O co chodzi z Passkeys? Pytacie, odpowiadam(y). Q&A
Рет қаралды 26,053
Күн бұрын🎙️ Rozmawiam ze specjalistami od uwierzytelniania, aby odpowiedzieć na wszystkie palące Was pytania.
Źródła:
🌐 @secfense - Fast Track To Passwordless
secfense.com/
📖 ebook od @secfense Czym są passkeys i jak skutecznie wdrożyć logowanie bez hasła w organizacji?
secfense.com/pl/passkey
💬 Kontakt do @secfense aby umówić się na spotkanie
secfense.com/pl/kontakt/
👫 Stowarzyszenie FIDO
fidoalliance.org/
🤔 Czym jest i jak działa passkey?
www.passkeys.io/
🌐 Czym jest WebAuthn? Przetestuj API.
webauthn.io/
📩 WebAuthn registration process overview
developers.yubico.com/Develop...
🔗 Indeks serwisów wspierających passkeys
passkeys.directory/
📔 Słownik pojęć
passkeys.dev/docs/reference/t...
💊 Technikalia dotyczące U2F oraz passkeys w pigułce
www.imperialviolet.org/2023/0...
🔒 Discoverable FIDO Credentials
developers.yubico.com/Passkey...
📟 Rodzaje uwierzytelniaczy
developers.yubico.com/Passkey...
📱 Single Device vs multi Device Credentials
developers.yubico.com/Passkey...
📜 Mity według @1PasswordVideos
passage.1password.com/post/se...
🔐 Google makes passkeys the default sign-in method for all users
techcrunch.com/2023/10/10/goo...
Relevant xkcd: xkcd.com/1553/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
Mastodonie infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Patronite @MateuszChrobok patronite.pl/MateuszChrobok
Podcasty na:
Anchor anchor.fm/mateusz-chrobok
Spotify open.spotify.com/show/6y6oWs2...
Apple Podcasts apple.co/3OwjvOh
Dziękujemy za gościnę William Rabbit&CO w Krakowie!
Rozdziały:
00:00 Intro
01:05 Intro cd
06:45 Bezpieczeństwo vs menedżery haseł
11:08 Zapisywanie passkeys w menedżerze haseł
12:37 Wyciek hashowanych haseł
15:38 Różnica FIDO a SSH Key
16:55 Ataki man-in-the-middle
17:44 Wsparcie dla kontekstu
19:44 Logowanie na nieswoim urządzeniu
22:01 To mniej, czy więcej pracy?
23:49 Wiele kont w jednej usłudze
24:49 Co z Linuksami?
26:09 Intuicyjność
27:57 Biometria - konieczna czy nie?
29:05 Zgubienie telefonu
31:33 Tylko jedno urządzenie
32:34 PIN i biometria nie są bezpieczne
33:32 Bezpieczeństwo kluczy sprzętowych
34:53 Social engineering
36:46 Kradzież tokenów sesji
37:48 Kolejny standard
38:27 Władza dla korporacji
39:43 Użycie do profilowania
41:26 Google to zło!
43:30 Zaproszenie
44:12 Co Robić i Jak Żyć?
#Passkeys #bezpieczeństwo #uwierzytelnianie #logowanie #hasło #współpracareklamowa
@MateuszChrobok 2 ай бұрын
Wspomniane linki daję też tu: 📖 ebook od @secfense Czym są passkeys i jak skutecznie wdrożyć logowanie bez hasła w organizacji? secfense.com/pl/passkey 🔥 Live we wtorek 28.05.2024 kzfaq.info/get/bejne/gOCZl9mWmN2apI0.html 💬 Kontakt do @secfense aby umówić się na spotkanie secfense.com/pl/kontakt/
@bartoszc6157 2 ай бұрын
No i kzfaq.info/get/bejne/gOCZl9mWmN2apI0.html na wtorkowego Live :)
@MateuszChrobok 2 ай бұрын
@@bartoszc6157 Dzięki!
@michadybczak4862 2 ай бұрын
Strona nie załadowała się poprawnie z pierwszego linka. EDIT: Ah, już się ładuje. Musiało coś chwilowo nie grać.
@etaosin 2 ай бұрын
Super rozmowa. Dzięki za te materiały, zebrane w tej formie takie tematy są ultra-strawne.
