LINUX.ORG.RU
ФорумTalks

Интернет получил официальный беспарольный стандарт авторизации

 , ,


0

0

Новость старая отсюда https://dev.by/news/internet-poluchil-oficialnyi-besparolnyi-standart-avtoriz...

Оф.новость тут https://www.w3.org/2019/03/pressrelease-webauthn-rec.html

В связи с этим, вопрос - свои фотки из Интернета все удалили?



Последнее исправление: sqq (всего исправлений: 2)

по лицу или отпечаткам пальцев

фишка в том что достаточно повернуть телефон к твоей морде и вуаля, телефон (как самый распространенный) открыт, все сайтики тоже ))

Rastafarra ★★★★
()
Ответ на: комментарий от Rastafarra

Заинтересованные лица

этот стандарт «протолкнули», так как с понятием безопасность этот стандарт вообще враги.

sqq
() автор топика
Последнее исправление: sqq (всего исправлений: 2)

Если это позволит заменить обычным физлицам как мне смс-ки в интернет-банке на токены - я только за.

snizovtsev ★★★★★
()

Будет весело, когда вся эта биометрия станет массово угоняться и вау-вау-стильно-молодежные хомячки обнаружат, что если пароль они еще поменять могут, то вот свою рожу и отпечатки пальцев уже не очень-то.

Впрочем, возможно там вся суть даже не в биометрии, а в усугублении привязок к мобилам, а то даже там, где привязки к мобильника, обнаглели юзерки сервисов, регистрируются один раз через sms на всякие левые телефоны

praseodim ★★★★★
()
Ответ на: комментарий от Nasreddin_Hodja

Тема вообще-то известная, емнип уже даже вскользь обсуждалась с месяц назад.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)

Ох лол... Какой-же там по ссылкам адок. Такое чувство что в W3C набрали сотрудников спецслужб, ей богу.

DawnCaster ★★
()
Ответ на: комментарий от Quasar

Которые официально заказать через ынтернеты в России нельзя не рискуя огрести за ввоз несертифицированной техники с функциями шифрования. А официально купить в РФ можно всего в нескольких магазинах. С трёхкратной наценкой. Без сервиса от производителя. Хрен знает какой ревизии и без возможности это выяснить при покупке (а если помните, недавно Ubikey обосрались с алгоритмом генерации RSA-ключа средствами устройства).

DawnCaster ★★
()
Ответ на: комментарий от Rastafarra

фишка в том что достаточно повернуть телефон к твоей морде и вуаля, телефон (как самый распространенный) открыт, все сайтики тоже ))

А если я телефону просто фотку твою покажу с интсаграма, тоже проканает? :D

Manhunt ★★★★★
()

В связи с этим, вопрос - свои фотки из Интернета все удалили?

а зачем удалять? всё равно мы все смертны и вскоре сдохнем, я сдохну, тот кто увидит эти фоточки сдохнет, все сдохнут, а в конце ничего нет, там пустота, чёрная и глухая пустота.

eR ★★★★★
()

Стандарт никто не читал НО У МЕНЯ ЕСТЬ МНЕНИЕ! ДАЖЕ 2! ЭТО ВАЖНО! В w3 СИДЯТ ИДИОТЫ ЩАС Я ВСЕ ОБЪЯСНЮ! ЦРУ Я СКОЗАЛ.

Shaman007 ★★★★★
()
Ответ на: комментарий от eR

Она бесцветная, а не черная. В небытии нет ничего, в том числе цвета.

peregrine ★★★★★
()

ну получили стандарт и что?

Int0l ★★
()
Ответ на: комментарий от Shaman007

Шаман, любая возня в сторону избавления от паролей, кроме ввода ещё более больших ключей - цирк по определению понятия безопасность. Вся биометрия никак не помогает криптографии, ты то как специалист в области защиты должен понимать разницу между авторизацией, аутентификацией и идентификацией. Биометрия это про последнее. Про безопасность это первое и второе.

peregrine ★★★★★
()
Ответ на: комментарий от Quasar

Собственно вся идея направлена на то, что кто печется о своей безопасности, у того аппаратные ключи. А кто не печется и ставит везде одинаковый пароль «qaxsxw123!», у того дела пойдут сильно лучше. Плюс сраные банки со своими сраными SMSками смогут наконец пройти по пути прогресса. Пароль сейчас безопасен для ресурсов уровня ЛОРа, для ФБ и тем более банк-клиента он не безопасен.

У ОПа вывернутая модель угроз: если ты идешь на кидать бутылки в космонавтов, то не нужно брать свой телефон. Если ты издаешь газету «Искра», то надо заботиться о шифровании и приватности, если ты известный политик неприятного кому-то толка, то надо шифровать почту и не держать ее на mail.ru.

Shaman007 ★★★★★
()
Ответ на: комментарий от peregrine

Так оно и вводит еще большие ключи по сути.

