Re[5]: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 13:09
Оценка: 1 (1) +3 -1
Здравствуйте, Shmj, Вы писали:

S>Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом), позволяет забыть про пароли. И при этом не нужен центральный сервис (Google, MS), которые так же в некоторой степени позволяли не создавать отдельные пароли для разных сайтов — но при этом была привязка к центру.


Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?
Re[6]: Passkey - взлетел или нет?
От: so5team https://stiffstream.com
Дата: 25.09.24 13:24
Оценка: 3 (1) +1 -1 :)
Здравствуйте, Pzz, Вы писали:

Pzz>Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?


Вы как в первый раз. Это же Shmj, у него же RSDN -- это ночной горшок и Shmj в этот горшок старательно гадит. Ежедневно и помногу.
Re: Passkey - взлетел или нет?
От: Privalov  
Дата: 25.09.24 09:58
Оценка: 1 (1) :))
Здравствуйте, Shmj, Вы писали:

S>Используете ли вы это? Слышали ли? Нравится ли?


Не слышали. У нас нет времени болтать с разными ИИ.
Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 07:08
Оценка: 1 (1) :)
Слышали ли вы про Passkey

Passkey — это новая технология аутентификации, предназначенная для замены традиционных паролей более безопасными и удобными методами. Она основана на стандартах FIDO2 и WebAuthn, которые используют криптографические ключи для подтверждения личности пользователя без необходимости вводить пароль.


https://en.wikipedia.org/wiki/WebAuthn
https://www.w3.org/TR/webauthn-2/

Попробовать можно тут: https://webauthn.io/

Используете ли вы это? Слышали ли? Нравится ли?
Re[3]: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 08:32
Оценка: 1 (1) +1
Здравствуйте, Shmj, Вы писали:

Pzz>>Чем отличается от OAuth2?


S>OAuth2 совсем другое назначение — это просто доступ к ресурсам для сторонних сервисов. К примеру, некий сервис хочет получить доступ к фоткам в вашем Google Drive.


OAuth2 (1) вводит авторизацию по криптотокенам (2) разделяет инстанцию, которая выдает токен от инстанции, которая пускает или нет (3) хорошо интегрирован в HTTP.

То, что его используют для авторизации доступа к фоткам на гуглодрайве, это лишь частное применение.

В обозримом будующем это станет основная технология для авторизации на принтере. Токен при этом будет выписывать контроллер домена. Это я к тому, что OAuth2 не женат на гуглодрайве.

Итак, повторю вопрос, чем passkey отличается от OAuth2? Не является ли он очередным его частным применением?
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 08:42
Оценка: :))
Здравствуйте, Pzz, Вы писали:

Pzz>OAuth2 (1) вводит авторизацию по криптотокенам (2) разделяет инстанцию, которая выдает токен от инстанции, которая пускает или нет


Passkey предназначен для аутентификации пользователя без использования паролей, в то время как OAuth2 предназначен для авторизации приложений на доступ к ресурсам пользователя.


Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом), позволяет забыть про пароли. И при этом не нужен центральный сервис (Google, MS), которые так же в некоторой степени позволяли не создавать отдельные пароли для разных сайтов — но при этом была привязка к центру.

Т.е. ответ краткий — не будет привязки к центру — не страшно если Google или MS блоконут ваш аккаунт или будут запрещены регистрации в вашей стране.

Сейчас Passkey можно хранить в моб. телефоне — защищенной памяти самого девайса, при этом сможете использовать из любого браузера — можно подтвердить телефоном. Или же использовать специальные брелоки. Так же можно хранить в Google Passwords или Apple Cloud.
Отредактировано 25.09.2024 8:58 Shmj . Предыдущая версия . Еще …
Отредактировано 25.09.2024 8:57 Shmj . Предыдущая версия .
Отредактировано 25.09.2024 8:44 Shmj . Предыдущая версия .
Re[7]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 13:59
Оценка: -2
Здравствуйте, so5team, Вы писали:

S>Вы как в первый раз. Это же Shmj, у него же RSDN -- это ночной горшок и Shmj в этот горшок старательно гадит. Ежедневно и помногу.


Самый простой способ казаться чуточку лучше — это попытаться опустить кого-то другого.
Re[3]: Passkey - взлетел или нет?
От: Privalov  
Дата: 25.09.24 17:26
Оценка: +1 :)
Здравствуйте, Shmj, Вы писали:

S>Причем тут ИИ? Данная технология никак не связана с ИИ.


