Jakie są wady i zalety przejścia z haseł na klucze PassKeys?

[BowHunter]

Nasz forumowy kolega 1411, podzielił się dziś takim oto filmikiem.

https://www.youtube.com/shorts/hA9cO05Tcy8

Chodzi oczywiście o wsparcie dla standardu FIDO, umożliwiające szybsze wdrożenie metod logowania bezhasłowego - PassKeys.

Była już o tym wzmianka w maju 2022 -> https://www.apple.com/pl/newsroom/2022/ ... -standard/

Oczywiście nie byłbym sobą gdybym nie skomentował tego w jakiś sposób.

A zatem, silne i unikalne hasła są ważną częścią każdej strategii bezpieczeństwa online. Dzieje się tak, ponieważ zapewniają one bezpieczeństwo naszych kont, o ile są wystarczająco silne. Jednak w ostatnim czasie hasła stały się nienajlepszą opcją dla bezpieczeństwa online. Chociaż zapewniają one pewną formę bezpieczeństwa, mają wyraźne wady (a będąc bardziej dosadnym to ich twórcy tych że haseł te wady tworzą), które są często wykorzystywane dla potencjalnych atakujących.

Chociaż klucze dostępu (PassKeys) zapewniają podobne korzyści jak hasła, są one bezpieczniejsze z punktu widzenia użytkownika. Staną się nową metodą uwierzytelniania bezhasłowego, która może ostatecznie zastąpić tradycyjne hasła ze względu na ich wysokie funkcje bezpieczeństwa. Opracowane przez Apple, Google i Microsoft w celu poprawy bezpieczeństwa i wygodniejszego logowania, klucze dostępu są drogą przyszłości w zakresie podstawowego bezpieczeństwa w sieci. Dlatego właśnie wyżej wymienione molochy wzywają do przejścia z haseł na PassKeys. Jednak przejście z haseł na klucze dostępu ma swoje wady i zalety.

PassKeys mają tę zaletę, że są znacznie trudniejsze do złamania niż hasła. Każdy klucz jest odrębny i powiązany z urządzeniem użytkownika za pośrednictwem publicznej/prywatnej pary kryptograficznej, co znacznie utrudnia atakującemu uzyskanie nieautoryzowanego dostępu bez fizycznego posiadania urządzenia. Klucze umożliwiają użytkownikom logowanie się bez hasła w wygodny i bezpieczny sposób. W dzisiejszych czasach użytkownicy mają wiele kont na różnych portalach w zależności od swoich potrzeb, a zapamiętanie wszystkich tych haseł stało się dla nich wyzwaniem, przez co w rezultacie często zapominają i resetują hasła, lub pozostają nad jednym wklepywanym wszędzie. Jednak dzięki PassKeys użytkownicy nie będą musieli już tworzyć ani zapamiętywać skomplikowanych haseł. Zamiast tego mogą uwierzytelniać się za pomocą telefonu komórkowego, poczty e-mail lub danych biometrycznych, dzięki czemu logowanie jest bardziej płynne i bezstresowe. Pomoże to szczególnie w przypadku użytkowników, którzy zarządzają dziesiątkami kont online. PassKeys mogą być używane nie tylko do logowania się do kont, ale także do szyfrowania wiadomości e-mail lub podpisywania dokumentów cyfrowych, co czyni je wszechstronnym narzędziem bezpieczeństwa w sieci. Na dodatek nie trzeba niczego ręcznie generować ani martwić się o to, czy klucz prywatny jest wystarczająco długi lub losowy. Wszystko, co należy zrobić, to wygenerować konto i poprosić o wygenerowanie bezpiecznej pary klucza publicznego i prywatnego w Twoim imieniu.

I chociaż istnieje jak widzimy dość sporo zalet korzystania z logowania bez hasła, nie są one w żadnym wypadku idealne. Nadal jest kilka rzeczy, o których należy pamiętać. Przede wszystkim PassKeys wymagają Naszych danych biometrycznych (skan twarzy, odcisku palca). Są nową i nieznaną technologią dla wielu użytkowników, co utrudnia im przyjęcie i zintegrowanie tej metody z codziennymi czynnościami. Społeczeństwo może być zmuszone do nauczenia się, jak korzystać z urządzenia PassKey i dostosować się do nowego procesu uwierzytelniania, co może być czasochłonne i frustrujące. Dodatkowo, ponieważ klucze dostępu mogą być tworzone tylko przy użyciu danych biometrycznych, może wystąpić problem z weryfikacją konta. Aby z niego skorzystać, należy upewnić się, że palce, czy twarz są czyste – już widzę tego mechanika, czy kominiarza jak biegnie dokładnie umyć twarz i ręce aby móc się zalogować. Inną obawą jest to, że klucze dostępu mogą być trudniejsze w użyciu dla użytkowników niepełnosprawnych lub starszych urządzeń. Użytkownicy o ograniczonej mobilności mogą mieć trudności z uwierzytelnianiem biometrycznym, a starsze urządzenia mogą nie obsługiwać najnowszych technologii PassKeys. Z resztą nie wszystkie strony internetowe i aplikacje obsługują uwierzytelnianie za pomocą klucza dostępu, dlatego metoda ta może być nieskuteczna dla niektórych użytkowników. W zależności od stron internetowych i aplikacji, z których korzystają użytkownicy, mogą oni być zmuszeni do korzystania z wielu metod uwierzytelniania (takich jak hasła i klucze dostępu), co może być mylące i niewygodne. No i na koniec, klucze dostępu są droższe niż hasła, ponieważ użytkownik musi kupić osobne urządzenie do jego / ich przechowywania (smartfon obsługujący biometrię), przez co automatycznie stają się również bardziej skomplikowane w konfiguracji i użyciu.

