Vlákno názorů k článku Postřehy z bezpečnosti: konec světového dne hesel od K> - Pouzivani mrkvosoftiho autenticatoru, windows hello nebo googli sluzby...

Kdyby chtěli něco takového udělat, mohou to udělat zcela nezávisle na WebAuthn. Takže aspoň můžeme být rádi, že WebAuthn a passkeys zpřístupní pro ostatní.

No a to je presne to, o cem jsem tu psal, na coz jste samozrejme reagoval, ale tak nejak mimo.
Ocividne temhle systemum nerozumi ani relativne odborna spolecnost tady na rootu (relativne vuci prumeru populace, to kdybyste jako obvykle chtel slovickarit). Staci si precist diskuzi tady, a pod nedavnou zpravickou.
Jak takovym systemum rozumi bezny BFU? Nijak. Ma o tom milion zkreslenych nebo zadnych predstav. Pokud M$ a google nedokazou prezentovat bezpecnejsi zpusoby prihlasovani, jak k nim muze mit duveru bezny uzivatel?

Běžný uživatel se do Googlu přihlašuje tak, že napíše svůj e-mail a na mobilu mu vyskočí notifikace, že se pokouší přihlásit a jestli to chce povolit. Uživatel odklikne, že ano, a potvrdí to PINem či otiskem prstu. Nově to bude dělat tak, že mu na mobilu vyskočí notifikace, že se pokouší přihlásit a jestli to chce povolit. Uživatel to odklikne, že ano, a potvrdí to PINem či otiskem prstu. Jediný rozdíl je v tom, že doteď to tak dělal jenom při přihlašování do aplikací a byl to proprietární protokol Googlu, zatímco nově to bude moci použít i při přihlášení přes webový prohlížeč.

Pro uživatele to tedy bude jednodušší, protože se nebude přihlašovat jinak do aplikací a jinak na webu, ale v obou případech stejně.

No a protože je to otevřený standard, mohou to začít používat i další weby.

Žádné odborné znalosti pro to nejsou potřeba. A to, že se k tomu vyjadřují lidé, kteří vůbec netuší, o co jde, to není problém technologie.

Mno myslel jsem ze v tom vasem dlouhem prispevku bude neco k veci, ale ne. Vami popsany workflow prihlasovani jaksi nesouvisi s problemem, ze google i mikrosoft spatne prezentuji system, a to natolik ze mu nerozumi ani odbornejsi spolecnost, natoz BFU.
Jasne, piste si tady co chcete, ale tohle diskuzni vlakno zacalo s jinym problemem, tak by mozna bylo lepsi kdybyste si to svoje psal nekde jinde, aby ta diskuze nebyla zmatena a popletena.

Tohle diskusní vlákno začalo tím problémem, že vy nechápete, jak fungují služby, o kterých se v článku píše.

Netuším, na základě čeho si myslíte, že Google a Microsoft prezentují nějaký systém, a že tomu systému nerozumí ani odbornější veřejnost.

Tomu, aby diskuse nebyla zmatená a popletená, by v tuto chvíli nejvíce pomohlo to, kdybyste do diskuse vůbec nepřispíval.

Ja nechapu? At ctu svuj prispevek jak chci, porad tam nevidim ze bych psal neco o sobe. Jen jsem psal jak to podle mne vidi BFUcka.

Ano, M$ i Google prezentuji sve autentizacni metody, aplikace do telefonu, je to psane i v tom clanku pod ktery prispivate:
" Microsoft na svém blogu připomenul výhody přihlašování pomocí Mcrosoft Authenticator, Windows Hello for Business a FIDO2 bezpečnostních klíčů. Google oznámil podporu passkeys (otisk prstu či obličeje, zámek obrazovky nebo hardwarový bezpečnostní klíč) na osobních účtech."
Pak staci trochu zagooglit abyste nasel
https://www.microsoft.com/en-us/security/mobile-authenticator-app
https://developers.google.com/identity/passkeys
A na tech strankach jsou velmi vagni popisy funkce, coz je to co kritizuji jiz ve svem uplne prvnim prispevku v tomhle diskuznim vlakne.

To ze tomu nerozumi odbornejsi verejnost vyvozuji z prispevku tady v diskuzich na rootu, kde chodi v prumeru znalejsi spolecnost. Coz jsem psal cca 2 dny zpatky. Jestli trpite vypadky pameti, mozna by stalo za to si zpetne precist o cem tu lidi pisou.

Je fascinujici jak mate komentar uplne ke vsemu, ale nedokazete udrzet tema diskuzniho vlakna a jeste mi vycitate mi to co sam delate.

Mne z toho vyplyva, ze jste troll, ktery by stalo za to zabanovat.

K>: O sobě jste prozradil to, že nevíte, co ty autentizační nabízejí za služby a jak fungují. Běžní uživatelé žádné podrobné popisy funkcí nepotřebují. Uživatel zjistí, že někde chce použít 2FA, při vyhledávání aplikace zjistí, že to podporuje i Microsoft Authenticator, který už má nainstalovaný, tak ho použije

Za „odbornější veřejnost“ nepovažuju komentující, kteří si nedokážou zjistit základní vlastnosti standardu, který chtějí komentovat. A vymýšlejí si nesmysly o sdílení otisků prstů, o závislosti na účtu u Microsoftu nebo Google a podobně.

