Passkey — это новая технология аутентификации, предназначенная для замены традиционных паролей более безопасными и удобными методами. Она основана на стандартах FIDO2 и WebAuthn, которые используют криптографические ключи для подтверждения личности пользователя без необходимости вводить пароль.
Здравствуйте, Pzz, Вы писали:
Pzz>Чем отличается от OAuth2?
OAuth2 совсем другое назначение — это просто доступ к ресурсам для сторонних сервисов. К примеру, некий сервис хочет получить доступ к фоткам в вашем Google Drive.
А Passkey позволяет вообще отказаться от паролей — зайдите на https://webauthn.io/ , введите имя в поле и нажмите кнопочку регистрации. Потом откройте доп. параметры, поклацайте там и еще раз повторите. Только имя — пароль не нужен.
Здравствуйте, Shmj, Вы писали:
Pzz>>Чем отличается от OAuth2?
S>OAuth2 совсем другое назначение — это просто доступ к ресурсам для сторонних сервисов. К примеру, некий сервис хочет получить доступ к фоткам в вашем Google Drive.
OAuth2 (1) вводит авторизацию по криптотокенам (2) разделяет инстанцию, которая выдает токен от инстанции, которая пускает или нет (3) хорошо интегрирован в HTTP.
То, что его используют для авторизации доступа к фоткам на гуглодрайве, это лишь частное применение.
В обозримом будующем это станет основная технология для авторизации на принтере. Токен при этом будет выписывать контроллер домена. Это я к тому, что OAuth2 не женат на гуглодрайве.
Итак, повторю вопрос, чем passkey отличается от OAuth2? Не является ли он очередным его частным применением?
Здравствуйте, Pzz, Вы писали:
Pzz>OAuth2 (1) вводит авторизацию по криптотокенам (2) разделяет инстанцию, которая выдает токен от инстанции, которая пускает или нет
Passkey предназначен для аутентификации пользователя без использования паролей, в то время как OAuth2 предназначен для авторизации приложений на доступ к ресурсам пользователя.
Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом), позволяет забыть про пароли. И при этом не нужен центральный сервис (Google, MS), которые так же в некоторой степени позволяли не создавать отдельные пароли для разных сайтов — но при этом была привязка к центру.
Т.е. ответ краткий — не будет привязки к центру — не страшно если Google или MS блоконут ваш аккаунт или будут запрещены регистрации в вашей стране.
Сейчас Passkey можно хранить в моб. телефоне — защищенной памяти самого девайса, при этом сможете использовать из любого браузера — можно подтвердить телефоном. Или же использовать специальные брелоки. Так же можно хранить в Google Passwords или Apple Cloud.
Здравствуйте, Shmj, Вы писали:
S>Используете ли вы это? Слышали ли? Нравится ли?
Нет, не использую. Тыкнул на том сайте регистрацию. Виндовс попросил воткнуть какой-то токен. И где мне его взять?
Короче, может и взлетит, но позже. Когда у всех поголовно TPM будет. Вероятно он от него плясать хочет.
Здравствуйте, Shmj, Вы писали:
S>Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом), позволяет забыть про пароли. И при этом не нужен центральный сервис (Google, MS), которые так же в некоторой степени позволяли не создавать отдельные пароли для разных сайтов — но при этом была привязка к центру.
Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?
Здравствуйте, pva, Вы писали:
S>>Используете ли вы это? Слышали ли? Нравится ли? pva>Нет, не использую. Тыкнул на том сайте регистрацию. Виндовс попросил воткнуть какой-то токен. И где мне его взять? pva>Короче, может и взлетит, но позже. Когда у всех поголовно TPM будет. Вероятно он от него плясать хочет.
Здравствуйте, Pzz, Вы писали:
Pzz>Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?
Вы как в первый раз. Это же Shmj, у него же RSDN -- это ночной горшок и Shmj в этот горшок старательно гадит. Ежедневно и помногу.
Здравствуйте, Privalov, Вы писали:
S>>Используете ли вы это? Слышали ли? Нравится ли? P>Не слышали. У нас нет времени болтать с разными ИИ.
Причем тут ИИ? Данная технология никак не связана с ИИ.
Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
Здравствуйте, Muxa, Вы писали:
S>>Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом) M>Разве это не ответ на вопрос в заголовке топика?
Нет. Мало ли всяких стандартов напринимали — но люди голосуют ногами — просто не пользуются и все. С годами стандарт не дорабатывают и в конечном итоге просто заменяют чем-то другим.
Здравствуйте, Pzz, Вы писали:
Pzz>Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?
А с чем мне нужно было разбираться? Я включил ее в Binance и позже в www.gate.io. Просто как пользователь использовал, даже не понимая что это вообще такое и как оно работает.
Потом сбросил телефон и не смог использовать ключ, т.к. оказалось что он хранился не в Google Cloud а в защищенной памяти самого девайса, которая сбросилась.
Тут понял что не плохо бы разобраться как оно вообще работает, чтобы не потерять доступ.
А вот на MacOS подобные ключи Passkey хранятся в облаке и я спокойно захожу из любого девайса.
Здравствуйте, Pzz, Вы писали:
Pzz>Интересно, какое отношение это имеет к TPM?
В некоторых режимах ключи хранят на девайсе в защищенной памяти, видимо в неизвлекаемом формате. Т.е. сам девайс делает ЭЦП, без возможности извлечь ключ.
Здравствуйте, so5team, Вы писали:
S>Вы как в первый раз. Это же Shmj, у него же RSDN -- это ночной горшок и Shmj в этот горшок старательно гадит. Ежедневно и помногу.
Самый простой способ казаться чуточку лучше — это попытаться опустить кого-то другого.
Здравствуйте, Shmj, Вы писали:
S>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.
Здравствуйте, Pzz, Вы писали:
S>>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
Pzz>Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.
У всего должна быть цель. С какой целью мне в этом разбираться и на каком уровне?
Я уже и так понял основные фишки — в браузере нужно вызывать navigator.credentials.create()/navigator.credentials.get(), общение с сервером по HTTP JSON. Есть готовые библиотеки, которые позволяют использовать это на своем сайте без понимания и вникания в протокол.
Когда то была подобная технология Windows Card Space. Я с ней разобрался, но оказалось пустой тратой времени.
Здравствуйте, Shmj, Вы писали:
П>>Ну заблочит твой аккаунт эппл, тебе легче станет?
S>Там можно выбрать вариант хранения на девайсе с TPM или на специальных USB-брелоках:
S>
Здравствуйте, пффф, Вы писали:
П>Юбикей, слышал, используют в Яндексе
Но можно и не покупать девайс — в обычном телефоне есть так же защищенная память. Входите на компьютере — а на телефоне нужно будет отпечатком (для бедных) или FaceId (для солидных людей) подтвердить.
При этом при регистрации браузер даст QR-код, который нужно будет отсканировать телефоном. Сайт об этом ничего не знает — это чисто фишка Passkey
Здравствуйте, Shmj, Вы писали:
Pzz>>Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.
S>У всего должна быть цель. С какой целью мне в этом разбираться и на каком уровне?
С целью понимать, как работает то, чем ты пользуешься. Неужели метод псевдонаучного тыка лучше?
Это же касается твоей безопасности. Думаешь, если сам о себе не позаботишься, чужие дяди о тебе позаботятся?
S>Я уже и так понял основные фишки — в браузере нужно вызывать navigator.credentials.create()/navigator.credentials.get(), общение с сервером по HTTP JSON. Есть готовые библиотеки, которые позволяют использовать это на своем сайте без понимания и вникания в протокол.
Ну ты хоть понимаешь, где хранится твой ключ, от кого ты зависишь при выпуске ключа, от кого ты зависишь при использовании ключа, кто, кроме тебя, видит секретную часть твоего ключа, к каким дверям подходит твой ключ, утечет ли твой ключ, если сломают тот сервис, к которому он подходит, какая информация про тебя общедоступна, могут ли два сайта, к которым ты ходишь, пообщаться между собой и выяснить, что ты один и тот же, который к ним ходит?
Здравствуйте, Pzz, Вы писали:
Pzz>Ну ты хоть понимаешь, где хранится твой ключ,
Вот этот момент я не знал, думал что там же где пароли браузера. А оказалось что в паролях его нет, сбросил телефон и уже не смог войти, хотя Google ID тот же самый.