Я как специалист по инфобезу понимаю, что если тебя закрыли власти, то тебе ВООБЩЕ никак не поможет ни длина пароля, ни аппаратный ключ, ни СМС. Потому что тебя будут бить, пока все не раскроешь.

Shaman007 ★★★★★
()
Ответ на: комментарий от DawnCaster

недавно Ubikey обосрались

Уж третий год пошел, при этом они всем пользователям выслали бесплатные ключи на замену.

Shaman007 ★★★★★
()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от Shaman007

При чем тут власти? Твою рожу жулик сфоткает и снимет твои деньги с банка, а ты будешь пытаться доказать, что не верблюд. Но даже если говорить про бить, то в случае асимметричной криптографии и это не поможет, т.к. ключа второй стороны у тебя нет и даже если тебя сварят в масле он не появится из воздуха. Хотя если цель просто сварить тебя в кипящем масле, то и информационная безопасность тут не при делах.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от Shaman007

Я как раз об этом и говорю: Ubikey-то сделал бесплатную замену, а «официальные» барыги которые выбили разрешение у КГФСБ на торговлю этим девайсом в этой стране? Полагаю что нет.

Хотел я себе пару лет назад официально купить такой ключ, но ни в одном официальном магазине мне не смогли назвать номер ревизии продаваемых устройств. В итоге раздумал.

А всякие более редкие штуки вроде OpenPGP Card, выполненной в виде карты с чипом, в этой стране официально вообще не купить.

DawnCaster ★★
()
Ответ на: комментарий от Shaman007

Потому что тебя будут бить, пока все не раскроешь.

Пока не согласишься на рассмотрение дела в специальном порядке. Т.к им не придётся ни собирать доказательств, ни проводить экспертизы, ни вообще как-либо напрягаться.

DawnCaster ★★
()
Ответ на: комментарий от peregrine

Нет, ну сдуру можно и обманку прикрутить, которая на яркий свет будет ключ отдавать. По роже лица открывает сканированием рельефа морды, на не плоского изображения, это как отпечаток пальца по сути. При нормальной реализации у тебя ключ неизвлекаемый из сканера, чем ты открываешь контейнер - лицом, рисунком вен, сетчаткой, паролем или отпечатком в общем-то все равно. Конечно кто-то может сделать слепок, но согласись, что при наличии такой угрозы надо немного иначе себя вести.

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

Конечно кто-то может сделать слепок, но согласись, что при наличии такой угрозы надо немного иначе себя вести.

ЕМНИП, что-то такое было — печать трехмерного слепка на дешмановом принтере с изображения. Там вроде бы не рокет сцаинс.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от Shaman007

По роже лица открывает сканированием рельефа морды, на не плоского изображения, это как отпечаток пальца по сути.

Реконструируется этот рельеф по нескольким фоткам. Есть готовый софт для 3д-печати. http://3d-copy.me/3d-by-photo.php#howphoto

Manhunt ★★★★★
()
Ответ на: комментарий от Shaman007

если тебя закрыли власти

Закрывать - процесс дорогой, и массовым быть в принципе не может. В отличие от автоматизированной тотальной слежки. Впрочем, тема властей по отношению к ОП - оффтопик.

Manhunt ★★★★★
()
Последнее исправление: Manhunt (всего исправлений: 1)
Ответ на: комментарий от Manhunt

Дык, погромистов в этой стране всего ~150 тысяч (слышал краем уха на РБК в 2016). Так что действительно массово никого закрывать и не потребуется.

DawnCaster ★★
()
Ответ на: комментарий от peregrine

Это сильно сложнее, чем просто увести пароль. Потом не забываем, что ключи по морде генерируются разные каждый раз, так что во первых нельзя реюзать пароль, во вторых по утекшему паролю сопоставлять личность. Это полезно в для обычных пользователей превышает риски.

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

Один раз скомпрометировав свою рожу, ты лишаешься средств авторизации на всю жизнь. Просто прекрасно. А вот нефик ламиром быть.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от lenin386

С чего бы? У тебя ровно 1 устройство, на котором это включено, открывается лицом только неважное. То есть украв мой телефон и распечатав мое лицо злоумышленники смогут нагадить в фб и на ЛОРе. И то, пока я не отозвал ключи.

Shaman007 ★★★★★
()
Ответ на: комментарий от lenin386

Погоди, или тут есть люди, которые думают, что лицо - ключ?!!!!

Shaman007 ★★★★★
()

Когда уже сделают единый аккуант на всех сайтах и вход в интернет по паспорту через выше упомянутый аккуант...

LinuxDebian ★★★★
()
Ответ на: комментарий от kirk_johnson

Отпечаток при этом проще добыть и проще подделать. Еще есть такие вещи, как «доверенная локация» - можно разлочить спуфом GPS'а, если предположить, что у кого-то дом доверенный (или прийти туда ногами с телефоном в кармане, еще проще).