@ChwałaImperiumLechickiemu 2 ай бұрын
Bardzo dobry materiał
@maciejkurkowski5354 2 ай бұрын
mega duet . super sie słuchało:)
@bartoszc6157 2 ай бұрын
Dzięki - super nam też się gadało :)
@HUW-05039 5 күн бұрын
Trzy pytania: 1. Które polskie banki wspieraja passkeys? Jest jakaś lista? 2. Co w sytuacji gdy musimy oddać smartfona do serwisu i Pan serwisant prosi o odblokowanie urządzenia do celów serwisowych? 3. Co w sytuacji gdy smartfon nam padnie definitywnie (np całkowite zniszczenie)?
@Igorck1 2 ай бұрын
Lubię polecam czekam na passkey'a fizycznego np implant wmontowany gdziekolwiek zechce:)😂
@wywrotka666 2 ай бұрын
Mateusz, bardzo lubię Twoje materiały i ten też jest bardzo interesujący ALE: Mówicie, że chcecie popularyzować temat do osób spoza IT a mówicie językiem i w sposób, który ludziom spoza IT i pewnie też połowie ludzi z IT nie pozwoli na zrozumienie tematu i raczej ich tylko zrazi do tematu.
@bartoszc6157 2 ай бұрын
Dlatego liczymy między inny mi na Ciebie :) Ty zrozumiesz nas i możesz ewangelizować dalej. Moja mama na przykład za chiny ludowe tego filmu nie obejrzy - nawet gdyby nam AI podłożyła głosy z M jak Miłość. Ale moja w tym robota, aby przejąć jej telefon, zrobić co trzeba i oddać mając poczucie, że jej cyfrowe życie jest choć odrobinę bezpieczniejsze. Idź i głoś! :)
@andrewk5186 27 күн бұрын
Masz racje. Gosc nie najlepiej dobrany. Wiedze posiada, ale nie potrafi przekazac w przystepny sposob...
@XR5PL 2 ай бұрын
fajnie wygladacie przy tym odrapanym stoliczku :) ciekawy temat - używam , używam
@bartoszc6157 2 ай бұрын
Nie wiem czy mogę tu promować - ale jakie cuda można na tym obdrapanym stoliczku w William Rabbit & Co postawić to jest dopiero niewiarygodne. Polecam :)
@xDewREWx Ай бұрын
Hej a jak ma sie kwestia skonfigurowania i uzywania MFA przez pracownikow niepelnosprawnych (np. bez konczyn, niewidomych, z trudnosciami ruchowymi itd)? Jest jakies podejscie ktore byloby wskazane dla takich osob?
@zielonkaJWST 2 ай бұрын
a czy dziala to na telefonach Huawei z HarmonyOS?
@BxOxSxS 2 ай бұрын
31:00 Wyjątkiem jest tutaj bitwarden który przy eksporcie uwzględnia passkeys. O ile może nie jest to zgodne ze standardem tak po prostu jest co potrafi być wygodne
@bartoszc6157 2 ай бұрын
Od czasu nagrania okazało się, że również Apple pozwoliło na udostępnienie passkey'a za pomocą Airdrop, ale jeszcze nie dałem rady wypróbować.
@FreeEmptyWhole 2 ай бұрын
Wrzucone 25 a pokazujesz coś 31 lecisz na przyspieszeniu ?
@BxOxSxS 2 ай бұрын
@@FreeEmptyWhole Jako osoba z dostępem do grupy patronackiej dostałem materiał wcześniej. Nawet widać że mój komentarz ma jeden dzień
@FreeEmptyWhole 2 ай бұрын
@@BxOxSxS oooo
@GreDi_PL 2 ай бұрын
Uwaga errata: PGP (Pretty Good Privacy) to jest technologia szyfrowania danych. GPG (GNU Privacy Guard) to jest Aplikacja, która wykorzystuje PGP do szyfrowania danych. Tak wnioskując z między zdań mam wrażenie, że prowadzący mylą. Ale bez obaw. Przed kamerą i dodatkowo w miłej atmosferze, którą zapewnia Mateusz, nikt się nie spina i nie waży słów. Tak że takie przejęzyczenia potrafią się pojawiać. Tak tylko erratę chciałem zgłosić. PS. dobry wywiad.
