - не так много попыток. Заблокированный телефон более или менее защищён. Телефон после перезагрузки - взломать очень и очень сложно. Отпечаток - туда же. Телефоны не вскрывают легко. Легко их сбрасывают и продают после этого, а вот для вскрытия нужно серьёзное оборудование, навыки и недешёвый софт
Для защиты телефона 4х значный пин - это такое себе. И он не должен быть 4х значным. У меня 12ти. Тут о пине Майкрософта, который реально 4х значный.
И логика такая, как я описал. Потому как это только код подтверждения. Чтобы не забыть его, люди выбирают дни рождения в вариациях день/месяц или месяц/день (если в западном полушарии) или иные вариации года рождения.
К чему это я - к тому, что для удаленного взлома не имеет значения какой пин. Ведь надо иметь доступ к устройству изначально, а это значит пин может быть самым простым если телефон защищен. Почему? Да потому что если кто-то получил удаленный доступ к телефону, то запустить скрытый парсер на считывание отпечатка или захват набора с клавиатуры не составит для него труда.
Но когда девайс в чужих руках, то пин тоже не имеет значения. Есть другие способы взлома. Вот и вся логика.
Я лишь хочу донести, что 4 цифры - это реальный атавизм и уж тем более в таком исполнении, как это сделала Майкрософт.
не в курсе, что после определенного количества попыток ввода неверного пинкода тел блокируется, и с каждым разом на более длительное время? + функция форматирования после 10 попыток
(отредактирован)
При чем здесь телефон? Сообщение внимательно прочитали? Мы про аутентификацию Майкрософт.
у майков в винде тоже подобное есть
У меня такой опции не наблюдается с момента пользования, т.е. года три.
Это не имеет значения, о чем я написал. Поскольку 0000 пин в этом случае имеет такой же статус секурности как 3209 из-за доступа к телефону. Я не хочу второй раз объяснять.
Здесь нет предмета для спора, просто в 4х значном пине для данного случая нет смысла.
Кстати, намного удобнее, чем вбивать пароль. На телефоне жмёшь подтверждение и готово.
почему принципиально нельзя забрутфорсить? пин код вводится на ноуте, кейлогер может его перехватить и ввести за пользователя, разве нет?
1. Это не брутфорс
2. Этот пин-код применим только на том устройстве где его перехватили, а значит злоумышленник должен иметь доступ к компьютеру. Нет, мы конечно можем предположить что кейлогер был совмещен с неким RAT-ом…
3. У паролей перед данным классом атак тоже есть уязвимость, и даже больше, ввиду того что они применимы и за пределами железки где они перехвачены
(отредактирован)
нет, у них давно есть. Просто последнее время говорят про это всё чаще
самое удобное и безопасное сейчас это totp, пинкоды, которые меняются каждую минуту
это стандарт, их поддержка есть почти везде в популярном софте
не всегда удобнее. Рабочий впн отваливается каждый раз, когда ноут уходит в сон. Вы бы знали, как бесит по 5 раз за день лезть за телефоном, открывать приложение и набирать чртов код) А так ткнул пальцем по сканеру - и готово
но вообще частые отключения этот не проблема totp
при нормальной реализ сайта так часто разлогинивать не должно, а сессия обычно привязана не к сети, а к браузеру, и нечувствительна к переключению сетей
>>Пароль имеет преимущество: он надежен
Это утверждение ложно
>>прост как инструмент
А вот это истинно
>>Но вот для тех, кто к паролям подходит с ответственностью, ставит длинные и хранит в защищенном месте - для них пароль это не проблема
Да, но таких меньшинство. Майкрософт вынуждены ориентироваться совершенно не на них, пароли обладают недостатками которых нет у WebAuthn/passkey архитектурно.
Проблема небезопасных паролей стоит достаточно остро, раз IT-гиганты после вялого молчания зашевелились и стали их продвигать
(отредактирован)
"Это утверждение ложно"
Дык я как раз о тех, кто отвественно подходит, для таких утверждение истинно) А так - для большинства действительно нужны более надежные методы.
Ты искренне веришь, что техногигантам не наплевать на безопасность паролей? Что они берегут твои данные? При том, что они главные торговцы своими данными)
Ну, не своими, а только вашими:)))
Слабые пароли - это проблема, нет, им не все равно. В первую очередь в случае их сотрудников, во вторую всех остальных.
А кроме того что они слабые, их можно получить и другим путем, например через фишинг. Использовать passkey на фишинговом сайте похожем до сличения (но с другим адресом) - не выйдет
(отредактирован)
"Мы заметили подозрительную активность. Смените пароль в принудительном порядке". И так каждые пару недель. Сегодня уже до абсурда - сменил пароль, логинюсь с ним впервые -" мы заметили подозрительную активность...". Да шоп вам там неладно было, билловы выкормыши. Я уже не успеваю запоминать пароли.Ф
И это при том, что и мобильный аутентификатор стоит.
(отредактирован)
В гугле это норма. Давно забил на предупреждение.
д.б. резервный вариант. "Умер" в один печальный момент ваш единственный аппарат (смарт/пк/планшет), что дальше?
Я не для себя, друг интересуется.
на многих сайтах предлагают настроить сразу несколько таких резервных вариантов: totp, резервные одноразовые коды, email, sms, секретное слово, и т.п.