Но сейчас вроде добавили синхронизацию через Google Password Manager. При этом требуют PIN от Google Password Manager — а он у меня вообще не установлен был. Сейчас установил. Будет ли автоматом все синхронизировать или нет — не знаю. Раньше не работало и вообще не ясно было где посмотреть существующий список ключей.
Pzz>от кого ты зависишь при выпуске ключа, от кого ты зависишь при использовании ключа,
Ну там же предлагает варианты. Можно USB-ключ использовать, можно телефон, можно компьютер если есть TPM. На MacOS можно хранить в TPM, но при этом есть синхронизация между девайсами.
Pzz>кто, кроме тебя, видит секретную часть твоего ключа,
Ну сейчас, получается, есть синхронизация между девайсами. Если используете USB-ключи — то никто. А если же механизм Apple или Google Password Manager — то они скачивают себе на сервер ваш ключ, а на устройство его импортируют в неизвлекаемом виде, как я понял. Google Password Manager принуждает установить PIN-код.
Pzz>к каким дверям подходит твой ключ,
Для каждого сервиса — отдельный ключ.
Pzz>утечет ли твой ключ, если сломают тот сервис, к которому он подходит,
Ну это было бы глупо — уже давно везде криптография с открытым ключом.
Pzz>какая информация про тебя общедоступна, могут ли два сайта, к которым ты ходишь, пообщаться между собой и выяснить, что ты один и тот же, который к ним ходит?
Инфа между сервисами не шарится, сервису дают только открытый ключ.
Здравствуйте, Pzz, Вы писали:
Pzz>Интересно, какое отношение это имеет к TPM?
Эм, я стандарт не читал но интуитивно какая разница использовать ли усб-токен типа юбикея для подписи-проверки или подобную же схему через TPM?
Здравствуйте, Shmj, Вы писали:
S>Причем тут ИИ? Данная технология никак не связана с ИИ.
А разве не ИИ вам рассказал про эту технологию? Ссылки не от него?
S>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
Но ширина охвата ИИ и знание им всех языков мира не помогли вам разобраться, что это такое. Отсюда и вопрос на форуме. Как и многие другие вопросы. Не так ли?
Здравствуйте, Privalov, Вы писали:
P>А разве не ИИ вам рассказал про эту технологию? Ссылки не от него?
Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить.
S>>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
P>Но ширина охвата ИИ и знание им всех языков мира не помогли вам разобраться, что это такое. Отсюда и вопрос на форуме. Как и многие другие вопросы. Не так ли?
Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное.
Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось.
В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания???
Здравствуйте, Shmj, Вы писали:
S>Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить.
Но ведь посоветовал кто-то? Я даже догадываюсь, кто.
S>Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное.
Но правильно ли ответил — вопрос. Интересно, а кто может дать желание? Он что, не направил к тому, кто может? Недоработка...
S>Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось.
И на них он тоже ответил?
S>В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания???
Здравствуйте, Privalov, Вы писали:
S>>Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить. P>Но ведь посоветовал кто-то? Я даже догадываюсь, кто.
Что именно посоветовал? Покопаться в настройка безопасности Binance? Ну просто пришла туда сумма, решил проверить все ли ОК в настройках.
S>>Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное. P>Но правильно ли ответил — вопрос. Интересно, а кто может дать желание? Он что, не направил к тому, кто может? Недоработка...
Желание относится к сфере наслаждения и страдания — а это вечно белое пятно — никаких гипотез о том как создать страдающую/наслаждающуюся систему у человечества нет — ноль гипотез даже.
S>>Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось. P>И на них он тоже ответил?
Совершенно верно.
Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно.
S>>В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания??? P>И про это он тоже рассказал? Какой охват!
Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает.
Здравствуйте, Shmj, Вы писали:
vsb>>Много где использую. Взлетел, конечно, у клиентов почти везде поддерживается, что тут обсуждать.
S>А вот люди из IT даже не слышали о таком.