@bartoszc6157 2 ай бұрын
Dzięki - dla uważnych słuchaczy jest jeszcze jedno miejsce gdzie się walnąłem :) (a przynajmniej jeszcze jedno, które wyłapałem)
@janepko Ай бұрын
Mylisz się. PGP to aplikacja do szyfrowania i podpisywania tekstu i plików, wykorzystująca technologię kluczy asymetrycznych RSA (chociaż do szyfrowania można też użyć kluczy symetrycznych). Program PGP powstał w 1991 r., a jego autorem jest Phil Zimmermann. GnuPG jest oprogramowaniem, które też wykorzystuje metodę kluczy asymetrycznych, ale spełnia standard OpenPGP i jest wolnym oprogramowaniem na licencji GPL.
@GreDi_PL Ай бұрын
@@janepko "PGP to aplikacja" - to ja poproszę o link do strony aplikacji PGP.
@efte6624 2 ай бұрын
👍
@bartoszc6157 2 ай бұрын
👍
@buzk4 Ай бұрын
Jakie passkeye polecacie? Android i ios
@Bamberladys 2 ай бұрын
17:55 "uwierzytelnianie to gdy weryfikujemy czy możemy wejsc, a autoryzacja to do czego" Mnie uczono (za Azura to było) że AuthN (authentication, uwierzytelnianie) służy do weryfikacji tożsamość - czyli że jestem (mam) tym Identity za która się podaje. Z kolei AuthZ daje dostęp do czegokolwiek. Przykładowo mogę zostać poprawnie zweryfikowany przez Identity Provider'a, ale nie mieć nigdzie dostępu - bo np conditional access mi zabrania.
@bartoszc6157 2 ай бұрын
Wydaje mi się, że mówimy o tym samym innymi słowami :)
@Bamberladys 2 ай бұрын
Puk puk (sending request) - Kto tam (start uwierzytelniania) - Odczyt gazu Patrzę przez kuklok, weryfikuje że gość ma plakietkę ze spółdzielni (2FA) czy co tam teraz noszą gazomajstrzy (weryfikacja pomyślna) - Słucham? (Kontynuuje komunikację) - Czy mogę wejść, chcę sprawdzić czy Pan nie wybuchnie. (Request o autoryzację, prawo do wejścia do mieszkania) - No dobra, tylko założę majtki (przygotowanie Landing zony xD) To są dwa różne procesy - w przykładzie z gazem i majtkami (hehe) Identity Provider i Zasob do którego jest Request (moje mieszkanie i kuchenka) były w jednym miejscu. Ale często jest tak, ze AuthN prowadzi jeden provider (Azure, Facebook, Google), a AuthZ jest po stronie innego serwisu.
@mszary 2 ай бұрын
@@Bamberladys piekna analogia, kradne :)
@Bamberladys 2 ай бұрын
Oczywiście AuthN prowadzi EntraID, nie Azure (poprawka dla nerdów z MS)
@sskillerr 15 күн бұрын
Proszę o wyjaśnienie jednaj sprawy... np Google oferuje logowanie do siebie na konto przez passkey i fajnie... Mam to już aktywne. Lecz tak jak i u nich tak na innych stronach poza aktywnym passkey jest dalej aktywne logowanie "starą" metodą, czyli login i hasło. Czy passkey nie powinno zastąpić takiej metody? Bo co mi po tym, że mam passkey włączone i czuje się "bezpieczny" skoro ktoś będzie np chciał włamać się do mnie na konto przez user i pass, czyli starą metodę.
@piotrula9270 2 ай бұрын
Witam mam pytanie z jakiej przegladarki korzysta pan an codzień na swoim komputerze?
@bartoszc6157 2 ай бұрын
Z trio Safari/Chrome/Firefox - ale z tego ostatniego to rzadko - bardziej jak muszę coś przetestować.