Uz s tim trollenim prestante.

K>: Trollíte tu zatím jenom vy. Nezjistíte si, co která služba/technologie umožňuje, ale hlavně, že na to máte silný názor. O passkeys vyšel před nějakou dobou článek tady na Rootu, o FIDO2 myslím také. Microsoft Authenticator je mobilní aplikace, která funguje jako ověřovací token pro přihlašování ke službám Microsoftu a zároveň jako autentikátor pro TOTP (se zálohováním a synchronizací přes cloud). Windows Hello for Businnes je rozšíření Windows Hello pro společnosti, umožňuje centrální správu.

Specialne pro mistniho trolla to napisu znova, treba prestane prudit:
"K> 8. 5. 2023 14:37: Cimz chci rict ze at jsou vyhody jake jsou, zpusob prezentovani je pomerne spatny u obou firem."

K>: Napsat to můžete, kolikrát chcete. Nic to nemění na tom, že je nepodstatný názor na způsob prezentace od někoho, kdo si nejprve něco vymyslí, pak proto hledá potvrzení v oficiálních dokumentech a nenajde ho tam.

Aha. A jen tak pro info, co podle vas jsem si ja vymyslel?

Vymyslel jste si závislost na třetí straně.

To že si vymyslel třeba název aplikace "<třetí strana> Autenticator"?

Jirsak: jasne jsem psal: "Naopak to zni jako krok zpet a zbytecna zavislost na treti strane."
Slovo "zni".
Slovo "jako".

K>: Aha, takže vy víte, že tam závislost na třetí straně není, ale vymyslel jste si, že to „zní jako“ závislost na třetí straně. Takže když před něco přidáte „zní jako“, můžete tvrdit libovolnou lež. Takhle jste to myslel?

Hm, dobry, takovehle trolleni bych ja nikdy nevymyslel. Fakt valim bulvy co dokazete vyplodit.

A co takhle: Kdyz pred neco dam "zni jako", tak tim myslim jaky dojem to dela, a proto tvrdim ze "zpusob prezentovani je spatny". Tomuhle prece nemuzete prirknout termin "lez", maximalne "osobni nazor".

Osobním názorem se ale už blbě vyvrací fakta.

K> Bylo by fajn, kdybyste váš „osobní názor“ nezevšeobecňoval, že to tak mají všichni uživatelé.

Jenom abych pochopil, co přesně vám teda vědí – chápu to správně tak, že když je název firmy součástí oficiálního názvu produktu, zní to pro vás tak, že když ten produkt budete používat, budete závislý na té firmě? Takže třeba když budete používat Apache HTTP Server, stáváte se při provozu svého webu závislý na Apache Foundation?

Také by mi připadalo fajn, kdybyste napsal, zda teda podle vás při použití všech nebo některých způsobů autentizace uvedených v článku vzniká či nevzniká závislost na třetí straně. Ne zda to tak zní, ale zda to tak skutečně je. Protože zatím to zní, jako byste doteď nevěděl, jak ty jednotlivé způsoby autentizace fungují, takže byste tu celou dobu jenom trollil, protože by vám vůbec nešlo o podstatu problému.

Jirsak: kdyz to nekdo nepochopi natrikrat, napoctvrte uz to urcite nepomuze. Jasne jste ukazal, ze jste spatne cetl muj prvni prispevek, a pak jste akorat trollil a o vsech kolem trvrdil ze nicemu nerozumi, misto abyste se snazil pochopit o co v diskuzi jde.
Jo, chybu udela kazdy, ale rozmazavat to soustavne dokola, to uz je jen vase specialita.

Ladis: co? Jaka fakta?

K>: Já jsem to pochopil hned napoprvé, že jenom trollíte a nemáte nic konkrétního – ani k závislosti na třetí straně, ani ke špatnému způsobu prezentování. Ale dal jsem vám šanci to napsat a ukázat, že jsem se mýlil. Vy jste ji ani napočtvrté nevyužil. Ani napočtvrté jste nenapsal X vypadá jako jako závislost na třetí straně. Ani napočtvrté jste nenapsal X je prezentováno špatně.

Já bych tu vaši chybu soustavně dokola nerozmazával, ale když vy, místo abyste ji přiznal nebo se aspoň v tichosti vypařil, se pořád tváříte, že jste žádnou chybu neudělal a obviňujete všechny okolo… Přitom by bylo tak snadné dokázat, že za vaším komentářem byla nějaká myšlenka. Stačilo by ji napsat…

Ech, tohle vase trolleni ale bylo slabe. Mnohem slabsi nez to predtim.
Jen opakujete co jsem napsal ja. Napriklad:
"obviňujete všechny okolo" - ne, ja obvinuju jen vas, ze jste troll. Nikoho jineho jsem neobvinil. Vy jste obvinil me ze nic nechapu, i vsechny ostatni diskutery: "nepovažuju komentující, kteří si nedokážou zjistit".