А разве не ИИ вам рассказал про эту технологию? Ссылки не от него?

S>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.


Но ширина охвата ИИ и знание им всех языков мира не помогли вам разобраться, что это такое. Отсюда и вопрос на форуме. Как и многие другие вопросы. Не так ли?
Re[5]: Passkey - взлетел или нет?
От: pva  
Дата: 25.09.24 19:00
Оценка: 1 (1)
Здравствуйте, Shmj, Вы писали:

pva>>Хром последний.

S>И что у вас не такого окошка: https://download.ru/f/Tz0RYJGv ?

newbie
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 08:27
Оценка: :)
Здравствуйте, Pzz, Вы писали:

Pzz>Чем отличается от OAuth2?


OAuth2 совсем другое назначение — это просто доступ к ресурсам для сторонних сервисов. К примеру, некий сервис хочет получить доступ к фоткам в вашем Google Drive.

А Passkey позволяет вообще отказаться от паролей — зайдите на https://webauthn.io/ , введите имя в поле и нажмите кнопочку регистрации. Потом откройте доп. параметры, поклацайте там и еще раз повторите. Только имя — пароль не нужен.
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 14:20
Оценка: :)
Здравствуйте, Pzz, Вы писали:

S>>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.


Pzz>Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.


У всего должна быть цель. С какой целью мне в этом разбираться и на каком уровне?

Я уже и так понял основные фишки — в браузере нужно вызывать navigator.credentials.create()/navigator.credentials.get(), общение с сервером по HTTP JSON. Есть готовые библиотеки, которые позволяют использовать это на своем сайте без понимания и вникания в протокол.

Когда то была подобная технология Windows Card Space. Я с ней разобрался, но оказалось пустой тратой времени.
Re[5]: Passkey - взлетел или нет?
От: vsb Казахстан  
Дата: 26.09.24 17:21
Оценка: +1
Здравствуйте, Shmj, Вы писали:

vsb>>Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.


S>У меня стоит keepassxc. Он разве интегрируется с браузером?


Конечно.
Re: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 08:19
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Используете ли вы это? Слышали ли? Нравится ли?


Чем отличается от OAuth2?
Re[5]: Passkey - взлетел или нет?
От: Muxa  
Дата: 25.09.24 12:37
Оценка:
S>Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом)

Разве это не ответ на вопрос в заголовке топика?
Re: Passkey - взлетел или нет?
От: pva  
Дата: 25.09.24 13:05
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Используете ли вы это? Слышали ли? Нравится ли?

Нет, не использую. Тыкнул на том сайте регистрацию. Виндовс попросил воткнуть какой-то токен. И где мне его взять?
Короче, может и взлетит, но позже. Когда у всех поголовно TPM будет. Вероятно он от него плясать хочет.
newbie
Re[2]: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 13:11
Оценка:
Здравствуйте, pva, Вы писали:

S>>Используете ли вы это? Слышали ли? Нравится ли?

pva>Нет, не использую. Тыкнул на том сайте регистрацию. Виндовс попросил воткнуть какой-то токен. И где мне его взять?
pva>Короче, может и взлетит, но позже. Когда у всех поголовно TPM будет. Вероятно он от него плясать хочет.

Интересно, какое отношение это имеет к TPM?
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 13:54
Оценка:
Здравствуйте, Privalov, Вы писали:

S>>Используете ли вы это? Слышали ли? Нравится ли?

P>Не слышали. У нас нет времени болтать с разными ИИ.

Причем тут ИИ? Данная технология никак не связана с ИИ.

Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 13:55
Оценка:
Здравствуйте, Muxa, Вы писали:

S>>Грубо говоря — Passkey встроен в разные браузеры и приложения (является стандартом)

M>Разве это не ответ на вопрос в заголовке топика?

Нет. Мало ли всяких стандартов напринимали — но люди голосуют ногами — просто не пользуются и все. С годами стандарт не дорабатывают и в конечном итоге просто заменяют чем-то другим.
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 13:57
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Скажи, дорогой, зачем ты на техническом форуме несешь в народ сообщение о технологии, в которой ты не сделал ни малейшего усилия, чтобы разобраться?


А с чем мне нужно было разбираться? Я включил ее в Binance и позже в www.gate.io. Просто как пользователь использовал, даже не понимая что это вообще такое и как оно работает.

Потом сбросил телефон и не смог использовать ключ, т.к. оказалось что он хранился не в Google Cloud а в защищенной памяти самого девайса, которая сбросилась.

Тут понял что не плохо бы разобраться как оно вообще работает, чтобы не потерять доступ.

А вот на MacOS подобные ключи Passkey хранятся в облаке и я спокойно захожу из любого девайса.
Re[3]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 13:58
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Интересно, какое отношение это имеет к TPM?


В некоторых режимах ключи хранят на девайсе в защищенной памяти, видимо в неизвлекаемом формате. Т.е. сам девайс делает ЭЦП, без возможности извлечь ключ.
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 14:02
Оценка:
Здравствуйте, pva, Вы писали:

pva>Нет, не использую. Тыкнул на том сайте регистрацию. Виндовс попросил воткнуть какой-то токен. И где мне его взять?


Какой браузер у вас?

У меня предоставляет такие возможности: https://download.ru/f/okLfaRjV
Отредактировано 25.09.2024 14:03 Shmj . Предыдущая версия .
Re[7]: Passkey - взлетел или нет?
От: пффф  
Дата: 25.09.24 14:04
Оценка:
Здравствуйте, Shmj, Вы писали:


S>А вот на MacOS подобные ключи Passkey хранятся в облаке и я спокойно захожу из любого девайса.


S>Т.е. ответ краткий — не будет привязки к центру — не страшно если Google или MS блоконут ваш аккаунт или будут запрещены регистрации в вашей стране.





Ну заблочит твой аккаунт эппл, тебе легче станет?
Re[8]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 14:10
Оценка:
Здравствуйте, пффф, Вы писали:

П>Ну заблочит твой аккаунт эппл, тебе легче станет?


Там можно выбрать вариант хранения на девайсе с TPM или на специальных USB-брелоках:

YubiKey 5 NFC
YubiKey 5C
YubiKey 5C NFC
YubiKey 5Ci
YubiKey 5 Nano

Titan Security Key от Google

ePass FIDO2
BioPass FIDO2 (с биометрической аутентификацией)
MultiPass FIDO Security Keys

Thetis FIDO U2F Security Key
Thetis FIDO2

Kensington VeriMark Guard USB-C
Kensington VeriMark USB-A

Solo USB-A
Solo USB-C
Solo Tap (с поддержкой NFC)


В таком случае никто вас заблокировать не сможет.
Re[3]: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 14:12
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.


Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.
Re[9]: Passkey - взлетел или нет?
От: пффф  
Дата: 25.09.24 14:20
Оценка:
Здравствуйте, Shmj, Вы писали:

П>>Ну заблочит твой аккаунт эппл, тебе легче станет?


S>Там можно выбрать вариант хранения на девайсе с TPM или на специальных USB-брелоках:


S>

S>YubiKey 5 NFC
S>YubiKey 5C
S>YubiKey 5C NFC
S>YubiKey 5Ci
S>YubiKey 5 Nano


Юбикей, слышал, используют в Яндексе
Re[10]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 14:22
Оценка:
Здравствуйте, пффф, Вы писали:

П>Юбикей, слышал, используют в Яндексе


Но можно и не покупать девайс — в обычном телефоне есть так же защищенная память. Входите на компьютере — а на телефоне нужно будет отпечатком (для бедных) или FaceId (для солидных людей) подтвердить.

При этом при регистрации браузер даст QR-код, который нужно будет отсканировать телефоном. Сайт об этом ничего не знает — это чисто фишка Passkey
Отредактировано 25.09.2024 14:38 Shmj . Предыдущая версия .
Re[5]: Passkey - взлетел или нет?
От: Pzz Россия https://github.com/alexpevzner
Дата: 25.09.24 14:55
Оценка:
Здравствуйте, Shmj, Вы писали:

Pzz>>Там все стандарты открытые. В принципе, для ИТ-ника разобраться в том, как всё это устроено, на концептуальном уровнее (т.е., без детализации уже до битов) — дело нескольких часов. Это явно быстрее, чем спрашивать по форумам.


S>У всего должна быть цель. С какой целью мне в этом разбираться и на каком уровне?


С целью понимать, как работает то, чем ты пользуешься. Неужели метод псевдонаучного тыка лучше?

Это же касается твоей безопасности. Думаешь, если сам о себе не позаботишься, чужие дяди о тебе позаботятся?

S>Я уже и так понял основные фишки — в браузере нужно вызывать navigator.credentials.create()/navigator.credentials.get(), общение с сервером по HTTP JSON. Есть готовые библиотеки, которые позволяют использовать это на своем сайте без понимания и вникания в протокол.


Ну ты хоть понимаешь, где хранится твой ключ, от кого ты зависишь при выпуске ключа, от кого ты зависишь при использовании ключа, кто, кроме тебя, видит секретную часть твоего ключа, к каким дверям подходит твой ключ, утечет ли твой ключ, если сломают тот сервис, к которому он подходит, какая информация про тебя общедоступна, могут ли два сайта, к которым ты ходишь, пообщаться между собой и выяснить, что ты один и тот же, который к ним ходит?
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 15:43
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Ну ты хоть понимаешь, где хранится твой ключ,


Вот этот момент я не знал, думал что там же где пароли браузера. А оказалось что в паролях его нет, сбросил телефон и уже не смог войти, хотя Google ID тот же самый.

Но сейчас вроде добавили синхронизацию через Google Password Manager. При этом требуют PIN от Google Password Manager — а он у меня вообще не установлен был. Сейчас установил. Будет ли автоматом все синхронизировать или нет — не знаю. Раньше не работало и вообще не ясно было где посмотреть существующий список ключей.

Pzz>от кого ты зависишь при выпуске ключа, от кого ты зависишь при использовании ключа,


Ну там же предлагает варианты. Можно USB-ключ использовать, можно телефон, можно компьютер если есть TPM. На MacOS можно хранить в TPM, но при этом есть синхронизация между девайсами.

Pzz>кто, кроме тебя, видит секретную часть твоего ключа,


Ну сейчас, получается, есть синхронизация между девайсами. Если используете USB-ключи — то никто. А если же механизм Apple или Google Password Manager — то они скачивают себе на сервер ваш ключ, а на устройство его импортируют в неизвлекаемом виде, как я понял. Google Password Manager принуждает установить PIN-код.

Pzz>к каким дверям подходит твой ключ,


Для каждого сервиса — отдельный ключ.

Pzz>утечет ли твой ключ, если сломают тот сервис, к которому он подходит,


Ну это было бы глупо — уже давно везде криптография с открытым ключом.

Pzz>какая информация про тебя общедоступна, могут ли два сайта, к которым ты ходишь, пообщаться между собой и выяснить, что ты один и тот же, который к ним ходит?


Инфа между сервисами не шарится, сервису дают только открытый ключ.
Re: Passkey - взлетел или нет?
От: Константин Б. Россия  
Дата: 25.09.24 16:25
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Слышали ли вы про Passkey


Да

S>https://en.wikipedia.org/wiki/WebAuthn

S>https://www.w3.org/TR/webauthn-2/

S>Попробовать можно тут: https://webauthn.io/


S>Используете ли вы это? Слышали ли? Нравится ли?


Там где есть — да. В сочетании с bitwarden удобно.
Re[3]: Passkey - взлетел или нет?
От: pva  
Дата: 25.09.24 17:11
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Интересно, какое отношение это имеет к TPM?

Эм, я стандарт не читал но интуитивно какая разница использовать ли усб-токен типа юбикея для подписи-проверки или подобную же схему через TPM?
newbie
Re[3]: Passkey - взлетел или нет?
От: pva  
Дата: 25.09.24 17:11
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Какой браузер у вас?

Хром последний.
newbie
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 17:26
Оценка:
Здравствуйте, pva, Вы писали:

S>>Какой браузер у вас?

pva>Хром последний.

И что у вас не такого окошка: https://download.ru/f/Tz0RYJGv ?
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 17:28
Оценка:
Здравствуйте, Privalov, Вы писали:

P>А разве не ИИ вам рассказал про эту технологию? Ссылки не от него?


Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить.

S>>Я впервые столкнулся на Binance с данным типом аутентификации — даже не понял как оно работает и что это такое, потом начал интересоваться. И до сих пор нет ясной картины — там несколько режимов в нее.


P>Но ширина охвата ИИ и знание им всех языков мира не помогли вам разобраться, что это такое. Отсюда и вопрос на форуме. Как и многие другие вопросы. Не так ли?


Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное.

Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось.

В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания???
Re: Passkey - взлетел или нет?
От: vsb Казахстан  
Дата: 25.09.24 17:33
Оценка:
Много где использую. Взлетел, конечно, у клиентов почти везде поддерживается, что тут обсуждать.
Re[5]: Passkey - взлетел или нет?
От: Privalov  
Дата: 25.09.24 17:57
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить.


Но ведь посоветовал кто-то? Я даже догадываюсь, кто.

S>Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное.


Но правильно ли ответил — вопрос. Интересно, а кто может дать желание? Он что, не направил к тому, кто может? Недоработка...

S>Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось.


И на них он тоже ответил?

S>В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания???


И про это он тоже рассказал? Какой охват!
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 19:29
Оценка:
Здравствуйте, vsb, Вы писали:

vsb>Много где использую. Взлетел, конечно, у клиентов почти везде поддерживается, что тут обсуждать.


А вот люди из IT даже не слышали о таком. Чел. проверил в браузере — у него не работает, требует USB-ключ. Почему, кстати?
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 19:32
Оценка:
Здравствуйте, Privalov, Вы писали:

S>>Нет, впервые узнал когда клацал настройки безопасности в Binance — там была такая штука и решил вклчюить.

P>Но ведь посоветовал кто-то? Я даже догадываюсь, кто.

Что именно посоветовал? Покопаться в настройка безопасности Binance? Ну просто пришла туда сумма, решил проверить все ли ОК в настройках.

S>>Он ответил на все вопросы. Но он не может мне дать желание — а желание это главное.

P>Но правильно ли ответил — вопрос. Интересно, а кто может дать желание? Он что, не направил к тому, кто может? Недоработка...

Желание относится к сфере наслаждения и страдания — а это вечно белое пятно — никаких гипотез о том как создать страдающую/наслаждающуюся систему у человечества нет — ноль гипотез даже.

S>>Вот тут пришел, обкашляли, поунижали друг-друга, посмотрел что другие думают и понял что я не так уж плох — и немножко желания ввести еще пару вопросов появилось.

P>И на них он тоже ответил?

Совершенно верно.

Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно.

S>>В корне всего не знание — в корне наслаждение и страдания. Нафиг нужны знания, какой в них смысл — если никто не сможет благодаря этим знаниям насладиться или избежать страдания???

P>И про это он тоже рассказал? Какой охват!

Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает.
Отредактировано 25.09.2024 19:36 Shmj . Предыдущая версия .
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 19:33
Оценка:
Здравствуйте, pva, Вы писали:

pva>>>Хром последний.

S>>И что у вас не такого окошка: https://download.ru/f/Tz0RYJGv ?
pva>Image: 0.jpg
pva>Image: 1.jpg

Интересно почему так. Кто сможет объяснить почему у одних есть а другим не дали?

У меня даже в режиме Инкогнито работает, т.е. не связано с учетной записью Google.
Отредактировано 25.09.2024 19:34 Shmj . Предыдущая версия .
Re[3]: Passkey - взлетел или нет?
От: vsb Казахстан  
Дата: 25.09.24 20:54
Оценка:
Здравствуйте, Shmj, Вы писали:

vsb>>Много где использую. Взлетел, конечно, у клиентов почти везде поддерживается, что тут обсуждать.


S>А вот люди из IT даже не слышали о таком.


Не знаю, за других говорить не хочу. Я про эту технологию слышу уже много лет, где-то с год назад она в Safari появилась и с тех пор на многих сайтах я её использую. Возможно кто-то про неё слышал под названием WebAuthn.

S>Чел. проверил в браузере — у него не работает, требует USB-ключ. Почему, кстати?


Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.
Отредактировано 25.09.2024 20:57 vsb . Предыдущая версия . Еще …
Отредактировано 25.09.2024 20:56 vsb . Предыдущая версия .
Отредактировано 25.09.2024 20:55 vsb . Предыдущая версия .
Отредактировано 25.09.2024 20:55 vsb . Предыдущая версия .
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 25.09.24 21:25
Оценка:
Здравствуйте, vsb, Вы писали:

vsb>Потому, что у него компьютер без TPM. Ещё на линуксе не работает из коробки вообще никак. Но в принципе есть софтовые реализации в bitwarden, keepassxc, должны помочь для такого случая.


У меня стоит keepassxc. Он разве интегрируется с браузером?
Re[7]: Passkey - взлетел или нет?
От: Privalov  
Дата: 26.09.24 06:33
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Что именно посоветовал? Покопаться в настройка безопасности Binance? Ну просто пришла туда сумма, решил проверить все ли ОК в настройках.


Попытаться открыть эту штуку и посмотреть, что это такое.

S>Желание относится к сфере наслаждения и страдания — а это вечно белое пятно — никаких гипотез о том как создать страдающую/наслаждающуюся систему у человечества нет — ноль гипотез даже.


Как-то биологи подключили к мозгу крысы какую-то хрень, воздействтвавшую на центры наслаждения в её мозге. И показали кнопу или педаль, на которую надо нажимать, чтобы получать наслаждение. В итоге крыса умерла. Она ничего больше не хотела, только давить на педаль.

S>Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно.


Это что-то новое. Отвечать на вопросы и не включать мозг? Впрочем, сейчас и в научные журналы такие статьи принимают.

S>Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает.


Это искусственный интеллигент не знает. Потому что не обладает им и не может изучать. Впрочем, он ничего не может изучать.
Re[8]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 26.09.24 07:02
Оценка:
Здравствуйте, Privalov, Вы писали:

P>Как-то биологи подключили к мозгу крысы какую-то хрень, воздействтвавшую на центры наслаждения в её мозге. И показали кнопу или педаль, на которую надо нажимать, чтобы получать наслаждение. В итоге крыса умерла. Она ничего больше не хотела, только давить на педаль.


Это никак не приближает к пониманию механизма наслаждения/страдания. Можно подать наслаждение через привычные паттерны. Можно напрямую. Но сама система, способная наслаждаться и страдать — по прежнему черный ящик. Возможно задействованы некие квантовые эффекты, как считает Пенроуз и ко.

S>>Такие вопросы — это просто выжимка и перевод из документации — т.е. чтобы на них отвечать — интеллект даже не нужен. Просто проиндексировать документацию нужно.

P>Это что-то новое. Отвечать на вопросы и не включать мозг? Впрочем, сейчас и в научные журналы такие статьи принимают.

Смотря какие отделы мозга. Мозг нужно включить даже чтобы стихотворение наизусть выучить, при этом никакой интеллектуально сложной задачи не решается.

S>>Про это у него стоит стандартная заглушка — говорит что у него сознания нет, но что такое сознание — никто не знает.

P>Это искусственный интеллигент не знает. Потому что не обладает им и не может изучать. Впрочем, он ничего не может изучать.

Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.
Re[9]: Passkey - взлетел или нет?
От: Privalov  
Дата: 26.09.24 07:40
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Это никак не приближает к пониманию механизма наслаждения/страдания.


А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.

S>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.


Да-да, когда человек узнает имя бога, наступит конец света.
Re[10]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 26.09.24 07:45
Оценка:
Здравствуйте, Privalov, Вы писали:

P>А какое отношение вся эта писанина имеет к теме? Обсуждается Passkey, если я правильно помню.


Так а зачем вы начали обсуждать ИИ?

S>>Этого никто не знает. Когда ответ будет получен — наша цивилизация прекратит существование.

P>Да-да, когда человек узнает имя бога, наступит конец света.

Возможно это два эквивалентных вопроса, если древние под именем подразумевали суть.
Re[11]: Passkey - взлетел или нет?
От: Privalov  
Дата: 26.09.24 08:03
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Так а зачем вы начали обсуждать ИИ?


В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?
Re[12]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 26.09.24 08:06
Оценка:
Здравствуйте, Privalov, Вы писали:

P>В любом случае я придерживался контекста. Про ИИ я спросил, потому что вы слишком часто его упоминаете, постоянно на него ссылаетесь. Ширина охвата, как у того учёного кота, даже больше. Источник знаний?


ИИ вне контекста тут. А так что угодно натянуть можно.
Re[13]: Passkey - взлетел или нет?
От: Privalov  
Дата: 26.09.24 08:21
Оценка:
Здравствуйте, Shmj, Вы писали:

S>ИИ вне контекста тут. А так что угодно натянуть можно.


Это всё объясянет.
Как можно что-то обсуждать, не придерживаясь контекста? Я в начале просто сказал, что ничего не слышал о предмете обсуждения. Про ИИ упомянул, как я уже писал, потому что вы с ним постоянно общаетесь, и он мог быть источником знаний информации.
Re[14]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 26.09.24 12:08
Оценка:
Здравствуйте, Privalov, Вы писали:

P>Это всё объясянет.

P>Как можно что-то обсуждать, не придерживаясь контекста?

Так тут же не зря древовидная структура. Иногда из одной темы выделяют ветку, если отклонились, но тема достойна обсуждения.
Re[15]: Passkey - взлетел или нет?
От: Privalov  
Дата: 26.09.24 12:40
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Так тут же не зря древовидная структура. Иногда из одной темы выделяют ветку, если отклонились, но тема достойна обсуждения.


И вы этим тут же воспользовались и стали мне рассказывать разную ересь, не имеющую отношения к теме. Которую, на минуточку, вы сами и создали.
Re: Passkey - взлетел или нет?
От: B0FEE664  
Дата: 03.10.24 16:02
Оценка:
Здравствуйте, Shmj, Вы писали:

S>Слышали ли вы про Passkey

S>

S>Passkey — это новая технология аутентификации, предназначенная для замены традиционных паролей более безопасными и удобными методами. Она основана на стандартах FIDO2 и WebAuthn, которые используют криптографические ключи для подтверждения личности пользователя без необходимости вводить пароль.

А что нового? Обычный публичный и приватный ключи.

S>https://en.wikipedia.org/wiki/WebAuthn

S>https://www.w3.org/TR/webauthn-2/
S>Попробовать можно тут: https://webauthn.io/
S>Используете ли вы это?
Не знаю.

S>Слышали ли?

Да.

S>Нравится ли?

Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?
И каждый день — без права на ошибку...
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 03.10.24 19:25
Оценка:
Здравствуйте, B0FEE664, Вы писали:

BFE>А что нового? Обычный публичный и приватный ключи.


Стандарт. Наличие стандарта позволяет разрозненным системам разговаривать на одном языке и понимать друг-друга.

По сути в программировании все зиждется на стандартах и протоколах — это, по сути, умение находить общий язык.

S>>Нравится ли?

BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?

Нужно ввести этот вопрос в GPT — но мне лень. Какая-то защита может быть предусмотрена — как то каждая подпись имеет срок жизни, защита диалога подтверждения — как то нельзя с помощью API OS нажать на кнопку в этом диалоговом окне и т.д.
Re: Passkey - взлетел или нет?
От: zx zpectrum  
Дата: 05.10.24 19:22
Оценка:
Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:

1. Можно единомоментно лишиться телефона, ноутбука и аппаратного токена. И всё, плакал твой доступ.
2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг.
3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто.
4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...
Re[2]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 08.10.24 01:59
Оценка:
Здравствуйте, zx zpectrum, Вы писали:

ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...


Ну в текущей реализации — что Google что Apple что MS — как бы выступают доверительным сервисом, который хранит бекапы ваших закрытых ключей. Т.е. если вы даже теряете все девайсы — все-таки остается способ восстановить из бекапа на новый девайс.

По сути эти 3 монстра — Google, Apple и MS — владельцы ОС — и так знают или могут знать скрытно все ваши пароли — вы им по-любому 100% доверяете безусловно. Так что проблемы нет. Исключение касается тех кто юзает линукс как основную систему, но таких людей мало.

А вот что будет если вы захотите уйти жить в тайгу лет на десять без Starlink и потом вернетесь — тут да, скорее всего вашу учетную запись удалят и придется начинать цифровую жизнь с нуля.
Отредактировано 08.10.2024 2:01 Shmj . Предыдущая версия .
Re[2]: Passkey - взлетел или нет?
От: Константин Б. Россия  
Дата: 08.10.24 18:14
Оценка:
Здравствуйте, B0FEE664, Вы писали:

BFE>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?