@KamileX1990 2 ай бұрын
Super materiał, dasz się namówić na materiał o portfelach sprzętowych kryptowalutowych? Jest ich coraz więcej, krypto influ reklamują te, z którymi mają współpracę… a jestem ciekaw jak to wygląda od strony bezpieczeństwa 😎
@Fempter 29 күн бұрын
Pytanie offtopic @Mateusz, dlaczego trzymasz iPada do góry nogami? 😅
@buzdygan3000 2 ай бұрын
trafilem tu przypadkiem, wysłuchałem calej rozmowy i nadal nie wiem czym te passkeys tak na prawdę są 😢
@21yarpen 2 ай бұрын
Jesli mam unikatowe skomplikowane wygenerowane długie hasło to różnica miedzy nim a passkey to już bardziej filozofia niż realne bezpieczeństwo. Dalej clue problemu to zarzadzanie tym, czyli znowu potrzebny jakiś bitwarden czy coś takiego. Hasło może mieć zaletę. Dodatkowo nie mam wplywu kto zaimplementuje passkey wiec i tak ostatecznie będę miał i hasła i passkey do zarządzania. Bitwarden ogarnia oba wiec znow to bitwarden jest kluczowy a nie jaką formę sekretu wybrałem
@bartoszc6157 2 ай бұрын
Zwróć uwagę na to, że FIDO2 i passkeys odpowiadają na podstawową wadę haseł. Nawet jeżeli są długie, skomplikowane i unikatowe to wciąż są współdzielonym sekretem. Kryptografia asymetryczna jest z zasady bezpieczniejsza w temacie uwierzytelniania. Z pozostałymi tezami zgadzam się w stu procentach - hasła i passkeye pożyją sobie jeszcze obok siebie przez pewien czas.
@YoursInThirst 2 ай бұрын
Pozdrowienia widza z Infoshare
@MateuszChrobok 2 ай бұрын
O/
@YoursInThirst 2 ай бұрын
@@MateuszChrobok lepiej wypadasz w filmikach, na infoshare dźwięk by słaby, reszta git!
@hybryda9953 2 ай бұрын
Bartek, a jak to imię się uwierzytelniania? 😮
@rafal7347 2 ай бұрын
Ciekawe rozwiązanie. Super że jest nadzieja na ułatwienie uwierzytelnienie
@bartoszc6157 2 ай бұрын
Chyba pierwszy taz kiedy zwiększenie bezpieczeństwa nie wiążę się z proporcjonalnym zwiększeniem upierdliwości.
@marekruszczak460 2 ай бұрын
A co rebranding'iem strony? Ostatni duży przykład przykład twitter -> X. Czy passkey w takim wypadku nie zablokuje takiej możliwości, bo zmusi wszystkich użytkowników do ponownego wygenerowania nowego passkey. Pewnie jakiś mechanizm "redirect" będzie rozwiązaniem.
@mszary 2 ай бұрын
Dokladnie tak, jak piszesz. Czasowe utrzymanie starej domeny, ktora bedzie + kampania informacyjna o dorejestrowaniu nowego passkeya (juz w nowej domenie)
@marcinwypych3706 2 ай бұрын
Wszystko, fajne i pięknie, a gdy ktoś jest politycznie niepoprawny i jest w niejawnym zainteresowaniu służb specjalnych czy innego wywiadu, to czasem dla tych służb nie jest uruchomiony "backdoor" w postaci "8h jednorazowej karty zdrapki, a może nieograniczony dostęp do bazy w chmurze"??
@bartoszc6157 2 ай бұрын
Rozumiem, że odnosisz się do ewentualnej możliwości obejścia silnego uwierzytelniania za pomocą kodów jednorazowych - spieszę z wyjaśnieniem. Możliwość zastosowania takich kodów nie jest w żaden sposób wbudowana w standard FIDO2 (w FIDO U2F też nie). To ewentualna decyzja administratora serwisu, czy chce taki sposób "ułatwienia" zamontować u siebie, jego decyzją będzie też czy taka "zdrapka" będzie dostępna dla służb.
@Borowka-Amerykanska 2 ай бұрын
Mateuszu, dlaczego zmiana hasła co miesiąc (wymagana w dużych korporacjach) jest złym pomysłem?
