Czy to już czas, by wyrzucić Yubikeye do kosza i razem z nim wysłać tam hasła?
Pytanie jest oczywiście prowokacyjne, ale nie jest oderwane od rzeczywistości. Kierunkiem, w którym próbuje zmierzać świat, jest pozbycie się haseł i zastąpienie ich np. naszymi smartfonami. Co zatem będzie z Yubikeyami? Pożyjemy, zobaczymy.
Hasło „wkrótce pozbędziemy się haseł” towarzyszy sektorowi bezpieczeństwa od ponad 20 lat. Jak na razie nie wydaje się, by szumnie co jakiś czas ogłaszane kolejne sukcesy na tej drodze wpłynęły znacząco na naszą rzeczywistość. Kto nie ma kilkuset haseł w swoim managerze niech pierwszy rzuci Yubikeyem. Czy jest szansa, że to w końcu się zmieni? O tym będziemy rozmawiać już wkrótce w dobrym towarzystwie. Zarejestrować się możecie (za darmo) tutaj, a poniżej możecie przeczytać, kto i o czym będzie rozmawiał.
FIDO i świat bez haseł
Za tydzień, w czwartek o godzinie 19, będę rozmawiał z dwiema osobami, które świat uwierzytelnienia (zarówno dzisiejszy, jak i potencjalnie przeszły) znają od podszewki. Moimi rozmówcami będą David Turner, dyrektor ds. standardów w FIDO Alliance (organizacji de facto decydującej o kierunku rozwoju tych technologii) i Marcin Szary, CTO i współzałożyciel firmy Secfense, pomagającej we wdrażaniu FIDO2 i podobnych technologii. Rozmowa odbędzie się po angielsku.
O czym będziemy rozmawiać?
WebAuthn, FIDO2, passwordless, passkeys – to bardzo ciekawe tematy i sam chętnie dowiem się więcej na ich temat. Nie mogę się doczekać momentu, gdy będę mógł się zalogować gdzieś np. swoim smartfonem, używając technik biometrycznych. Ale zanim to nastąpi (bo na razie mi się nie udało), to porozmawiamy o tym:
- jak działają technologie przywoływane powyżej,
- jak wygląda plan ich wdrożenia i popularyzacji,
- jakie są główne wyzwania z tym związane,
- czy wdrożenie FIDO2 sprawi, że Yubikeye staną się niepotrzebne,
- czy będziemy zatwierdzać przelewy bez haseł,
- czy nowe technologie pomogą też w upowszechnieniu szyfrowania.
Mam nadzieję, że wszyscy wyjdziemy w tej rozmowy nieco mądrzejsi – ja na pewno w swoim wypadku na to liczę. Zapraszam do dołączenia do nas i do zobaczenia.
Za publikację tego artykułu oraz poprowadzenie rozmowy otrzymujemy wynagrodzenie. To nie zmienia faktu, że temat jest ciekawy :)
Podobne wpisy
- Nie wszystkie metody 2FA są sobie równe – zobacz, jak można je atakować
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Podstawy Bezpieczeństwa: Hasła część 5, czyli odpowiedzi na wasze pytania
- Podstawy Bezpieczeństwa: Hasła część 4, czyli kody PIN, smartfony i biometria
nie wierzymy firmom wiec i yubikey
ale czy np. https://tomu.im/ albo podobne sa alternatywą? fpga jest już jak najbardziej otwarte.
niestety to wszystko jest strasznie nieuzywalne.
chcesz sie zalogować? super, ale jak się zalogowac by skasowało się konto? po prostu ktoś przykłada mi pistolet do głowy a ja podaje hasło by skasowac swoje dane albo pokazac inne.
albo gdzie opcja tylko dla twoich oczu? albo …. wymieniac mozna długo ale o to nikt nie pyta bo po co
pisze sie artykuł i chwali sponsora
https://liliputing.com/lilbits-aya-neo-2s-with-ryzen-7-7840u-on-the-way-yubico-to-go-public-ryzen-embedded-5000-series-launched/
nie jest pewne ale …..
No ej! Dopiero kupiłem klucz sprzętowy :P
Me too ;)
Przypomina to autoryzację stosowaną od lat na Cebuli, tylko tam każdy ma GPG i deszyfruje tokeny jednorazowe czyli nonce. Skoro zainfekowany system może przechwycić taki podpis z yubikey i autoryzować intruza tak czy inaczej, to dlaczego nie przenieść tego punktu zaufania z yubikey na system?
Interesuje mnie szczególnie, czy to wszystko będzie działać z wolnym oprogramowaniem, np. z otwartoźródłowymi wersjami Androida (jak LineageOS).
Lubię swój menedżer haseł (KeePassXC), używanie go z wtyczką do przeglądarki jest bardzo wygodne i bezpieczne. Mam nadzieję, że nie będę zmuszony przejść na jakieś inne rozwiązania.
Sprawdzał ktoś czy karty procesorowe takie jak ta
https://www.cryptotech.com.pl/Produkty/CryptoCard_Logon,content.html
potrafią współpracować z BitLockerem na Windows?
Tym razem wyjątkowo nie będę mógł posłuchać rozmowy, zatem mam trzy pytania, na które może będzie tam udzielona odpowiedź.
Wstęp
Sprawdziłem kto dzisiaj wykorzystuje nazwę FIDO.
hxxs://www.onespan.com/pl/topics/fido-fast-identity-online
(Kiedyś FIDOnet, a w Polsce po prostu FIDO, to było coś zupełnie innego coś, co wszystkim dawało wielkie nadzieje i perspektywy fantastycznej przyszłości.
hxxs://pl.wikipedia.org/wiki/Fidonet)
Rdzeń obecnego FIDO stanowią najwięksi tego świata, którzy zarządzają sobą sami i nad którymi już nikt nie stoi. Świetnie, że to właśnie oni postanowili poświęcić swój czas i pobrane od nas środki, aby pochylić się nad ciężkim losem zwykłych użytkowników internetu. Jestem im wdzięczny, że zadbają o moją małą głowę, w której nie mieści się tak dużo haseł.
Pytania:
Całość ma być oparta na PKI. Chyba to nie będzie prywatna PKI zbudowana na domowym serwerze W2012 tylko coś piętro wyżej, coś analogicznego do struktury dostawców podpisów elektronicznych, z udziałem KIR czy Enigmy, a pewnie dojdą także nowi gracze.
1. Jakie dane osobowe trzeba będzie podać, żeby zakupić certyfikat/urządzenie dla przyjemności „bez haseł”?
2. Jaka będzie trwałość certyfikatu/urządzenia czyli co ile lat trzeba będzie go kupować, żeby odnowić przyjemność „bez haseł”?
3. Czy rozważany jest scenariusz funkcjonowania Internetu bez obowiązku korzystania z przyjemności „bez haseł”, czy został odrzucony?
Czasem już mam passwordless gdy mam możliwość gdzieś logować się „twarzą” ;)
Kłopot pojawi się, jak loguje się po dłuższym w to samo miejsce na komputerze iiiiiii … … nie pamiętam hasła… ;)
Passkeys Ci ten problem rozwiaze :)
Yubikeya, to nawet pies może zjeść oraz wykasztanić, a on dalej będzie działał. Smartfon potrzebuje choćby prądu i niezbitej szybki. Wybieram pierwsze