Не знаю, за других говорить не хочу. Я про эту технологию слышу уже много лет, где-то с год назад она в Safari появилась и с тех пор на многих сайтах я её использую. Возможно кто-то про неё слышал под названием WebAuthn.
S>Чел. проверил в браузере — у него не работает, требует USB-ключ. Почему, кстати?
Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.
Здравствуйте, vsb, Вы писали:
vsb>Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.
У меня стоит keepassxc. Он разве интегрируется с браузером?
Здравствуйте, Shmj, Вы писали:
S>Что именно посоветовал? Покопаться в настройка безопасности Binance? Ну просто пришла туда сумма, решил проверить все ли ОК в настройках.
Попытаться открыть эту штуку и посмотреть, что это такое.
S>Желание относится к сфере наслаждения и страдания — а это вечно белое пятно — никаких гипотез о том как создать страдающую/наслаждающуюся систему у человечества нет — ноль гипотез даже.
Как-то биологи подключили к мозгу крысы какую-то хрень, воздействтвавшую на центры наслаждения в её мозге. И показали кнопу или педаль, на которую надо нажимать, чтобы получать наслаждение. В итоге крыса умерла. Она ничего больше не хотела, только давить на педаль.
S>Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно.
Это что-то новое. Отвечать на вопросы и не включать мозг? Впрочем, сейчас и в научные журналы такие статьи принимают.
S>Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает.
Это искусственный интеллигент не знает. Потому что не обладает им и не может изучать. Впрочем, он ничего не может изучать.
Здравствуйте, Privalov, Вы писали:
P>Как-то биологи подключили к мозгу крысы какую-то хрень, воздействтвавшую на центры наслаждения в её мозге. И показали кнопу или педаль, на которую надо нажимать, чтобы получать наслаждение. В итоге крыса умерла. Она ничего больше не хотела, только давить на педаль.
Это никак не приближает к пониманию механизма наслаждения/страдания. Можно подать наслаждение через привычные паттерны. Можно напрямую. Но сама система, способная наслаждаться и страдать — по прежнему черный ящик. Возможно задействованы некие квантовые эффекты, как считает Пенроуз и ко.
S>>Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно. P>Это что-то новое. Отвечать на вопросы и не включать мозг? Впрочем, сейчас и в научные журналы такие статьи принимают.
Смотря какие отделы мозга. Мозг нужно включить даже чтобы стихотворение наизусть выучить, при этом никакой интеллектуально сложной задачи не решается.
S>>Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает. P>Это искусственный интеллигент не знает. Потому что не обладает им и не может изучать. Впрочем, он ничего не может изучать.
Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.
Здравствуйте, Shmj, Вы писали:
S>Это никак не приближает к пониманию механизма наслаждения/страдания.
А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.
S>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.
Да-да, когда человек узнает имя бога, наступит конец света.
Здравствуйте, Privalov, Вы писали:
P>А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.
Так а зачем вы начали обсуждать ИИ?
S>>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование. P>Да-да, когда человек узнает имя бога, наступит конец света.
Возможно это два эквивалентных вопроса, если древние под именем подразумевали суть.
Здравствуйте, Shmj, Вы писали:
S>Так а зачем вы начали обсуждать ИИ?
В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?
Здравствуйте, Privalov, Вы писали:
P>В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?
ИИ вне контекста тут. А так что угодно натянуть можно.
Здравствуйте, Shmj, Вы писали:
S>ИИ вне контекста тут. А так что угодно натянуть можно.
Это всё объясянет.
Как можно что-то обсуждать, не придерживаясь контекста? Я в начале просто сказал, что ничего не слышал о предмете обсуждения. Про ИИ упомянул, как я уже писал, потому что вы с ним постоянно общаетесь, и он мог быть источником знаний информации.
Здравствуйте, Shmj, Вы писали:
S>Так тут же не зря древовидная структура. Иногда из одной темы выделяют ветку, если отклонились, но тема достойна обсуждения.
И вы этим тут же воспользовались и стали мне рассказывать разную ересь, не имеющую отношения к теме. Которую, на минуточку, вы сами и создали.
Здравствуйте, Shmj, Вы писали:
vsb>>Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.
S>У меня стоит keepassxc. Он разве интегрируется с браузером?