@bartoszc6157 2 ай бұрын
Pozwolę sobie odpowiedzieć - tworzy złe nawyki, użytkownicy często tworzą potworki w stylu hasło+miesiąc a na takie patterny "łamacze haseł" są szczególnie uwrażliwione. Generalnie zależy nam na tym aby użytkownicy byli jak najmniej kreatywni ;)
@Borowka-Amerykanska 2 ай бұрын
@@bartoszc6157 Dzięki! 🤩
@orzelia 2 ай бұрын
Mowiliscie o tym ze chcecie zeby normalny Kowalski tez byl w temacie passkeys ale samo sciagniecie pdf wiaze sie zpowiazaniem z firma. Juz po raz drugi sie spotkalem z tym na tym kanale. Pierwszy raz gdy byl odcinek z sandbbox. Ja jako zwykly pracownik magazynowy nie posiadam firmy czy tez chociaz jak w sand box email-a firmowego. Jak mam to obejsc? Z gory dziękuję za pomoc
@bartoszc6157 2 ай бұрын
Nikomu nie mów - ale możesz podać dowolny mejl w tym formularzu :) Miłego czytania
@orzelia 2 ай бұрын
@@bartoszc6157 normalnie brak mi słów. Dziękuję:)
@hacking-uj2ms 2 ай бұрын
No to dobry standard shakowanie to praktycznie nie możliwe póki co a przede wszystkim mało kiedy coś powstaje do ochrony głupich mam na myśli że ludzie sami dają się wszelaki sposób okraść a tutaj to jak prywatny ochroniarz.
@MateuszChrobok 2 ай бұрын
Do 9chrony wszystkich 😅 każdy ma czasem gorszy dzień. Nie mniej idea jest szczytna.
@michadybczak4862 2 ай бұрын
Czy jeśli stworzymy passkey i zostanie on zapisany w jakiejś lokacji/urządzeniu, to czy można go przenieść albo zduplikować? Np. powiedzmy, że mam passkey zapisany w chmurze Bitwardena i np. chcę go przenieść do KeePassXC na kompie, albo stworzyć kopię zapasową tego keypassa. Albo chcę go przenieść na inną chmurę lub usługę, lub przenieść na Yubikey, jeśli okaże się, że Bitwarden zawiedzie na Androidzie, itp. Z hasłami sprawa jest prosta i mamy nad tym kontrolę, z keypassami nic nie wiadomo i nic nie jest oczywiste. Kolejne pytania: - Czy jeśli utworzy się keypassa do danej usługi, to czy logowanie z hasłem będzie niedostępne? - Czy da się logowanie keypassem wyłączyć? Z tego co widziałem, najczęściej jak już się włączy to nie da się cofnąć. - Jak keypass jest zapisany w bitwardenie w chmurze, a potem chcę użyć na komórce, to czy będzie to możliwe? Ze starych komentarzy wynikało, że taka opcja nie była dostępna, a ponieważ to nie hasło więc nie można sobie od tak skopiować i wkleić, usługa może nie działać?
@bartoszc6157 2 ай бұрын
Eksportowanie passkey'ów to dość skomplikowany temat - z mojej najświeższej wiedzy wynika, że na ten moment jest to możliwe za pomocą airdropa z jednego urządzenia Apple na drugie w tym rezerwacie. W komentarzach @BxOxSxS wspomniał o takiej możliwości w Bitwardenie, ale ja osobiście tego nie próbowałem. Kopię zapasową keepassa oczywiście możesz stworzyć - Twoje passkeye wciąż będą w pliku .kdbx. Najpewniejszym sposobem (i raczej bardziej przyjaznym użytkownikowi od eksportowania baz danych) jest po prostu stworzenie passkey'a na kilku uwierzytelniaczach. Co do kontroli nad hasłami to masz tylko połowicznie rację - masz kontrolę nad tym gdzie je trzymasz. Druga strona komunikacji posiada to samo hasło (w końcu to wspólny sekret) zapisane u siebie - nad tym już kontroli nie masz. W przypadku FIDO2 druga strona ma tylko klucz publiczny - a ten bez tego prywatnego jest bezyżyteczny. Możliwość współistnienia passkey'ów i haseł to decyzja administratora serwisu. Google na przykład pozwala włączyć opcję "rezygnuj z hasła tam gdzie to możliwe". Microsoft pod formularzem na poświadczenia ma link "inne opcje logowania". Oba sposoby w jasny sposób wskazują na współistnienie. Zakładam, że w miarę jak passkeys będą zyskiwać na popularności będzie się pojawiać coraz więcej serwisów, które będą je wykorzystywały jako jedyny sposób uwierzytelnienia. I ostatnie pytanie - jak masz passkey zapisany w chmurze to skorzystasz z niego na każdym urządzeniu, które do tej chmury ma dostęp (i wspiera standard, ale tu akurat ilość urządzeń i systemów niewspierających FIDO2 jest pomijalna).
