Šta je novo?
Od:
Filteri

Google Passkeys

S

Solidify

Cenjen
Učlanjen(a)
19.12.2021
Poruke
267
Poena
105
Vidim da je Google implementirao najnovniju bezbednosnu opciju kada je sigurnost naloga, i upravljanje pristupom servisima kojima se pristupa preko Googla u pitanju.

Dakle - Passkeys.

Ja nisam uključio niti isprobao feature jer mi nije jasno...

Ako dobro razumem, ideja Googla je izopštavanje lozinki skroz, uključujući i 2FA, i delegiranje bezbednosti uz lozinku koja nikome nije poznata niti dostupna, a generisana je lokalno, na samom uređaju, a pristup se obavlja korištenjem biometrijske potvrde na samom uređaju, dakle otisak prsta/PIN...

Google kaže da je ovo najbezbednija alternativa, i najjednostavnija...

Kako tačno?

Šta ako recimo izgubim pristup telefonu?

Kako može biti najbezbednija ako svi povezani nalozi koji vode preko Googla imaju isti pristup?

Je l' neko prešao na ovaj vid bezbednosti?
 
Solidify je napisao(la):
Šta ako recimo izgubim pristup telefonu?
Kliknite za proširenje...
Nakon toga ce ti biti potrebna tvoja lozinka koju nisi koristio godinama.

Kada na uredjaju aktiviras passkey autentifikaciju, i dalje ti vazi tvoja stara lozinka, poenta je da na tom uredjaju gde imas passkey, vise ne moras da koristis lozinku.
 
Mnogo je brže i jednostavnije.
Ne znam šta je danas inače sigurno, lozinke se provaljuju, prstići odsecaju ... :)

Koristim već neko vreme, meni lično je lakše na otisak ili pin gde nema biometrije, nego kucaj/autofill pa otvori youtube ...
Proveri i podesi svoj nalog, imaš tamo sve moguće opcije za drugi način prijavljivanja. Takođe i da ukloniš passkey sa uređaja ako izgubiš ili šta već.
 
Dakle, ako recimo izgubim uređaj na kojem mi je passkey, telefon... Onda kako pristupam nalogu sa drugog uređaja?
Preko prvobitne lozinke?

Kako je onda lozinka izopštena ako i dalje ima svrhu? 😁

Nije da se tripujem oko bezbednosti nego samo pokušavam da razumem koncept za koji Google tvrdi da je bezbedniji.
 

Passkeys (Passkey Authentication)

A FIDO credential that is backed up (usually to the user’s platform account; e.g., Google Account or AppleID), allowing users to restore the credential to, and use it from, another device. From a user experience standpoint, this will be very similar to how one interacts with a password manager...
fidoalliance.org
 
Solidify je napisao(la):
Dakle, ako recimo izgubim uređaj na kojem mi je passkey, telefon... Onda kako pristupam nalogu sa drugog uređaja?
Preko prvobitne lozinke?

Kako je onda lozinka izopštena ako i dalje ima svrhu?
Kliknite za proširenje...
Pa lozinka ostaje. Ne razumem kako misliš da je isključiš osim da daš Guglu tvoj DNK ili šta budu tražili 🙂
Ima svrhu lozinka kod prijavljivanja sa drugih uređaja, što npr lično izbegavam, ali je neophodno ponekad. Onda ide 2fa ili kao si već podesio nalog.
Poenta je da je bezbedno i olakšava prijavljivanje sa tvog uređaja.
Edit: stvarno nisi nikad podesio security opcije na nalogu. Rezervni mail, itd... Popuni to kako treba, biće ti sve posle jasno.
 
Ne, ne... Ja imam lozinku, jaku... Imam 2FA, recovery mail, nemam SMS za 2FA... Za sve lozinke koristim KeePass čiji database čuvam lokalno i to je praktično jedina tačka moje bezbednosti i jedina šifra koju znam.

Nego kažem, nikako mi nije jasno da je passkeys alternativa za sve maltene.