[seal]

Główną wadą zabezpieczeń biometrycznych, jest to że ... chodzimy z nimi dosłownie "wypisanymi na czole".
Po co wydawać miliony na próby łamania, które w większośći wypadków nie przyniosą skutku.
Po co wydawać 100 zł na łom i bić aż ktoś sobie "przypomni" hasło.

Wystarczy podejść i skierować obiektyw. Albo przyłożyć palec.

Już były sprawy z włąmywaniem się na telefony "podczas snu". Policja czy ktokolwiek mający w tym interes też może łatwo nadużyć i uzyskać dostęp.

[BowHunter]

W mojej ocenie to bardziej mechanizm gotowania żaby. Niestety życie nie daje nic za darmo, a człowiek - człowiekowi tym bardziej.

<szurmode on>
To co obserwujemy teraz to klasyczny wstęp do całkowitej kontroli społeczeństwa. Skanowanie twarzy, czy odcisków palca to oddawanie za darmo jedynych "rzeczy" jakie mamy unikalne. Wysyłanie ich na serwery firm trzecich, tylko po to by żyło się wygodniej. Skoro będziemy mieć logowanie własnym wizerunkiem, to nic nie stoi na przeszkodzie abyśmy także nim płacili prawda? Natomiast same zdjęcia Naszej twarzy wspomogą sztuczna inteligencję, by tworzyła jeszcze lepsze, bardziej realistyczne obrazy. Kto wie, może nawet kiedyś zagramy w jakimś filmie i wyemitują nas w Wiadomościach? Np w takim, gdzie bierzemy udział w nielegalnej paradzie, lub dokonujemy łamania prawa, podczas gdy my w tym czasie najnormalniej w świecie spaliśmy? Hmm. Mówią, że w showbiznesie nie ważne co gadają, byleby w ogóle gadali...
<szurmode off>

[Ramzan Szimanow]

W mojej ocenie to bardziej mechanizm gotowania żaby. Niestety życie nie daje nic za darmo, a człowiek - człowiekowi tym bardziej.

Szuranie sobie. Zarobek firm na nowym bardziej przekombinowanym sprzęcie z "niezbędnymi" funkcjami drugie. A oszukanie biometrii w wersji "pod strzechy" zapewne nie będzie jakieś trudne. Podobnie nie zabraknie furtek w oprogramowaniu.
Jak z dostępem bezkluczykowym w autach.
Smartfon z odpowiednią aplikacją wyłapuje i kopiuje sygnał.
Więc w praktyce takie auto jest nawet łatwiej ukraść jak starego grata na gaźniku i bez immobilizera.

[BowHunter]

Zarobek firm na nowym bardziej przekombinowanym sprzęcie z "niezbędnymi" funkcjami drugie.

Dolary się muszą zgadzać, inaczej nie byłoby sensu wprowadzać innowacji. Swoją drogą zaskakujące jest posunięcie wdrożenia nowego systemu jako domyślnego i zaznaczenie funkcji zapamiętywania jako domyślnej. Co prawda możemy to odznaczyć, a samo logowanie przełączyć na standardowe w opcjach, ale wciąż jest to narzucanie "jedynego słusznego rozwiązania". W końcu to moje konto, moje dane i to ja powinienem wybierać jak chcę się do niego logować. Przecież dla chcących mieć wysokie bezpieczeństwo jest klucz U2F od Yubico. Można go kupić w wersji NANO, który chowa się w porcie USB-A, lub nieco tylko wystaje przy USB-C. Pozwala na autoryzację za pomocą protokołu FIDO/FIDO 2.0 w aplikacjach i serwisach internetowych, a także za pomocą metody Challenge-Response. Możemy przy jego pomocy logować użytkownika do systemów operacyjnych Mac, Windows, Linux, zabezpieczać dwuskładnikowe uwierzytelnianie za pomocą aplikacji Yubico Authenticator, czy chociażby przechowywać klucz OpenPGP do szyfrowania i podpisywania maili, oraz plików. Owszem nie są tanie, ale ktoś coś zrobił aby było bezpiecznie, a jak dobrze wiemy za darmo to się nawet w ryj nie dostaje. Dla prawdziwych hardcorowców Yubico przygotowało YubiHSM 2. Nieskromnie przyznam, że już w zeszłym roku napisałem mod pozwalający na logowanie przy użyciu klucza U2F na Nasze forum. Jednakże zapewne bardzo znikoma część korzysta, więc temat został odstawiony na półkę.

U2F.jpg

yubikey2.jpg

[bushmot]

Odnośnie biometryki -we Wrocławiu jest payeye -pionier w zakresie płatności siatkówka oka. I jest kilka miejsc gdzie tak można płacić - kawiarnie itp. pracowałem w tym samym budynku gdzie oni mają siedzibę i chodzili po biurach żeby się zarejestrować i być dla nich testerem. Pogoniłem ich
A z ciut innej beczki - słyszałem że takie rozwiązania nie przyjęły się w Ameryce łacińskiej i południowej bo tam nikt się nie szczypał -od razu ucinali co trzeba bez jakichkolwiek negocjacji... A to negocjacje dawały szanse na ujście z życiem...