Здравствуйте, Shmj, Вы писали:
S>Слышали ли вы про Passkey S>
S>Passkey — это новая технология аутентификации, предназначенная для замены традиционных паролей более безопасными и удобными методами. Она основана на стандартах FIDO2 и WebAuthn, которые используют криптографические ключи для подтверждения личности пользователя без необходимости вводить пароль.
А что нового? Обычный публичный и приватный ключи.
S>https://en.wikipedia.org/wiki/WebAuthn S>https://www.w3.org/TR/webauthn-2/ S>Попробовать можно тут: https://webauthn.io/ S>Используете ли вы это?
Не знаю.
S>Слышали ли?
Да.
S>Нравится ли?
Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Здравствуйте, B0FEE664, Вы писали:
BFE>А что нового? Обычный публичный и приватный ключи.
Стандарт. Наличие стандарта позволяет разрозненным системам разговаривать на одном языке и понимать друг-друга.
По сути в программировании все зиждется на стандартах и протоколах — это, по сути, умение находить общий язык.
S>>Нравится ли? BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Нужно ввести этот вопрос в GPT — но мне лень. Какая-то защита может быть предусмотрена — как то каждая подпись имеет срок жизни, защита диалога подтверждения — как то нельзя с помощью API OS нажать на кнопку в этом диалоговом окне и т.д.
Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:
1. Можно единомоментно лишиться телефона, ноутбука и аппаратного токена. И всё, плакал твой доступ.
2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг.
3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто.
4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Здравствуйте, zx zpectrum, Вы писали:
ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Ну в текущей реализации — что Google что Apple что MS — как бы выступают доверительным сервисом, который хранит бекапы ваших закрытых ключей. Т.е. если вы даже теряете все девайсы — все-таки остается способ восстановить из бекапа на новый девайс.
По сути эти 3 монстра — Google, Apple и MS — владельцы ОС — и так знают или могут знать скрытно все ваши пароли — вы им по-любому 100% доверяете безусловно. Так что проблемы нет. Исключение касается тех кто юзает линукс как основную систему, но таких людей мало.
А вот что будет если вы захотите уйти жить в тайгу лет на десять без Starlink и потом вернетесь — тут да, скорее всего вашу учетную запись удалят и придется начинать цифровую жизнь с нуля.
Здравствуйте, B0FEE664, Вы писали:
BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
Здравствуйте, Константин Б., Вы писали:
BFE>>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
КБ>Тоже что помешает хакеру поставить свой пароль.
А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).
Здравствуйте, B0FEE664, Вы писали:
BFE>А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).
Но при этом пароль вы не поменяли — просто заблокировали работу.
С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить.
А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.
Здравствуйте, Shmj, Вы писали:
S>С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить. S>А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.
Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.
Здравствуйте, B0FEE664, Вы писали:
BFE>Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.
PIN-код можно вводить на защищенном рабочем столе, которы блокирует API операционной системы — чтобы ни хуков на клавиатуру ни доступа к тексту окна — не было, т.е. исключить эти API в данном режиме. Что для обычного пароля сделать не представляется возможным.
Но это защита от вредоносного ПО.
Что же касается защиты от физической атаки, когда атакующий находится с тобой в одной комнате и имеет доступ к компьютеру — то PIN-код даже хуже пароля, т.к. обычно его делают более коротким. Как я понял, сейчас идут по пути безопасной физической среды и опасной интернет-среды, т.е. считается что в твою комнату могут проникнуть только безопасные люди, а вот Интернет по умолчанию опасен.
В том то и фишка — все-равно все в конечном итоге держится на доверии. Доверие как минимум производителям ОС. Доверие коллегам. Ну можно камеру в офисе поставить и потом по попке нахлопать хулигана, который вводит неправильные PIN-коды и блокирует компьютеры.
Здравствуйте, zx zpectrum, Вы писали:
ZZ>Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:
ZZ>2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг. ZZ>3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто. ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Т.е. по твоему биометрия и sms-аутентификация пока еще не достаточно рапространены?
Ну ладно коррумпированые опсосы — вроде такие случаи действительно бывали. А отрезаные пальцы то где?