Jak se mohu mylit, kdyz prezentuji svuj subjektivni nazor na kvalitu prezentace? Fakt nechapu. Kdybych napsal "zpusobuje to zavislost na treti strane", pak se mylim. Ale to jsem nenapsal, jak jsem uz nekolikrat napsal. Proc na tom soustavne trvate? Takhle trollite dost slabe. Zkuste lip, dam vam jeste jednu sanci.

Nikoho jineho jsem neobvinil.
Obvinil jste Google a Microsoft že dělají v přihlašování krok zpět a vytvářejí závislost na třetí straně. Přičemž jste nikdy nenapsal, v čem ta závislost má spočívat. Obvinil jste je, že to špatně prezentují – aniž byste napsal, v čem je ta prezentace špatná.

Vy jste obvinil me ze nic nechapu
Neobvinil jsem vás, že nechápete nic. Obvinil jsem vás, že nechápete různé způsoby autentizace – a podle vašich komentářů to tak vypadá.

i vsechny ostatni diskutery
Ale kdepak, žádné „všechny ostatní“. Jenom ty, kteří si vymýšlí nesmysly o sdílení otisků prstů, závislosti na účtu u třetí strany nebo sdílení stejného klíče pro všechny účty.

Jak se mohu mylit, kdyz prezentuji svuj subjektivni nazor na kvalitu prezentace?
Protože ten váš subjektivní názor nevychází ze znalosti věci, ale z ničím nepodložených a chybných domněnek.

Proc na tom soustavne trvate?
Protože je to jediná konkrétní věc, kterou jste napsal. Nenapsal jste, proč by to tak mohlo vypadat pro někoho jiného. Ani přes opakované výzvy jste nenapsal, proč je podle vás způsob prezentace špatný. Takže musíme předpokládat, že o žádném důvodu, proč je ten způsob prezentace špatný, nevíte. Což znamená jednu ze dvou možností – buď jen trolíte, nebo se v tom názoru mýlíte, protože vycházíte z ničeho.

Za celou dobu jste nebyl schopen napsat „to zni jako krok zpet a zbytecna zavislost na treti strane, protože A, B, C“ a „zpusob prezentovani je pomerne spatny, protože X, Y, Z“. Místo toho se pořád točíte na nesmyslech. To je vcelku podezřelé a člověk snadno získá dojem, že žádné A, B, C, X, Y, Z nevíte. Zní to, jako byste jen trolil.

Hm, tak to se nepovedlo, posledni sanci jste promarnil. Ted uz trollite tak spatne, ze mi ani nestoji za to to dal rozvijet.
K dotazum - vse jsem uz napsal, si to prectete znova. Zkuste treba muj prispevek z 10.5. 7:49.

K dotazum - vse jsem uz napsal, si to prectete znova. Zkuste treba muj prispevek z 10.5. 7:49.
V tom příspěvku není nic o domnělé závislosti na třetí straně. Druhá věc, která se vám nelíbila, je prezentace pro běžné uživatele – přičemž v odkazovaném komentáři jste odkázal na dvě stránky, z toho jedna je vývojářská dokumentace. To mi nepřipadá jako prezentace pro běžné uživatele. Takže zbývá „vágní popis Microsoft Authenticatoru“ – a to už jsem vám vysvětloval v reakci na váš uvedený komentář, že běžný uživatel nepotřebuje žádný podrobný popis funkcí. Protože běžný uživatel buď dostane pokyn, že pro přihlašování k firemním nebo školním aplikacím potřebuje Microsoft Authenticator a dostane odkaz na návod, jak to nastavit. Nebo druhý případ, běžný uživatel chce nebo potřebuje použít 2FA, možná dostane seznam doporučených aplikací. Pokud ne, vyhledá si odpovídající aplikace na Google Play nebo Apple Store. V seznamu aplikací uvidí Microsoft Authenticator, který už má nainstalovaný, nebo se pro něj z nějakého důvodu rozhodne, tak ho použije. Opět – vůbec ho nezajímá žádný detailní technický popis toho, jak ta aplikace funguje.

Takže platí, co jsem psal – mýlíte se, protože píšete o chybné prezentaci pro běžné uživatele, ale argumentujete věcmi, které běžného uživatele nezajímají.

Heh, protoze to uzivatel nepotrebuje, tak na web zadne vysvetleni nedame...
Timto gratuluji, vyhravate cenu v kategorii "o nejvetsi chucpe roku".

Gratuluju k objevu, že tam, kde vědí alespoň něco malinko o komunikaci, poskytují informace adekvátně cílové skupině, bez balastu, který by byl adresátům k ničemu. Můžete to teď pozorovat na dalších místech. Třeba v restauraci vám dají jídelní lístek s nabídkou jídel a pití a nepřidávají tam pro jistotu návod na použití pračky a seznam českých jehličnanů. V návodu k pračce zase nenajdete fejeton a mapu Brna, protože co kdyby se to někomu hodilo.