Za Googleove račune passkey je sada primarni izbor

Ako ti netko ukrade lozinku, a ona ti je jedina metoda zaštite - ući će ti u korisnički račun bez problema.

Podaci o licu i otiscima prstiju ne čuvaju se kao opisni podaci, već kao hash, i samo s njima u pravilu se ne može ništa. Passkey koji se prilikom prijave generira na temelju tog hasha vezan je za hardverski "potpis" uređaja na kojem se logiraš. Dakle, mnogo je sigurnije imati PIN na računalu i/ili biometrijsku prijavu nego običnu lozinku, jer bi ti netko morao "ukrasti" i lice i uređaj da se uspješno ulogira u račun umjesto tebe.

Evo jednostavnog objašnjenja u videu:

Pitanje je bilo postavljeno o krađi lozinke ili biometrijskih podataka iz baze podataka, a ne o krađi fizičkih otisaka sa slike. Ali, sve da ga ovako i ukrade, što netko može učiniti s Ursulinim (ili tvojim) otiskom prsta, ako nema u posjedu i pripadajući mobitel?

-biometrija ili otisak su ok, zvuče kao 'siguran' način, no kao i sve ostalo postoji baza, pristup a tad i mogućnost da netko treći dođe do tih podataka... tad je to veći problem nego klasičan pass, tj pass se može po potrebi promijeniti, može i rutinski npr svakih 90 dana kao što može po incidentu ili otkazu djelatnika.. biometrija i otisak su trajni, tj jednom kad su kompromitirani to je to.. nema fixa.

-odvojeno od tog je pitanje što netko s time može napraviti (ako nema mobitel..) npr možemo imati nečiji ključ auta-stana.. ako nemamo auto-stan ili ne znamo gdje se nalazi tad nam je beskorisno, no možemo.. a s računalnim passovima je to neka online usluga-servis, time 'traženje' nije problem kao pronaći auto-stan i fizički doći do njega, npr gmail ... a gmail se često koristi kao autentifikator za ostale usluge-servise, tj često je dovoljno da padne jedan, pa padnu svi-ostali.. i daleko lakše računalno nego u fizičkom svijetu (čisto pronaći auto i doći fizički do njega.. npr u tokiyu-newyorku-zagrebu.. ne u lokalnoj ulici kad znamo čiji je ključ no tad je krađa ključa ograničena na vrlo (ili relativno) mali broj ljudi koji to mogu iskoristiti opet nasurot tome je internet-online, servisi kao banking.. globalizacija.

-biometrija-otisak su lošije riješenje od passa upravo zbog nepromjenjivosti, tj sve dok je baza sigruna tad su ok.. no sigurnosti nema, samo je pitanje kad koij incident otkrijemo ili još nismo otkrili..

-naravno, ako gledamo npr bruteforce tad pass može imati težinu-kvalitetu.. lakše je probiti pass 1234, brže, no može ga se promijeniti bilo kad, npr ako se svaki dan mijenja tad je beskoristan onom tko ga sazna jer već sutra ne vrijedi dok se uvijek može postaviti dovoljno otporan-kompliciran koji traži superračunala za brutanje u realno razumnom roku... zato je pass bolji, otisak je loš.

+ pogotovo na početnim serijama mobitela koji su u problemu prepoznavanja imali baypass tj palcebo tj svaki otisak je otvarao mob jer nisu imali dovoljno dobar sys-algoritam i problem kad juzer ne može otključati vlastiti mob vlastitim otiskom.. onak, rupa (ne propust-greška jer su to znali) no dok je nepoznato ostalima može proći.. no uvjek se sazna i tad eto problema koji je tad neriješiv osim povratka na klasičan pass .. no što kad servisi pređu na otisak i ne nude pass-pin-tipkanje... npr kao plaćanje kešom ili karticom, što-kad-ako... što tad?

 Ili PIN.

Da, ozbiljno pitam. Što će učiniti samo sa slikom otiska prsta? Napravit će možda silikonsku repliku uz mnogo truda i onda...? Skoknuti do zgrade Europske komisije pa tražiti čitače na koje se Ursula prijavljuje baš tim prstom, ali da ga nitko ne skuži?