Ja razumem da je passkey siguran jer je to "nevidljiva" šifra za sve, jer se čuva lokalno u uređaju... Ali ako na snazi ostaje i obična šifra kako bi u slučaju gubitka uređaja moglo da se pristupi nalogu, onda ta obična šifra i dalje jeste uskladištena, odnosno passkey nije nikakav veći nivo bezbednosti već samo praktičniji.
 
Ja sam uspešno dodao Yubikey kao Passkey na Google account. Preko toga sam ih koristio kao jedini 2FA uz Advanced Protection mode, ali sad su mi i dodati i kao passkey.
 
Zašto bi ovo bilo sigurnije od 2FA?
Ako recimo samo jedan uređaj koji nije daily driver služi kao 2FA, zašto bi ovo bilo sigurnije?
 
Pa to...

Sve i da ti je šifra provaljena, nema pristupa bez 2FA, ako računamo da je SMS isključen iz te opcije jer on jeste ranjiv... Ali u drugim slučajevima za odobrenje 2FA push notifikacije ili pristup autorizatoru, opet treba potvrditi identitet tj. otključati telefon, isto kao za passkey.

Jedino se preskače šifra.
 
Hah... Eto, ništa apsolutno nije bezbedno. 😁
Doduše, ovo bi baš morao da bude ciljani napad i pristup računaru da bi se eksploatisalo.

Mada opet, ne smatram taj passkey nikakvom revolucijom. Opet postoji tačka ranjivosti.

Setimo se samo koliko se puta desilo da su određeni telefoni imali glitch sa senzorom otiska ispod ekrana, pa se dešavalo da ga otključa neko sa neregistrovanim otiskom.

Mada se slažem da je za 90% korisnika praktičnija ideja bez bezbednosnog kompromisa.

Samo se ne slažem sa marketingom koji je reklamira kao progres u bezbednosti naloga.
 
Solidify je napisao(la):
Pa to...

Sve i da ti je šifra provaljena, nema pristupa bez 2FA, ako računamo da je SMS isključen iz te opcije jer on jeste ranjiv... Ali u drugim slučajevima za odobrenje 2FA push notifikacije ili pristup autorizatoru, opet treba potvrditi identitet tj. otključati telefon, isto kao za passkey.

Jedino se preskače šifra.
Kliknite za proširenje...
Zašto bi SMS bio ranjiv (mislim ako pričamo o snifovanju ili presretanju sms jasno je), ali za ogroman broj ljudi?
Ja kažem uzmite dva Androida od 30e. Na njega sve bitno i Google i kripto Microsoft i šta ja znam.
Taj uređaj služi samo za konfirmaciju kada treba. Nešto slično kao YubiKey ali po po meni bolje.

I sigurni ste jer vam je uređaj za autentifikaciju van mreže (offline/airplane mode). Kada je potrebno hot spot sa telefona i zakačite ga.
Čak i ako vam je WiFi mreža, kući ili na poslu kompromitivana, ne postoji za sada neko ko vas može hakovati za 2 minuta koliko traje autentifikacija.
 
Za SMS sam spomenuo čisto iz ugla maksimalne bezbednosti. Sigurno da za većinu ljudi nije ranjiva opcija.

No, opet se SMS neretko naglašava kao najslabija karika u 2FA sistemu.

Čisto da ne bude da se ne dešava, mojoj sestri je FB hakovan preko SMS 2FA... Sideloadovala je neke aplikacije, jedna od njih je imala pristup SMS aplikaciji, šifra joj nekako provaljena, i stigao joj SMS sa kodom bez njene inicijacije, i nalogu su joj pristupili beše neki Nigerijci, ono klasičan hijack... Oteli nalog pa spamovali reklame etc...

Ali primer eto jedan. Doduše, prvenstveno je ona kriva jer je instalirala neke leve aplikacije, tj. kriva je njena donekle digitalna nepismenost.
 
Не бато, не изврћи ствари. Криви су ти криминалци, она је неопрезна.
И ја читам ову тему јер тражим начин да повећам безбедност. Имам утисак да ми је андроид хакован, неке апликације не могу да користим, које сам користио раније.
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno