Οι Apple, Google και Microsoft συνεργάζονται για να αναπτύξουν τεχνολογία «sign-in χωρίς password»

[umbrella co.]

Αλοιμονο μας.

[Επισκέπτης]

31 λεπτά πριν, Kostasspil είπε

 

Κι αν δεν έχω smartphone?😄

[elpenor]

1 ώρα πριν, panathatube είπε

Επειδή όμως κανείς δε θα κάτσει στο θρανίο για να μάθει να χρησιμοποιεί password manager με passphrase + biometrics + hardware key κλπ κλπ και το πρόβλημα θα συνεχίσει να υφίσταται βρίσκω πολύ καλή την πρωτοβουλία τους, και πιθανότατα επιτυχημένη. 

Mαθήματα cyber safety υπάρχουν ήδη στην Αυστραλία, στις Η.Π.Α. και όλο και σε περισσότερες χώρες. Καταλαβαίνω ότι είναι δύσκολο για τους μεγαλύτερους, ιδίως στη χώρα μας που δεν υπάρχει δια βίου εκπαίδευση, αλλά τουλάχιστον να γίνει μία προσπάθεια.

Οι τράπεζες ήδη έχουν υποχρεώσει τον κόσμο να χρησιμοποιεί 2FA και αρκετές ξένες κρατικές υπηρεσίες 3FA.

Αν ο στόχος της πρωτοβουλίας είναι να διασφαλίσουν ότι ο κόσμος δεν θα χρησιμοποιεί weak passwords γιατί δεν τρέχουν ένα client based script που να μην σου επιτρέπει να βάλεις password που είναι ευάλωτο σε dictionary attacks; Γιατί όταν πας να δημιουργήσεις password δεν υπάρχουν οδηγίες που να εξηγούν ότι δεν κάνει να χρησιμοποιείς προσωπικά στοιχεία που είναι εύκολα προσβάσιμα από τρίτους όπως η ημερομηνία γέννησης του παιδιού σου κλπ... Γιατί δεν κάνουν το 2FA υποχρεωτικό;

Πόσο ασφαλές είναι ένα login που στηρίζεται μόνο στο κινητό; Δεν είναι θέμα χρόνου να μπορούν όλο και περισσότεροι hackers να κάνουν spoof το face regognition; Εδώ και 4 χρόνια υπάρχουν άρθρα που γράφουν αναλυτικά πως γίνεται, ακόμα και ένα μικρό παιδί αν το βάλει πείσμα θα το καταφέρει. Αν ψάξεις "hackers bypass face regognition" τα αποτελέσματα είναι σοκαριστικά.

Από τη στιγμή που μεγάλο μέρος από τις απάτες που διαβάζουμε στις εφημερίδες γίνονται με sim cloning μήπως η πρωτοβουλία τους θα δημιουργήσει νέα προβλήματα;

Το passwordless είναι ευκολία και η πρωτοβουλία τους θα φέρει μία μικρή πρόοδο, ο χρήστης που έχει σαν κωδικό τη λέξη password και το γράφει σε ένα υπολογιστή γεμάτο keyloggers θα προστατευτεί παραπάνω και η ζωή του μπορεί να γίνει και λίγο πιο εύκολη. Είναι όμως σαν να λέμε ότι για να σταματήσουν κάποιοι να βάζουν το κλειδί κάτω από το χαλάκι και να χρησιμοποιούν κλειδαριές που δεν είναι ασφαλείας θα καταργήσουμε εντελώς το κλειδί και θα το αντικαταστήσουμε με κάποιο άλλο ελαφρά καλύτερο τρόπο κλειδώματος αντί να βάλουμε και δεύτερη κλειδαριά ασφαλείας, συναγερμό, κάμερες και φύλακα (3FA, av/internet security, encoded/signed mails, vaults).

Μακάρι να ζούσαμε σε εποχές που δεν υπήρχε μεγάλος κίνδυνος όμως σήμερα βλέπουμε τους hackers να εξελίσσονται με ραγδαίο ρυθμό και να χρησιμοποιούν όλο και πιο εξελιγμένα εργαλεία, η συντριπτική πλειονότητα των μεγάλων εταιρειών έχει υποστεί hacking τα τελευταία χρόνια και ο απλός χρήστης είναι εντελώς εκτεθειμένος. Η πρόοδος που βλέπουμε στο κομμάτι της ασφάλειας είναι εντελώς απογοητευτική.

