Η Google κάνει τα passkeys την προεπιλεγμένη μέθοδο σύνδεσης για όλους τους χρήστες

[euri]

άρα πάλι είναι ανασφαλής ο λογαριασμός σου!
google-potato

Η μεγάλη διαφορά είναι ότι με ενεργοποιημένο το passkey αφενός δε χρειάζεται να πληκτρολογείς κωδικό (άρα λιγότερος κίνδυνος από malware, keyloggers, κλπ), αφετέρου το phishing γίνεται πιο ορατό (αφού έχω passkey, γιατί μου ζητάει κωδικό; ).

[goku]

Αυτό θα επηρεάσει όλες τις υπηρεσίες της εταιρείας;
Θα μπαίνουμε δλδ με βιομετρικά; Αυτό από το κινητό...
Από υπολογιστή, πως;

Λογικά θα πρέπει να έχεις και κινητό στο οποίο θα έχεις συνδέσει τον λογαριασμό, και αν θέλεις να συνδεθείς στον υπολογιστή θα σου έρχεται μια ειδοποίηση στο κινητό για να κάνεις την πιστοποίηση από εκεί.

[ZaNteR]

Ετσι οπως παει το πραμα θα πρεπει να εχουμε μια συσκευη offline μονο για authentication.

[riddle3]

Ετσι οπως παει το πραμα θα πρεπει να εχουμε μια συσκευη offline μονο για authentication.

Yubikey ή αντίστοιχο fido2 hardware key.
Και να έχει κάποιος το username/password σου χωρίς το φυσικό κλειδί δεν μπορεί να κάνει login *



* Σε όσες υπηρεσίες το υποστηρίζουν και πρέπει να κλείσεις και όλες τις άλλες μεθόδους recovery

[Yaponvezos]

άρα πάλι είναι ανασφαλής ο λογαριασμός σου!
google-potato

Άμα είναι εύκολος κι αποθηκευμένος σε χαρτοπετσέτα, ναι παρατημένη στην είσοδο της πολυκατοικίας. Το θέμα είναι ότι με passkeys δεν χρειάζεται να προσπαθήσεις να θυμάσαι κάτι, να το εμφανίζεις κάπου για να μπορεί να τον δει κάποιος κ.λπ. Το θέμα είναι να πέφτουν οι πιθανότητες για foul play. Αν θέλεις να είναι κάτι αλώβητο, πετάς και την κλειδαριά. Αλλά να που ζούμε με πόρτες και κλειδαριές.

[Pixel 57]

Η μεγάλη διαφορά είναι ότι με ενεργοποιημένο το passkey αφενός δε χρειάζεται να πληκτρολογείς κωδικό (άρα λιγότερος κίνδυνος από malware, keyloggers, κλπ), αφετέρου το phishing γίνεται πιο ορατό (αφού έχω passkey, γιατί μου ζητάει κωδικό; ).

Σε αυτούς που πιάνει το fishing πιστεύεις οτι θα καταλάβουν πως είναι ύποπτο το να τους ζητάει κωδικό;

[konenas]

Η μεγάλη διαφορά είναι ότι με ενεργοποιημένο το passkey αφενός δε χρειάζεται να πληκτρολογείς κωδικό (άρα λιγότερος κίνδυνος από malware, keyloggers, κλπ), αφετέρου το phishing γίνεται πιο ορατό (αφού έχω passkey, γιατί μου ζητάει κωδικό; ).

Ναι, αλλά αυτός ο τρόπος που ισχύει τώρα δεν είναι πλέον ασφαλής και τον αλλάζει; Δεν με πείθει.
Ασφάλεια ή ελευθερία;

[jap]

Το πρόβλημα με τους ψηφιακά αναλφάβητους (και πιθανά θύματα phishing) είναι πως κάθε τόσο αλλάζουν οι τρόποι σύνδεσης και ό,τι ιστορίες τους πει ο κάθε απατεώνας θα τις πιστέψουν, τίποτα δεν μας φαίνεται περίεργο πια. Προχτές ήμουν στο σούπερ μάρκετ και πήγα να πληρώσω στο ταμείο όπως πάντα με το κινητό και τη συνδεδεμένη κάρτα (market pass έκδοσης Eurobank αν κάνει διαφορά, την οποία την επιλέγω μέσα από την εφαρμογή-wallet του Google Pay). Βγήκε μήνυμα στο POS να κοιτάξω την οθόνη του κινητού, όπου βγήκε μήνυμα να κάνω ταυτοποίηση, μόλις έβαλα το δακτυλικό αποτύπωμα στο τηλέφωνο συνέχισε τη συναλλαγή. OK, καταλαβαίνω ότι θέλουν την έξτρα ασφάλεια, αλλά πάει περίπατο η ευκολία έτσι και μπαίνουν νέοι τρόποι ταυτοποίησης που πρέπει να θεωρούμε φυσιολογικούς.

[euri]

Σε αυτούς που πιάνει το fishing πιστεύεις οτι θα καταλάβουν πως είναι ύποπτο το να τους ζητάει κωδικό;

Πιθανόν όχι. Αλλά έστω και μερικοί από τους πολλούς αν αποφύγουν phishing είναι κέρδος.