иногда вообще два-три фактора одновременно требуют
а в некоторых случаях даже продуман такой момент, что есть возможность специально навсегда лишить себя доступа, вообще без возможности какого-либо восстановления - личные данные учетки пошифрованы единственным ключом, который в любой момент можно просто затереть
Но так же не интересно.
пример - моря воров требуют акк иксбокса или майкрософта + синхронизация паролей едж, параметров венды (кривая, правда) и, правда, не про тебя - привязка лицензии к акку
Потому что с «ключа» считывается не пароль. Цепочка такая:
1) ты заходишь на сайт, и сайт высылает тебе строку текста с текущим временем и случайной строкой
2) твое устройство запрашивает у тебя пин-код/пароль/биометрию. В случае успешной проверки то что тебе прислал сайт - «подписывается» приватной частью пары асимметричных ключей. Сама приватная часть твое устройство не покидает. Твое устройство отправляет «подписанную» строку назад
3) сервер проверяет электронную подпись и содержимое строки с помощью публичной часть и асимметричной пары ключей. Которую устройство отправило на сервер при регистрации passkey
1) вирус на моём ноуте заходит на сайт, и сайт высылает ему строку текста с текущим временем и случайной строкой
2) моё устройство запрашивает у меня пин-код/пароль/биометрию. Вирус вводит пин-код, предварительно украв его с помощью кейлогера. В случае успешной проверки то что мне прислал сайт - «подписывается» приватной частью пары асимметричных ключей. Сама приватная часть моё устройство не покидает. Моё устройство отправляет «подписанную» строку назад
3) сервер проверяет электронную подпись и содержимое строки с помощью публичной часть и асимметричной пары ключей. Которую устройство отправило на сервер при регистрации passkey.
4) Вуаля - вирус зашёл в моё банковское приложение и начинает выводить деньги.
Как от такой атаки защитит сложный пароль? А ведь пользователи любят задавать одинаковые пароли к куче сервисов. Он, так-то может и утечь и пользователь об этом не узнает, и тогда злоумышленнику может не понадобится кейлогер на машине пользователя…
А если запрос биометрии? Умный кейлогер её тоже введёт?
(отредактирован)
от такой атаки и пароль, и пин код защищают одинаково - никак. поэтому не очень понятно преимущество пин-кода. я понимаю архитектуру с закрытыми и открытыми ключами, там всё клёво. единственное, от чего защищает пин-код - от слива баз, которые происходят регулярно, ведь атаковать мой банк придётся не с компа хакера, а с моего личного компа.
запрос биометрии ничем не отличается от пин кода - некое устройство считывает биометрию и передаёт нолики и единички в операционную систему. нолики и единички перехватываются аналогично таковым от клавиатуры или например от рутокена
>>от такой атаки и пароль, и пин код защищают одинаково - никак. поэтому не очень понятно преимущество пин-кода
Давай так, перед атакой в описанной тобой постановке в равной степени уязвимы как пароли, так и passkey. Но пароли также уязвимы к фишингу, брутфорсу, они утекают вместе с базами данных, то к чему принципиально неуязвимы passkey.
>>запрос биометрии ничем не отличается от пин кода - некое устройство считывает биометрию и передаёт нолики и единички в операционную систему. нолики и единички перехватываются аналогично таковым от клавиатуры или например от рутокена
Абсолютно не тоже самое, перехватить клавиатурный ввод и перехватить обмен по шине со сканером отпечатка, а потом ещё и успешно воспроизвести его ответ который примет ОС (у той же windows для работы с windows hello есть ряд рекомендаций к сканерам отпечатка и предпринят ряд дополнительных мер чтобы осложнить такие атаки, одним из пунктов как раз и является защита от replay-атак) - это задачи различного класса сложности
Да и никто не запрещает использовать телефон в качестве passkey-токена, что там будет кейлогер - кейлогерить?
P.S. я там выше писал про windows hello и sdcp, но я вынужден добавить, очень грустно, но фактически sdcp реализован в сканерах не всегда
(отредактирован)
Эмм, все вводится, и даже в сторонних браузерах
это если его хранить на данном устройстве, а теперь вспоминаем, что еще есть андроид смартфон или айфон, или какой-нибудь линукс еще в прикуску. И везде надо засинхронизировать
Храни на телефоне, что андроид, что айфон должны быть способны логинить тебя на других устройствах. По крайней мере не имею сложности зайти в аккаунт Гугла на ноутбуке* с помощью passkey на телефоне
*возможно для этого необходим блютуз на пк, но я не уверен, отсканировал QR с экрана и оно само после проверки биометрии все делает
(отредактирован)
(отредактирован)
Правда, блин...куда мир катится!?:)
Да, потому что 4-6 значный пин - это пин к твоему устройству, а не к сайту. Для доступа к сайту используется WebAuthn/passkey
>>Аппаратный ключ — это тот же пароль, только записанный на физическое устройство. Что там за пароль, насколько сильный, сколько их там (есть ли ко всем этим ключам мастер-ключ у дяди), — вам придётся поверить производителю ключа.
WebAuthn открыт, даже если вы не можете разработать самостоятельно, на гитхабе был как минимум один открытый проект, содержащий и схемы, железо, и прошивку. Проверить несколько проще чем разработать самому.
Дайте мне телефон работника Мелкософт и самого работника на 5 минут и не мешайте мне.
Через 5 минут я разлочу его по рожаID.
>:(