Τέλος (και sorry για το σεντόνι) κατά τη γνώμη μου είναι τραγικό το πόσο στηριζόμαστε σε ένα κινέζικο κινητό που δεν έχει περάσει καμία πιστοποίηση ασφαλείας, αν κάποιος αποκτήσει τον έλεγχο του μπορεί να μας κλέψει τα χρήματα από την τράπεζα, όλα τα προσωπικά μας στοιχεία και να εξαπατήσει τις επαφές μας. Εγώ αισθάνομαι όλο και μεγαλύτερη ανασφάλεια όσο περνάνε τα χρόνια ενώ η εμπιστοσύνη που του δείχνει ο κόσμος συνεχίζει να μεγαλώνει.

Τέτοιες πρωτοβουλίες από λίγους που βελτιώνουν ελαφρά την κατάσταση για λίγους δημιουργώντας ένα ψεύτικο αίσθημα ασφάλειας δεν είναι πραγματική πρόοδος.

Επεξ/σία 7 Μαΐου 2022 από elpenor

[apostolisd]

5 ώρες πριν, elpenor είπε

Mαθήματα cyber safety υπάρχουν ήδη στην Αυστραλία, στις Η.Π.Α. και όλο και σε περισσότερες χώρες. Καταλαβαίνω ότι είναι δύσκολο για τους μεγαλύτερους, ιδίως στη χώρα μας που δεν υπάρχει δια βίου εκπαίδευση, αλλά τουλάχιστον να γίνει μία προσπάθεια.

Οι τράπεζες ήδη έχουν υποχρεώσει τον κόσμο να χρησιμοποιεί 2FA και αρκετές ξένες κρατικές υπηρεσίες 3FA.

Αν ο στόχος της πρωτοβουλίας είναι να διασφαλίσουν ότι ο κόσμος δεν θα χρησιμοποιεί weak passwords γιατί δεν τρέχουν ένα client based script που να μην σου επιτρέπει να βάλεις password που είναι ευάλωτο σε dictionary attacks; Γιατί όταν πας να δημιουργήσεις password δεν υπάρχουν οδηγίες που να εξηγούν ότι δεν κάνει να χρησιμοποιείς προσωπικά στοιχεία που είναι εύκολα προσβάσιμα από τρίτους όπως η ημερομηνία γέννησης του παιδιού σου κλπ... Γιατί δεν κάνουν το 2FA υποχρεωτικό;

Πόσο ασφαλές είναι ένα login που στηρίζεται μόνο στο κινητό; Δεν είναι θέμα χρόνου να μπορούν όλο και περισσότεροι hackers να κάνουν spoof το face regognition; Εδώ και 4 χρόνια υπάρχουν άρθρα που γράφουν αναλυτικά πως γίνεται, ακόμα και ένα μικρό παιδί αν το βάλει πείσμα θα το καταφέρει. Αν ψάξεις "hackers bypass face regognition" τα αποτελέσματα είναι σοκαριστικά.

Από τη στιγμή που μεγάλο μέρος από τις απάτες που διαβάζουμε στις εφημερίδες γίνονται με sim cloning μήπως η πρωτοβουλία τους θα δημιουργήσει νέα προβλήματα;

Το passwordless είναι ευκολία και η πρωτοβουλία τους θα φέρει μία μικρή πρόοδο, ο χρήστης που έχει σαν κωδικό τη λέξη password και το γράφει σε ένα υπολογιστή γεμάτο keyloggers θα προστατευτεί παραπάνω και η ζωή του μπορεί να γίνει και λίγο πιο εύκολη. Είναι όμως σαν να λέμε ότι για να σταματήσουν κάποιοι να βάζουν το κλειδί κάτω από το χαλάκι και να χρησιμοποιούν κλειδαριές που δεν είναι ασφαλείας θα καταργήσουμε εντελώς το κλειδί και θα το αντικαταστήσουμε με κάποιο άλλο ελαφρά καλύτερο τρόπο κλειδώματος αντί να βάλουμε και δεύτερη κλειδαριά ασφαλείας, συναγερμό, κάμερες και φύλακα (3FA, av/internet security, encoded/signed mails, vaults).

Μακάρι να ζούσαμε σε εποχές που δεν υπήρχε μεγάλος κίνδυνος όμως σήμερα βλέπουμε τους hackers να εξελίσσονται με ραγδαίο ρυθμό και να χρησιμοποιούν όλο και πιο εξελιγμένα εργαλεία, η συντριπτική πλειονότητα των μεγάλων εταιρειών έχει υποστεί hacking τα τελευταία χρόνια και ο απλός χρήστης είναι εντελώς εκτεθειμένος. Η πρόοδος που βλέπουμε στο κομμάτι της ασφάλειας είναι εντελώς απογοητευτική.

Τέλος (και sorry για το σεντόνι) κατά τη γνώμη μου είναι τραγικό το πόσο στηριζόμαστε σε ένα κινέζικο κινητό που δεν έχει περάσει καμία πιστοποίηση ασφαλείας, αν κάποιος αποκτήσει τον έλεγχο του μπορεί να μας κλέψει τα χρήματα από την τράπεζα, όλα τα προσωπικά μας στοιχεία και να εξαπατήσει τις επαφές μας. Εγώ αισθάνομαι όλο και μεγαλύτερη ανασφάλεια όσο περνάνε τα χρόνια ενώ η εμπιστοσύνη που του δείχνει ο κόσμος συνεχίζει να μεγαλώνει.

Τέτοιες πρωτοβουλίες από λίγους που βελτιώνουν ελαφρά την κατάσταση για λίγους δημιουργώντας ένα ψεύτικο αίσθημα ασφάλειας δεν είναι πραγματική πρόοδος.

Συγνώμη αλλά επειδή το έγραψες αρκετές φορές, πού διάβασες ότι θα καταργηθεί το 2fa;

[Black Demis]

5 ώρες πριν, elpenor είπε

Mαθήματα cyber safety υπάρχουν ήδη στην Αυστραλία, στις Η.Π.Α. και όλο και σε περισσότερες χώρες. Καταλαβαίνω ότι είναι δύσκολο για τους μεγαλύτερους, ιδίως στη χώρα μας που δεν υπάρχει δια βίου εκπαίδευση, αλλά τουλάχιστον να γίνει μία προσπάθεια.

Οι τράπεζες ήδη έχουν υποχρεώσει τον κόσμο να χρησιμοποιεί 2FA και αρκετές ξένες κρατικές υπηρεσίες 3FA.

Αν ο στόχος της πρωτοβουλίας είναι να διασφαλίσουν ότι ο κόσμος δεν θα χρησιμοποιεί weak passwords γιατί δεν τρέχουν ένα client based script που να μην σου επιτρέπει να βάλεις password που είναι ευάλωτο σε dictionary attacks; Γιατί όταν πας να δημιουργήσεις password δεν υπάρχουν οδηγίες που να εξηγούν ότι δεν κάνει να χρησιμοποιείς προσωπικά στοιχεία που είναι εύκολα προσβάσιμα από τρίτους όπως η ημερομηνία γέννησης του παιδιού σου κλπ... Γιατί δεν κάνουν το 2FA υποχρεωτικό;

Πόσο ασφαλές είναι ένα login που στηρίζεται μόνο στο κινητό; Δεν είναι θέμα χρόνου να μπορούν όλο και περισσότεροι hackers να κάνουν spoof το face regognition; Εδώ και 4 χρόνια υπάρχουν άρθρα που γράφουν αναλυτικά πως γίνεται, ακόμα και ένα μικρό παιδί αν το βάλει πείσμα θα το καταφέρει. Αν ψάξεις "hackers bypass face regognition" τα αποτελέσματα είναι σοκαριστικά.