Ναι, αλλά αυτός ο τρόπος που ισχύει τώρα δεν είναι πλέον ασφαλής και τον αλλάζει; Δεν με πείθει.
Ασφάλεια ή ελευθερία;

Εφόσον υπάρχει κάτι που ενδεχομένως είναι ασφαλέστερο, γιατί να μην χρησιμοποιηθεί;

[keysmith]

το passkey είναι εν γένει (πολύ) ασφαλέστερο από τους κωδικούς (ακόμα και με ΤOTP ως 2FA συνδικασμένους με κωδικούς) με μόνη εμφανή αδυναμία ότι "συνυπάρχουν" με τους παλιούς κωδικούς. Επί του παρόντως (δεν ξέρω αν κάνω λάθος) πρέπει ΠΡΩΤΑ να φτιάξεις όνομα χρήστη με "κωδικό" σε ένα site και ΜΕΤΑ να ενεργοποιήσεις passkey.
Το πρόβλημα είναι ότι αυτός ο κωδικός για να είναι ασφαλής πρέπει μαλλον παλι να έχεις έναν password manager να σου φτιάξει ένα τυχαίο γιατί αν επιλέξει ο χρήστης πιθανώς θα βάλει κάποιον συνηθισμένο (ένα για όλα) που έχει και αρα παει περίπατο η έξτρα ασφάλεια του passkey αν γίνουν έτσι τα πράγματα.

- - - Updated - - -

Κατάλαβε κανείς πώς χρησιμοποιείται το ιδιωτικό και πώς το δημόσιο κλειδί σε αυτή τη διαδικασία;

τα ιδιωτικά αποθηκεύονται σε κάποιο security hardware (του κινητού σου, κάποιο τόκεν πχ έξυπνη κάρτα κτλ). Τα κινητά έχουν τέτοιο υλικό και οι νέοι η/υ (πχ TPM: Trusted Platform Module (TPM) version 1.2 or 2.0).
Δημιουργείται ενα μοναδικό ζεύγος για κάθε site που το ενεργοποιείς. Το private πάει στο token σου, ενώ στο site στέλνεται και αποθηκεύεται εκεί το αντίστοιχο public. Οταν πας να συνδεθείς στέλνει το site ενα challenge και το κρυπτογραφεί το token σου με το private (αφού πιστοποιηθείς στο υλικό που εχει αποθηκευμένο το private είτε με δακτυλικό είτε με pin ή κάπως αλλιως). Δλδ το security hardware κάνει την δουλειά και το μυστικό κλειδί ΔΕΝ φεύγει από αυτό. Το response που παράγεται πάει στο site όπου το τσεκάρει με το public αν είναι το "σωστό" response.. Φαντάζομαι κάποιοι μηχανισμοί για αποφυγή του Man in the midle attack έχουν προβλεφθεί κατά τα γνωστά.

Τα κλειδιά σου όλα ή μερικά μπορείς να τα έχεις αντίγραφα ή να τα εξάγεις και σε άλλα πορτοφόλια (πχ να το μοιραστείς με την γυναίκα σου) και βέβαια σε οσες θες δικές σου συσκευές αν τα έχεις πχ μέσω google (δλδ αν χάσεις το τηλέφωνό σου που τα είχες μέσα δεν χάνονται. Δυστυχώς ή ευτυχώς η Google τα έχει τα ίδια τα κλειδιά σου στην γενική μορφή και πιστεύουμε να είναι "καλά φυλαγμένα" η ίδια).
λέει

Passkeys in the Google Password Manager are always end-to-end encrypted: When a passkey is backed up, its private key is uploaded only in its encrypted form using an encryption key that is only accessible on the user's own devices. This protects passkeys against Google itself, or e.g. a malicious attacker inside Google. Without access to the private key, such an attacker cannot use the passkey to sign in to its corresponding online account.

από ότι καταλαβαίνω αυτό το κλειδί σχετίζεται με τον κωδικό σου στο google (master κωδικός όλων γίνεται αυτός ο κωδικός αρα).

Ο Master κωδικός αυτός του λογαριασμού Google είναι ο πιο σημαντικός να μην πέσει σε άλλους όπως γίνεται αντιληπτό.

Βεβαια όπως είπαμε δεν είναι ανάγκη να είναι google ο πάροχος του πορτοφολιού των κωδικών σου (και η apple μπορεί και ιδιωτικές εταιρίες όπως καποιες που πουλανε και το usb πορτοφόλι (cryptographic module και πολλές αλλες).

Κάπως έτσι τέλος πάντων και στο περίπου. Δε διάβασα και τα papers

[YAziDis]

Εντωμεταξύ δεν υποστηρίζεται ο Firefox.... Σπάσιμο..

[tiatrou]

Πολύ καλή η ανάλυση του keysmith !!!

[konenas]

Εντωμεταξύ δεν υποστηρίζεται ο Firefox.... Σπάσιμο..

Διάλεξε: Google ή Firefox
Η M$ έβαζε κάποτε το δίλημμα, δικό μου ή φύγε.

[Eaglos]

Από όσο διάβασα δεξιά αριστερά, αν καταλαβα σωστά, για να συνδεθώ στο gmail μου σε ένα PC
με χρήση passkey, θα πρέπει να έχουν ενεργό Bluetooth τόσο το κινητό όσο και το PC για να
επιβεβαιωθεί η εγγύτητα, ότι βρίσκομαι εγώ στο χώρο.

Πέραν από laptop, bluethooth σε PC δεν έχω δει ποτέ. Μόνο σε εμένα φαντάζει προβληματικό
το σενάριο αυτό;

[zeronero]

Πέραν από laptop, bluethooth σε PC δεν έχω δει ποτέ. Μόνο σε εμένα φαντάζει προβληματικό
το σενάριο αυτό;

Εάν έχεις lockscreen στα win θα χρησιμοποιήσει πχ. το pin που έχεις ορίσει εκεί.
Το bt είναι εάν δεν έχεις lockscreen.

To create and use a passkey, your device must have the following enabled:

Screen lock
Bluetooth: If you want to use a passkey on a phone to sign in to another computer

Πηγή