Shaman007 ★★★★★
()
Ответ на: комментарий от lenin386

Смотри: у тебя с паролем есть имя и 1 фактор. С СМСкой или ОТП — 2 фактора. С биометрией, которую сделали нормально, уже имеем имя пользователя, заэнролленое устройство, некий фактор (сканер анклав + лицо, палец, комбинация). При чем тебе потребуется украсть устройство, что некоторым образом заметно для пользователя. При компрометации пароля или софт-отп, пользователь может дольше не заметить утраты. У меня, например, криптоконтейнер требует железный токен каждый раз, когда я в него лезу, разлоченность телефона не скомпрометирует пароли.

Второй вопрос: лицо, палец, сетчатка, голос и т.п. - один из факторов, на основании которого ненерируется ключ, который нельзя извлечь из устройства. 2 сервиса - 2 ключа. Другое устройство - еще один ключ. То есть если ты украл мой пароль в одном сервисе, то ты не узнаешь что это некий «я» и для других сервисов он будет бесполезен.

Shaman007 ★★★★★
()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от Shaman007

Отпечаток при этом проще добыть и проще подделать.

Это если тебя целенаправленно ищут. А если чуваки слили банковский архив с личными данными пользователей (имя-фамилия-фоточка-номеркарты), то они могут сделать условно тысячу дешманских 3d-мордочек разных людей, и та десятка, что сработает, отобьет вложения.

Еще есть такие вещи, как «доверенная локация» - можно разлочить спуфом GPS'а, если предположить, что у кого-то дом доверенный (или прийти туда ногами с телефоном в кармане, еще проще).

Все это опять же имеет смысл обсуждать, если за тобой черные вертолеты охотятся. А если тебя в глаза не видели, а бабки сперли — это печаль-печаль.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 3)
Ответ на: комментарий от kirk_johnson

что сработает

что сработает? Тебе устройства, для которых включена аутентификация надо вместе с архивом физически получить. Морда сама по себе не генерирует ключа для расшифровки.

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

что сработает? Тебе устройства, для которых включена аутентификация надо вместе с архивом физически получить. Морда сама по себе не генерирует ключа для расшифровки.

Ну тогда паника отменяется.

kirk_johnson ★☆
()
Ответ на: комментарий от Shaman007

Да это в идеале всё красиво, а по факту опять модели морд и все причендалы будут храниться в открытом виде голой жопой в интернет в монгодб. Я - программист! Я знаю, что говорю.

crutch_master ★★★★★
()
Последнее исправление: crutch_master (всего исправлений: 2)
Ответ на: комментарий от crutch_master

Суть стандартов вроде FIDO в том, чтобы если у тебя устройства ему соответствуют и сервис ему соответствует, то была бы уверенность, что реализация не совсем через жопу.

модели морд

дались вам они, это самый малозначимый фактор.

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

2 сервиса - 2 ключа. Другое устройство - еще один ключ. То есть если ты украл мой пароль в одном сервисе, то ты не узнаешь что это некий «я» и для других сервисов он будет бесполезен.

На практике будет так: тебя нафотографировали в google glass, вынули из кармана смартфон, час спустя 3d-моделькой разлочили его, и он сразу же из коробки залогинен во *все* сервисы, какими ты пользуешься. Не?

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

(1) Это направленная атака на конкретного человека, которая требует технических знаний и оснащения. Это дороговато если нет уверенности в результате, это не массово.

(2) «Где деньги лежат» обычно все-таки разлочиваются еще чем-то. В описанной тобой атаке самое страшное, что можно сделать с моим телефоном - нагадить в Фейсбуке и ЛОРе.

(3) Если телефон разлочен, то в сервисах он уже залогинен. То есть в случае с моим телефоном разница между лицом, пальцем и паролем не столь велика. Пароль можно подсмотреть, отпечаток получается тоже не сложно (а вот его напечатать гораздо быстрее, чем лицо).

Повторюсь, идея в том, что это все много много много лучше паролей, которые 95% людей ставят одинаковые везде, многие из них - одинаковые простые. То есть ты взламываешь говносайт магазина мягкой игрушки и цветов (где пароли хранятся в плейнтексте) и логинишься с этими данными в интересные места. Вот с этим борются, а не подбирают способ выведать секреты криптоанархиста.

Shaman007 ★★★★★
()
Ответ на: комментарий от Manhunt

Вообще, если речь идет об массовой атаке, то куда проще поставить точку «Beeline_WiFi_Free» c каптив-порталом, который просит поставить свой СА и дампит вообще все интересное. Затрат - 3 копейки, массово, практически беспалевно (не надо воровать телефон, который «крупный размер»).

Shaman007 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.