Από τη στιγμή που μεγάλο μέρος από τις απάτες που διαβάζουμε στις εφημερίδες γίνονται με sim cloning μήπως η πρωτοβουλία τους θα δημιουργήσει νέα προβλήματα;

Το passwordless είναι ευκολία και η πρωτοβουλία τους θα φέρει μία μικρή πρόοδο, ο χρήστης που έχει σαν κωδικό τη λέξη password και το γράφει σε ένα υπολογιστή γεμάτο keyloggers θα προστατευτεί παραπάνω και η ζωή του μπορεί να γίνει και λίγο πιο εύκολη. Είναι όμως σαν να λέμε ότι για να σταματήσουν κάποιοι να βάζουν το κλειδί κάτω από το χαλάκι και να χρησιμοποιούν κλειδαριές που δεν είναι ασφαλείας θα καταργήσουμε εντελώς το κλειδί και θα το αντικαταστήσουμε με κάποιο άλλο ελαφρά καλύτερο τρόπο κλειδώματος αντί να βάλουμε και δεύτερη κλειδαριά ασφαλείας, συναγερμό, κάμερες και φύλακα (3FA, av/internet security, encoded/signed mails, vaults).

Μακάρι να ζούσαμε σε εποχές που δεν υπήρχε μεγάλος κίνδυνος όμως σήμερα βλέπουμε τους hackers να εξελίσσονται με ραγδαίο ρυθμό και να χρησιμοποιούν όλο και πιο εξελιγμένα εργαλεία, η συντριπτική πλειονότητα των μεγάλων εταιρειών έχει υποστεί hacking τα τελευταία χρόνια και ο απλός χρήστης είναι εντελώς εκτεθειμένος. Η πρόοδος που βλέπουμε στο κομμάτι της ασφάλειας είναι εντελώς απογοητευτική.

Τέλος (και sorry για το σεντόνι) κατά τη γνώμη μου είναι τραγικό το πόσο στηριζόμαστε σε ένα κινέζικο κινητό που δεν έχει περάσει καμία πιστοποίηση ασφαλείας, αν κάποιος αποκτήσει τον έλεγχο του μπορεί να μας κλέψει τα χρήματα από την τράπεζα, όλα τα προσωπικά μας στοιχεία και να εξαπατήσει τις επαφές μας. Εγώ αισθάνομαι όλο και μεγαλύτερη ανασφάλεια όσο περνάνε τα χρόνια ενώ η εμπιστοσύνη που του δείχνει ο κόσμος συνεχίζει να μεγαλώνει.

Τέτοιες πρωτοβουλίες από λίγους που βελτιώνουν ελαφρά την κατάσταση για λίγους δημιουργώντας ένα ψεύτικο αίσθημα ασφάλειας δεν είναι πραγματική πρόοδος.

Το πρόβλημα είναι όχι πως να κάνεις 2fa και 2fa και ηχηρός κωδικός κλπ, το πρόβλημα είναι ότι πολλές φορές ο κωδικός ξεχνιέται (εγώ που έχω άμεση σχέση με αυτά πλέον μετά τα 30 άρχισα να ξεχνάω τα πάντα λόγο άγχους στην δουλειά), έτσι είναι και πάρα πολλά άτομα ακόμη. Και το να το σημειώσεις κάτι αυτόματος δημιουργεί τρύπα στην ασφάλεια (μικρή η μεγάλη εξαρτάτε από το πώς και που)  αλλα και πάλι τρύπα

[Mesqal]

Ταλαιπωρία σκέτη. Δεν μας βάζετε ένα τσιπάκι καλύτερα?

 

[astrofos]

Στη 2η έκδοση θα αναβαθμιστεί η τεχνολογία με υποστήριξη ευκολότερης και ασφαλέστερης σύνδεσης με τσιπακι στο χέρι και στην 3η και καλύτερη με χάραγμα χέρι ή στο κεφάλι.

[elpenor]

1 ώρα πριν, apostolisd είπε

Συγνώμη αλλά επειδή το έγραψες αρκετές φορές, πού διάβασες ότι θα καταργηθεί το 2fa;

Ξαναδιάβασα αυτό που έγραψα και δεν αναφέρω πουθενά ότι θα καταργηθεί το 2FA.

Αυτό που γράφω είναι ότι ο νέος τρόπος authentication που προτείνουν θα είναι passwordless και θα γίνεται authenticate μόνο από το κινητό. Η απλή μου λογική λέει ότι αν το login γίνεται μόνο από το κινητό τότε δεν είναι 2FA.

Γενικότερα δεν έχω δει μέχρι σήμερα εφαρμογή passwordless με MFA, όπου χρησιμοποιώ τα hardware keys μου για passwordless login είναι πάντα single-factor, αφού δεν χρησιμοποιείτε κάτι πέρα από το hardware key.

Μπορεί να κάνω λάθος δεν είναι ο τομέας μου, θα ήθελα να διαβάσω κάτι που να δείχνει ότι θα γίνει διαφορετικά και ότι θα υπάρχει περισσότερη ασφάλεια.

57 λεπτά πριν, Black Demis είπε

Το πρόβλημα είναι όχι πως να κάνεις 2fa και 2fa και ηχηρός κωδικός κλπ, το πρόβλημα είναι ότι πολλές φορές ο κωδικός ξεχνιέται (εγώ που έχω άμεση σχέση με αυτά πλέον μετά τα 30 άρχισα να ξεχνάω τα πάντα λόγο άγχους στην δουλειά), έτσι είναι και πάρα πολλά άτομα ακόμη. Και το να το σημειώσεις κάτι αυτόματος δημιουργεί τρύπα στην ασφάλεια (μικρή η μεγάλη εξαρτάτε από το πώς και που)  αλλα και πάλι τρύπα

Όντως κανένας δεν μπορεί να θυμάται ένα κάρο κωδικούς, όμως είναι πραγματικά τόσο δύσκολο να θυμάσαι μία φράση (κατά προτίμηση στα Ελληνικά) και να την γράφεις μία φορά κάθε μέρα στον password manager μαζί με το νούμερο του authenticator από το κινητό όταν θα ανοίγεις το PC σου;

Αν όντως φοβάσαι τόσο ότι θα την ξεχάσεις μπορείς να την γράψεις σε ένα χαρτάκι και να το βάλεις μέσα σε ένα βιβλίο στη βιβλιοθήκη σου, στην τελική και να το βρει κάποιος δεν θα μπορεί να ξεκλειδώσει το password manager αν δεν έχει και το κινητό σου... Σε κάθε περίπτωση είναι μία πολύ μικρότερη τρύπα από το να μην υπάρχει καθόλου κωδικός και να ξεκλειδώνουν όλα μόνο με το κινητό.

Επεξ/σία 7 Μαΐου 2022 από elpenor

[apostolisd]

7 λεπτά πριν, elpenor είπε

Ξαναδιάβασα αυτό που έγραψα και δεν αναφέρω πουθενά ότι θα καταργηθεί το 2FA.

Αυτό που γράφω είναι ότι ο νέος τρόπος authentication που προτείνουν θα είναι passwordless και θα γίνεται authenticate μόνο από το κινητό. Η απλή μου λογική λέει ότι αν το login γίνεται μόνο από το κινητό τότε δεν είναι 2FA.

Γενικότερα δεν έχω δει μέχρι σήμερα εφαρμογή passwordless με MFA, όπου χρησιμοποιώ τα hardware keys μου για passwordless login είναι πάντα single-factor, αφού δεν χρησιμοποιείτε κάτι πέρα από το hardware key.

Μπορεί να κάνω λάθος δεν είναι ο τομέας μου, θα ήθελα να διαβάσω κάτι που να δείχνει ότι θα γίνει διαφορετικά και ότι θα υπάρχει περισσότερη ασφάλεια.

Όντως κανένας δεν μπορεί να θυμάται ένα κάρο κωδικούς, όμως είναι πραγματικά τόσο δύσκολο να θυμάσαι μία φράση (κατά προτίμηση στα Ελληνικά) και να την γράφεις μία φορά κάθε μέρα στον password manager όταν θα ανοίγεις το PC σου;

Ο νέος τρόπος είναι εξ' ορισμού 2FA, καθώς απαιτεί μια δική σου συσκευή (όχι απαραίτητα κινητό) και τον κλασικό τρόπο ταυτοποίησης που χρησιμοποιείς με αυτή τη συσκευή. Για παράδειγμα στο apple ecosystem, ένα iphone και μετά faceId ή ένα mac και touchId. Αντίστοιχα για Surface κτλ. Είναι δε σαφώς πιο ασφαλές από το mainstream 2FA με SMS.

Επίσης το βασικό νόημα είναι η κατάργηση των κωδικών ανά site/platform. Το αν το σύστημα αυτό θα ενισχυθεί με 3FA ή nFA είναι δυνατότητα του κάθε implementor.

[elpenor]

1 ώρα πριν, apostolisd είπε

Ο νέος τρόπος είναι εξ' ορισμού 2FA, καθώς απαιτεί μια δική σου συσκευή (όχι απαραίτητα κινητό) και τον κλασικό τρόπο ταυτοποίησης που χρησιμοποιείς με αυτή τη συσκευή. Για παράδειγμα στο apple ecosystem, ένα iphone και μετά faceId ή ένα mac και touchId. Αντίστοιχα για Surface κτλ. Είναι δε σαφώς πιο ασφαλές από το mainstream 2FA με SMS.

Μην παίζουμε με τις λέξεις, η ουσία είναι ότι με τον τρόπο που προτείνουν όποιος καταφέρει να έχει το κινητό μου ξεκλείδωτο θα έχει πρόσβαση στα πάντα, αυτό εγώ πιστεύω ότι είναι λάθος γιατί τα κινητά μπορούν να ξεκλειδώσουν με διάφορους τρόπους.

Όποιο άρθρο για ασφάλεια αν διαβάσεις από ειδικούς γράφει ότι είναι στοιχειώδες να υπάρχει MFA με out of band authentication, όχι ότι αυτό σε καθιστά ασφαλή αλλά ότι είναι το λιγότερο που μπορείς να κάνεις.

Επίσης αυτά που γράφεις για άλλες συσκευές είναι πιθανά αλλά το άρθρο αναφέρεται στο κινητό γιατί αυτό θα χρησιμοποιήσει το 99% του κόσμου:

Αναφορά σε κείμενο

Όμως το «passwordless sign-in» στην ουσία αξιοποιεί το τηλέφωνο για παράδειγμα ενός χρήστη ως ένα τύπο «hardware key». Στο τηλέφωνο, αποθηκεύεται το «FIDO Passkey», αντίγραφο του οποίου υπάρχει κρυπτογραφημένο online.

1 ώρα πριν, apostolisd είπε

Επίσης το βασικό νόημα είναι η κατάργηση των κωδικών ανά site/platform. Το αν το σύστημα αυτό θα ενισχυθεί με 3FA ή nFA είναι δυνατότητα του κάθε implementor.

Δυνατότητες υπάρχουν φυσικά, το άρθρο όμως αναφέρει ότι το login θα γίνεται passwordless με authentication μόνο από το κινητό. Η όλη συζήτηση γίνεται γύρω από ένα implementation που προτείνουν και όχι για το τι θα μπορούσαν να κάνουν. Η όλη μου αντίρρηση βρίσκεται στο ότι θα αφαιρέσουν τον 1 από τους 3 factors (το something you know) που θεωρώ πολύ σημαντικό γιατί αν το communication channel είναι ασφαλές κανένας δεν μπορεί να αντιγράψει αυτό που έχεις στο μυαλό σου.

Όταν αφαιρείς τον κωδικό από την εξίσωση του MFA ποιοι άλλοι factors μένουν όταν θέλει ο καθημερινός άνθρωπος να κάνει login στο email του; Ουσιαστικά μόνο το hardware key του κινητού του, δηλαδή τίποτα παραπάνω από το να πάρει κάποιος το κινητό σου και να το ξεκλειδώσει.