Тоже что помешает хакеру поставить свой пароль.
Re[3]: Passkey - взлетел или нет?
От: B0FEE664  
Дата: 08.10.24 18:27
Оценка:
Здравствуйте, Константин Б., Вы писали:

BFE>>Я не понял, что мешает хакеру при наличии доступа к системе пользователя нагенерить себе signed assertions? Незнание PIN? В чём сложность подобрать PIN? Ограниченное число попыток? Значит хакеру очень просто заблокировать любой доступ пользователю?


КБ>Тоже что помешает хакеру поставить свой пароль.


А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).
И каждый день — без права на ошибку...
Re[4]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 08.10.24 18:57
Оценка:
Здравствуйте, B0FEE664, Вы писали:

BFE>А этому ничего не мешает: в любой достаточно большой конторе подходишь к залоченному компьютеру коллеги, три-четыре раза набираешь произвольный пароль при попытке входа и всё: работа коллеги заблокирована на ближайшие полчаса минимум (в зависимости от настроек безопасности).


Но при этом пароль вы не поменяли — просто заблокировали работу.

С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить.

А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.
Re[5]: Passkey - взлетел или нет?
От: B0FEE664  
Дата: 09.10.24 13:49
Оценка:
Здравствуйте, Shmj, Вы писали:

S>С паролем нужно ограничивать кол-во попыток, т.к. кожаные максимум 12 символов могут запомнить.

S>А вот с ключом можно не ограничивать, т.к. легко можно создать ключ, для перебора которого потребуется сжечь всю Вселенную — и даже 1% комбинаций не переберешь.

Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.
И каждый день — без права на ошибку...
Re[6]: Passkey - взлетел или нет?
От: Shmj Ниоткуда  
Дата: 09.10.24 18:15
Оценка:
Здравствуйте, B0FEE664, Вы писали:

BFE>Так это если взламывать ключ, а я про пин-код говорю. Он-то всего 4 цифры, а значит должна быть задержка или количество попыток.


PIN-код можно вводить на защищенном рабочем столе, которы блокирует API операционной системы — чтобы ни хуков на клавиатуру ни доступа к тексту окна — не было, т.е. исключить эти API в данном режиме. Что для обычного пароля сделать не представляется возможным.

Но это защита от вредоносного ПО.

Что же касается защиты от физической атаки, когда атакующий находится с тобой в одной комнате и имеет доступ к компьютеру — то PIN-код даже хуже пароля, т.к. обычно его делают более коротким. Как я понял, сейчас идут по пути безопасной физической среды и опасной интернет-среды, т.е. считается что в твою комнату могут проникнуть только безопасные люди, а вот Интернет по умолчанию опасен.

В том то и фишка — все-равно все в конечном итоге держится на доверии. Доверие как минимум производителям ОС. Доверие коллегам. Ну можно камеру в офисе поставить и потом по попке нахлопать хулигана, который вводит неправильные PIN-коды и блокирует компьютеры.
Re[2]: Passkey - взлетел или нет?
От: Константин Б. Россия  
Дата: 11.10.24 09:09
Оценка:
Здравствуйте, zx zpectrum, Вы писали:

ZZ>Я вот что скажу. Если рассуждать фундаментально, абстрагируясь от мелочей, то технологии беспарольной аутентификации (а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет) — херня на постном масле. По следующим причинам:


ZZ>2. В случае аутентификации отпечатком пальца: можно точно так же лишиться пальца, и всё, ты не только лишился доступа, но его одновременно приобрел твой враг.

ZZ>3. Отпечаток пальца, радужка, голос еще и несменяемые. Враг сделает качественный скан/слепок/запись, и опаньки, ты не можешь эти врожденные факторы сменить. А пароль запросто.
ZZ>4. В случае аутентрификации по SMS: достаточно лишь одного коррумпированного сотрудника опсоса, чтобы всё заверте...

Т.е. по твоему биометрия и sms-аутентификация пока еще не достаточно рапространены?
Ну ладно коррумпированые опсосы — вроде такие случаи действительно бывали. А отрезаные пальцы то где?
Re[2]: Passkey - взлетел или нет?
От: Константин Б. Россия  
Дата: 11.10.24 09:16
Оценка:
Здравствуйте, zx zpectrum, Вы писали:

ZZ>а если брать шире — то все технологии, уводящие секрет из мозга в какой-либо другой орган или предмет


Секреты из мозга кстати тоже крадут А вот тот же passkey не туда ввести не получится.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.