Vlákno názorů k článku Postřehy z bezpečnosti: konec světového dne hesel od Wasper - Jo, nápad zbavit se hesel je príma. Teda...

Jo, nápad zbavit se hesel je príma. Teda by byl, ale není, ono by to tak jako prvně chtělo vyřešit pár věcí kolem, které rozhodně vyřešeny nejsou.

1.Lost authenticator recovery - Už vidím tu smršť chytráků jak se sesypou že to dávno vyřešené je - opravdu? Pro 99% uživatelů, a ne jen pro pár geeků, co vědí, že si ty klíče v Yubi mají tak jako zálohovat? A i když jsem v druhé části světa? A nejde to pak naopak zneužít k obejití?

2.U SSO služeb zaručené poskytování služeb. To, co v drtivé většině případů je "Váš account byl zrušen, protože naše AI vyhodnotilo, že jste porušil podmínky. Máte právo držet hu** nebo si popovídat s naším chatbotem" je poněkud mnohem horší variantou, než ten papírek.

3.Privacy preserving ověření, např. pseudonymní. Opravdu není dobrý nápad, aby se přes Google nebo M$ účet autentikovalo třeba na https://forum.mamrakovinu.cz/, nebo naopak aby pro fórum https://anonymnialkoholici.cz/ se předával hlavní účet...

Ad 1. V čem se to liší od hesel?

Ad 2 a 3 Tak si vyberte ta řešení, která nemají žádné SSO ani nepoužívají Google nebo Microsoft účet. V článku jich je zmíněno několik.

Ad 1. Třeba v tom, že hesla si na kus papíru umí zazálohovat i důchodce. A ani mu není třeba zdůrazňovat, že to má dělat.
Myslíte, že nejaký laik dokáže zazálohovat systém, do kterého nevidí pořádně ani profesionálové specializovaní na něco trochu jiného?

Na rozdíl od hesel tohle bude neprůhledná skříňka naplněná černou magií. A jak se rozbije, tak přijdou o všechno.

Pokud si někdo bude zálohovat hesla na kus papíru, má špatná hesla – používá slabá hesla a používá je opakovaně.

Na zálohování něčeho není potřeba do systému vidět, pokud ten systém má dobře vyřešený způsob zálohování. Předpokládám, že Google, Apple i Microsoft nabídnou možnost zálohovat si ty klíče do cloudu spolu s ostatním nastavením systému.

Běžným uživatelům to bude bez problémů fungovat a budou to mít zálohované stejně jako hesla z prohlížeče a ostatní nastavení systému – pokud nepřijde nějaký „ajťák“, který jim to rozbije s tím, že přeci nemůžou mít klíče uložené v cloudu u Applu, Googlu nebo Microsoftu.

>Pokud si někdo bude zálohovat hesla na kus papíru, má špatná hesla – používá slabá hesla a používá je opakovaně.

Co to je za blbost? Prohlížeč vygeneruje heslo, např. kUkLDysdH6rB642DDKy­Ryzdpi, to si jej nemůžu napsat na papír? Třeba moji rodiče to tak dělají, jsou permanentně doma na home-office a hesla mají v notesu v šuplíku u počítače. Ke každé službě zvláštní silné vygenerované heslo (oni těch služeb zas tak moc nevyužívaj). Tento systém jim funguje a doufám, že jim nikdo místo toho nenanutí passkeys.

9. 5. 2023, 21:14 editováno autorem komentáře

Na zálohování něčeho není potřeba do systému vidět, pokud ten systém má dobře vyřešený způsob zálohování.
Jak poznám "dobře vyřešený způsob zálohování"? Nedělejme si iluze, že je možné vidět do systému. Vždycky je to založené na důvěře.

1. Pak není nejmenší důvod něco měnit.
2. a 3. Opět jste nepochopil. Já vím, co použít, jde tu o těch 99% běžných užovek, které tenhle nepřipravený *) nesmysl akorát dostane do stavu, který je ještě horší než současný. A problémů s nelokálním Win10 účtem jsem jen ve svém okolí zažil několikráte víc než je zdrávo.

Tipnu si - tohle dopadne asi jako implementace IPv6 ;-)

*) <tin foil>Osobně si nemyslím, že je to nepřipravené, zvláště když někteří nejvýraznější aktéři celé šarády naprosto nepokrytě po jakémkoli dalším zaháčkování šmírování pasou.</tin foil>

Pak není nejmenší důvod něco měnit.
Důvod může být ten, že se to liší v jiných vlastnostech – a v těch je nový systém lepší.

Já vím, co použít, jde tu o těch 99% běžných užovek, které tenhle nepřipravený *) nesmysl akorát dostane do stavu, který je ještě horší než současný.
Vznikl standard, který může implementovat kdokoli. Standard už je implementován v některých prohlížečích a operačních systémech, takže ho může začít používat kdokoli. Google to začal používat u svých služeb místo proprietárního řešení. Postupně to začnou nabízet i další poskytovatelé jako bezpečnější alternativu. Bude trvat několik let, než se to rozšíří tak, že to bude běžné. Běžným uživatelům to výrazně pomůže, protože budou mít něco, co je snazší na použití, než správce hesel, a budou to mít bez práce – nebudou muset žádný správce hesel shánět a instalovat.

Tipnu si - tohle dopadne asi jako implementace IPv6 ;-)
Jako že v některých státech to bude mít přes 50 %? V budoucnosti k tomu asi dojde, ale rozhodně to není na pořadu dne.

Osobně si nemyslím, že je to nepřipravené, zvláště když někteří nejvýraznější aktéři celé šarády naprosto nepokrytě po jakémkoli dalším zaháčkování šmírování pasou.
Jasně, Microsoft potřebuje k potenciálnímu šmírování uživatelů na Windows autentizační aplikaci, protože operační systém nemá žádnou šanci zjistit, jaké stránky uživatel otvírá ve webovém prohlížeči. A Google potřebuje kvůli potenciálnímu šmírování takovou funkci zabudovat do webového prohlížeče a Androidu, protože webový prohlížeč ani operační systém na mobilu vůbec nijak nemohou zjistit, které webové stránky uživatel navštěvuje.

A to není zdaleka vše. Hospodští budou na záchodech ve svých hospodách instalovat měřáky, aby zjistili, kolik toho u nich lidé vypijí a snědí. ISP vám do routeru podstrčí svůj software, aby mohl sledovat, k jakým IP adresám se připojujete. A v bytovém domě bude vlastník domu snímat otisky prstů z tlačítek ve výtahu, aby zjistil, kdo má pronajatý byt ve kterém patře.