Περιμένουμε από τις μεγάλες εταιρείες να μας παρέχουν ασφάλεια και ιδιωτικότητα, οι λύσεις υπάρχουν χρόνια, αυτές όμως παίρνουν συνέχεια ημίμετρα με αποτέλεσμα να έχουμε φτάσει στο βαθμό να είναι κάτι φυσιολογικό να σου χακεύουν το email ( 64.800.000 αποτελέσματα σε ένα google search "my email is hacked" και 10.800.000 στο seach "my apple email is hacked") και να διαβάζουμε καθημερινά για ανθρώπους που τους έκλεψαν τα χρήματα από το ebanking. Too little too late.

Επεξ/σία 7 Μαΐου 2022 από elpenor

[mader]

Θα πέσει τρελό χακαρισμα!! 

[elpenor]

1 λεπτό πριν, mader είπε

Θα πέσει τρελό χακαρισμα!! 

Λιγότερο από ότι σήμερα...αλλά εκτιμώ ότι θα ήταν πολύ καλύτερα αν πρόσθεταν το FIDO χωρίς να καταργήσουν τους κωδικούς.

[apostolisd]

59 λεπτά πριν, elpenor είπε

Μην παίζουμε με τις λέξεις, η ουσία είναι ότι με τον τρόπο που προτείνουν όποιος καταφέρει να έχει το κινητό μου ξεκλείδωτο θα έχει πρόσβαση στα πάντα, αυτό εγώ πιστεύω ότι είναι λάθος γιατί τα κινητά μπορούν να ξεκλειδώσουν με διάφορους τρόπους.

Όποιο άρθρο για ασφάλεια αν διαβάσεις από ειδικούς γράφει ότι είναι στοιχειώδες να υπάρχει MFA με out of band authentication, όχι ότι αυτό σε καθιστά ασφαλή αλλά ότι είναι το λιγότερο που μπορείς να κάνεις.

Επίσης αυτά που γράφεις για άλλες συσκευές είναι πιθανά αλλά το άρθρο αναφέρεται στο κινητό γιατί αυτό θα χρησιμοποιήσει το 99% του κόσμου:

Δυνατότητες υπάρχουν φυσικά, το άρθρο όμως αναφέρει ότι το login θα γίνεται passwordless με authentication μόνο από το κινητό. Η όλη συζήτηση γίνεται γύρω από ένα implementation που προτείνουν και όχι για το τι θα μπορούσαν να κάνουν. Η όλη μου αντίρρηση βρίσκεται στο ότι θα αφαιρέσουν τον 1 από τους 3 factors (το something you know) που θεωρώ πολύ σημαντικό γιατί αν το communication channel είναι ασφαλές κανένας δεν μπορεί να αντιγράψει αυτό που έχεις στο μυαλό σου.

Όταν αφαιρείς τον κωδικό από την εξίσωση του MFA ποιοι άλλοι factors μένουν όταν θέλει ο καθημερινός άνθρωπος να κάνει login στο email του; Ουσιαστικά μόνο το hardware key του κινητού του, δηλαδή τίποτα παραπάνω από το να πάρει κάποιος το κινητό σου και να το ξεκλειδώσει.

Περιμένουμε από τις μεγάλες εταιρείες να μας παρέχουν ασφάλεια και ιδιωτικότητα, οι λύσεις υπάρχουν χρόνια, αυτές όμως παίρνουν συνέχεια ημίμετρα με αποτέλεσμα να έχουμε φτάσει στο βαθμό να είναι κάτι φυσιολογικό να σου χακεύουν το email ( 64.800.000 αποτελέσματα σε ένα google search "my email is hacked" και 10.800.000 στο seach "my apple email is hacked") και να διαβάζουμε καθημερινά για ανθρώπους που τους έκλεψαν τα χρήματα από το ebanking. Too little too late.

Δεν παίζει κάποιος με λέξεις, είναι ο ορισμός του 2FA. Ένα private key στο κινητό σου και ένα έξτρα στάδιο εξακρίβωσης. Αν δε σου αρέσει το εκάστοτε face recognition, βάλε κωδικό αντί για αυτό.

Έχω διαβάσει αρκετά τέτοια άρθρα (έχω γράψει και κανά δυο, όχι ότι αλλάζει πολλά στη συζήτηση). Η διαδικασία που περιλαμβάνεται και περιέγραψα ήδη δις, είναι κανονικό 2FA με out of band authentication (κωδικός είτε βιομετρικό).

Το αν κάποιος χρησιμοποιεί μόνο το κινητό δεν αλλάζει κάτι σε σχέση με το πριν, καθώς και πάλι μόνο με το κινητό θα έβαζες τον κωδικό και μετά θα λάμβανες το sms (ή ό,τι άλλο έχεις σετάρει). Ξαναλέμε, αν έχεις κάποιον έξτρα τρόπο με hw key, είναι άσχετο με το παρόν θέμα και μπορείς άνετα να το χρησιμοποιείς όπως παλιά.

Επίσης, άσχετα από τις απόψεις του καθενός, είναι γενικά αποδεκτό ότι το public-key cryptography είναι ό,τι ασφαλέστερο διαθέτουμε τώρα. Οπότε όχι, το something you know δε θα λείψει ιδιαίτερα, ειδικά επειδή πάρα πολύ σπάνια μπορείς να θεωρήσεις ένα κανάλι επικοινωνίας ασφαλές. Ουσιαστικά λοιπόν μειώνεις το ρίσκο των κωδικών στο initial login.

[elpenor]

@apostolisd Δεν το ήξερα ότι είναι αυτός ο ορισμός. Επίσης φυσικά και δέχομαι ότι δεν υπάρχει σήμερα κάτι πιο ασφαλές από το "public-key cryptography" όπως το αναφέρεις.

Η μοναδική μου αντίρρηση είναι για το passwordless και αν κάνω και εδώ κάπου λάθος θα χαρώ να με διορθώσεις. Δεν θα ήταν πιο ασφαλές να μας οδηγούσαν σε μία λύση (πχ να υπάρχει και κωδικός) ώστε αν κάποιος μας πάρει το τηλέφωνο και το ξεκλειδώσει να μην έχει πρόσβαση στα πάντα;

Επεξ/σία 7 Μαΐου 2022 από elpenor

[apostolisd]

6 λεπτά πριν, elpenor είπε

@apostolisd Δεν το ήξερα ότι είναι αυτός ο ορισμός. Επίσης φυσικά και δέχομαι ότι δεν υπάρχει σήμερα κάτι πιο ασφαλές από το "public-key cryptography" όπως το αναφέρεις.

Η μοναδική μου αντίρρηση είναι για το passwordless και αν κάνω και εδώ κάπου λάθος θα χαρώ να με διορθώσεις. Δεν είναι πιο ασφαλές να υπάρχει και ο κωδικός ώστε αν κάποιος μου πάρει το τηλέφωνο και το ξεκλειδώσει να μην έχει πρόσβαση στα πάντα;

Πιο ασφαλές δεν είναι, με την έννοια ότι είναι (τάξεις μεγέθους στατιστικά) πιο εύκολο και πιθανό το να υποκλαπεί/ξεχαστεί ένας κωδικός παρά να κλαπεί ΚΑΙ να παραβιαστεί ο έλεγχος (βιομετρικός ή με κωδικό) ενός κινητού. Από εκεί και πέρα, απαντώντας ακριβώς στην ερώτησή σου, ναι! Τα πάντα είναι πιο ασφαλή με ένα επιπλέον λέβελ ασφάλειας, οπότε ένας έξτρα κωδικός είναι πάντα πιο ασφαλής προσέγγιση (εις βάρος  πιθανώς της ευχρηστίας). Αλλά μόνο ένας κωδικός ή σε συνδυασμό με ένα 2FA όχι, είναι λιγότερο ασφαλές, γενικά.

Στην τελική, πιστεύω ότι τουλάχιστον για τα επόμενα (αρκετά) χρόνια, θα είναι παράλληλα διαθέσιμοι και οι 2 τρόποι αυθεντικοποίησης. Με τον καιρό θα δουν οι εταιρίες/providers τί πάει πιο καλά και τί προτιμάει ο κόσμος και λογικά για λόγους κόστους θα κοπεί κάτι.

Συγνώμη αν φάνηκα απότομος σε κάποιο από τα προηγούμενα μηνύματα, δεν έγινε με κακή διάθεση.