Prednost biometrijskog passkeya je upravo u tome da ti treba tvoj otisak i tvoj uređaj, na kojem si ga prijavio. Ako ti ne ukrade mobitel, svejedno mu je čiju kopiju otiska prsta ima.

OK, to znači da za sigurnost zapravo jamči mobitel (nema drugih uređaja koji bi nudili istu funkcionalnost i imali praktičnost mobitela).

No, kakva je ovo priča "na stolnom računalu (gdje gotovo nitko nema čitač otisaka prsta) otključavat će se PIN-om"!?!?
Otkad je PIN sigurniji od zaporke?

PIN mi je uvalio Microsoft s novom verzijom Windowsa i sklopovske platforme za otiske prsta - prisilio me da uz zaporku upišem i PIN s kojim se računalo može otključati. Zašto?!?!
Odgovor je: "zato da bi mogli koristiti čitač otisaka prsta"???

Upisao sam PIN od 20-ak znamenki i nisam se potrudio ni zapisati ga. Hvala, ne. Kad mi je čitač otisaka prsta izvan dometa ili mi se ne dižu ruke s tipkovnice, upisujem zaporku kao uvijek dosad.

Drugi, meni bitan, aspekt jest što je s gubitkom, kvarom i razbijanjem mobitela?

U mojoj okolini, ljudi gube mobitele, kvare se (matična ploča!) ili se razbiju do stupnja da više nisu upotrebljivi.

Stoga, da korisnik ne bi izgubio sve svoje podatke ipak će trebati neka zaporka za tu situaciju, zar ne?!

Ili je Google smislio neki meni nepoznati način za rješavanje tog problema?

A ako postoji makar jedan put do toga da se zaporka koristi, onda praktički nisu ništa napravili jer će hackeri upravo taj put koristiti.

Konačno, nekakav certifikat, javni ključ, morat će biti zapisan negdje na poslužiteljima velikih IT tvrtki.

Dosad smo svjedočili tome da su se podaci krali (LastPass!!!) - hoće li ovim potezom Google postati zanimljiviji cilj hackerima?

Kod LastPassa problem je bio što su ljudi imali vlastiti "master password" koji ako nije bio dovoljno siguran, mogao se probiti brute forceom za koji, nakon skidanja baze s poslužitelja, hackeri imaju "svo vrijeme svijeta".

Razumijem da s privatnim i javnim ključevima nije tako jednostavna situacija, no primjer LastPassa ukazuje na jedan problem.

Ako Google postane glavni "security provider", onda će privući znatnu pažnju hackera. Ako oni uspiju pronaći ikakvu rupu u sustavu, onda preko noći cijeli sustav sigurnosti pada za sve korisnike! Ne samo za one koji su "password" ili "1234" koristili za svoju zaporku i to na, vjerojatno, mjestima koja im nisu posebno bitna.

Vidim da se ovdje uvode ozbiljni rizici zbog čudnih motiva - da ljudi ne bi morali smišljati složene zaporke i potom ih pamtiti.

Međutim, u tu svrhu već postoje aplikativna rješenja (npr. KeePass) - kod takvih rješenja dovoljno je zapamtiti glavnu zaporku koja bi trebala biti duga i složena, a ostale su pohranjene u aplikaciji.

 Uvijek treba biti više načina prijave. Kod Googlea imaš one rezervne kodove, samo tko ih je preuzeo na svoje računalo ili ne daj bože isprintao i stavio u neki fascikl.

Kada rikne mobitel, ukradu ga ili ga izgubiš, to postaje sve veći problem, ovisno o tome što imaš na njemu. Godinama sam se borio i protivio m-bankarstvu. Pokvario mi se fizički token banke. Banka me vesla preko godinu dana za novi koji neće dati. Jer su objavili kako će u 2024. ukinuti sve fizičke tokene. I ostaje onaj u sklopu m-bankarstva na mobitelu. Neka se nešto dogodi mobitelu, a da ne mogu napraviti transfer aplikacije m-bankastva s jednog na drugi mobitel QR kodom, moram do banke. Dio poslovnica radi samo u jednoj smjeni, sve manje ih radi subotom i nisu sve svima blizu mjesta stanovanja. To je samo jedan primjer.

Najbolje je nabavit Yubikey i miran si.

Jedino je bed,trebal bi imat 2 komada.

Yubikey 5 je 63 Eura..dosta skupo.

 Da, kradu se otisci i njima se hakiraju uređaji (teško, ali nekad izvedivo, kako piše i na tom linku). No, ono o čemu ja pišem od početka threada, jer je takvo pitanje bilo postavljeno: situacija kad ti netko ukrade user+pass je neusporedivo opasnija nego da ti netko ukrade user+fingerprint. S prvim preko Interneta može u teoriji do svih tvojih računa, u drugom slučaju ti mora ukrasti i uređaj (ili mu nekako fizički pristupiti).

Otprilike kao da kažeš da je krađa PIN-a kartice opasna. Jest, iznimno, ali samo ako imaš i broj kartice. Evo, moj PIN za Mastercard je 0355 - što ćeš s njim? Ništa, kao niti s otiskom prsta 

Ne trolam, nego odgovaram na pitanje iz prvog posta. Samo sam htio objasniti forumašu stirko55 da je sigurniji ako mu netko ukrade SAMO hash podatke o otisku prsta nego da mu ukrade SAMO lozinku. To je sve, a o krađi uređaja i bilo kojeg od tih podataka zajedno si ti pisao, ja nikad nisam rekao da je išta od toga bezopasno  I da, 100% se slažem s tobom, a i upoznat sam sa svim slučajevima koje si naveo (imam ih nekoliko i u bližoj obitelji, ljudi koji su nasjeli na razne sheme ili bili žrtvom krađe kartice + PIN-a u novčaniku ). Još jedan argument u prilog korištenja biometrije: u kafiću mi netko može preko ramena vidjeti PIN i onda ukrasti mobitel kad se napijem... ali ako otključavam telefon licem ili prstom, mora mi uz mobitel ukrasti i lice ili prst :)

Da zaključim, treba paziti na sebe, svoje kartice, mobitele i PIN-ove te postaviti 2FA gdje god je to moguće, da pošteni ljudi ne dođu u napast. Ako te pak netko od vrlo sposobnih hakera uzme za metu, male su ti šanse u svakom slučaju...

 Forumaši zaista jako zabrinuti što organi vlasti od istih mogu doznati...

 Nisu problem organi vlasti kao sustav, nego pojedinci u tim organima vlasti koje netko za honorar koristi u svoje mračne svrhe ("Policajac im za 200 eura otkrivao podatke" - https://zadarskilist.novilist.hr/novosti/hrvatska/otimali-nekretnine-nasljednicima-preminulih-pa-zaradili-2-300-000-eura)

Stvarno je više naporan ovaj forum. Borbe s vjetrenjačama na 29/30 tema. 

 Oko privatnosti se 0-24h lome koplja tj. raspravlja se gdje je granica i kada ju treba prijeći u koristi sigurnosti svih. Valjda je svim jasno da privatnost na internetu ne postoji. Primjer? Ovo što se sada zbiva u Izraelu.

Desetorostruko povećanje napada koji iskorištavaju 'zamor od multifaktorske autentifikacije'

MFA, odnosno multifaktorska autentifikacija je sve uobičajenija metoda autentifikacije koja od korisnika traži da pruže dva ili više 'faktora' identifikacije da bi dobili pristup web stranici ili aplikaciji - kao što je, na primjer, lozinka, zajedno s prepoznavanjem lica ili jednokratnim kôdom.

Iako implementacija MFA smanjuje rizik od kompromitiranja za 99,2 posto, napadači sve više iskorištavaju 'zamor od multifaktorske autentifikacije' da bi bombardirali korisnike s MFA obavijestima u nadi da će ih naposlijetku prihvatiti i omogućiti pristup. Microsoft je tijekom protekle godine primijetio otprilike 6.000 pokušaja napada dnevno koji koriste 'zamor od multifaktorske autentifikacije'. U prvom tromjesečju 2023. godine zabilježen je dramatičan deseterostruki porast napada na lozinke usmjerenih na identitete u oblaku, s oko 3 milijarde mjesečno na više od 30 milijardi.

https://www.tportal.hr/tehno/clanak/sve-veci-broj-kibernetickih-napada-u-svijetu-ovako-operiraju-u-kini-sjevernoj-koreji-i-iranu-20231012