@michadybczak4862 2 ай бұрын
@@bartoszc6157 Dzięki. Czyli najlepiej tworzyć passkey per urządzenie/lokacja? Będę musiał wypróbować z Googlem, ale pół roku temu Bitwarden miał problemy z passkeyami na Androidzie, dlatego pytam. Jak stworzę na kompie, to czy Bitwarden będzie mi uwierzytelniał na komórce czy nie? Jeśli będzie problem, to muszę z kompa wygenerować kolejny passkey i zapisać go na komórce, zakładając, że taką opcję będę miał dostępną... Czyli przy zmianie urządzeń trzeba o tym pamiętać i generować nowe klucze. No i teraz pojawia się pytanie, jak będzie tysiące passkeyów to jak to ogarnąć? I tutaj jak w filmie powiedziano, nie ma problemu jeśli są one w chmurze (znowu - zakładam, że Bitwarden już to ogarnął i to działa na Androidzie) i pewnie to samo jeśli mamy Yubikey czy coś podobnego. A to ogranicza nas tylko do takich rozwiązań, mimo że w teorii można taki passkey zapisać gdziekolwiek. Jak ktoś będzie miał paranoję i nie będzie chciał chmury to sprawa się komplikuje. Chyba, że passkey będzie zapisany w KeePassie i wtedy trzeba pamiętać o przenoszeniu pliku czy jego backupie, bo systemy się czasem wywalają a dyski mogą ulec uszkodzeniu. No i już widzę tysiące użytkowników, którzy o to nie zadbali i musieli reinstalować system i stracili wszystkie passkey'e... To raczej nie jest rozwiązanie dla każdego i pewnie klucze fizyczne będą musiały się rozpowszechnić, żeby to działało dla szerszej grupy.
@bartoszc6157 2 ай бұрын
@@michadybczak4862 dokładnie z tymi samymi bolączkami się borykamy przy hasłach. Nie ma idealnych rozwiązań a truizm o backupach będzie zawsze mieć sens
@michadybczak4862 2 ай бұрын
@@bartoszc6157 Hasła łatwo zaimportować, wyeksportować czy to do pliku, chmury na urządzenie, menadżera haseł. Czyli np. przejście z LastPasa do Bitwardena to była pestka. Nie wiem czy tak samo łatwo dałoby się przenieść passkey'e. No nic, zrobiłem sobie passkeya na Googlu i zobaczymy jak to będzie działać. Nie lubię 2FA, bo to cholernie upierdliwe, szukać, sięgać po komórkę, odblokowywać ekran, klikać na apkę, potem przepisywać kod, a to już po autoryzacji hasłem. Jeśli można 2FA zastąpić passkeyami to chętnie to zrobię, ale mało który serwis jeszcze ma taką opcję a 2FA praktycznie wszystkie. Jak serwis mnie nie zmusi do 2FA to unikam, właśnie ze względu na niesamowicie upierdliwy proces logowania. Rozważałem kupno Yubikey'a czy coś podobnego, ale jakoś nie jestem pewny tego, bo to też jest mało wygodne i trzeba o tym pamiętać, podłączać, coś tam naciskać. W dzisiejszych czasach mamy setki jeśli nie tysiące kont, więc musi to być wygodne, inaczej nie przejdzie. Wiadomo, że wygoda jest wrogiem bezpieczeństwa, ale tak już jest, jakiś kompromis trzeba wypracować.
@mikusion 2 ай бұрын
no usuniete, ale po jakich 2 latach? po miesiacu, workspace, konto i cala zawartosc orana w imie oszczednosci
@jacknelson9800 2 ай бұрын
Oh kurła totalnie. zrezygnowałem z jednego banku bo tak mnie wqurwiało sprawdzanie która literka/cyferka hasła ma być wpisana
@Spioszek 2 ай бұрын
Bo takie maskowanie hasła powinno być do wyłączenia na życznie klienta, a tak nie jest ;(
@dodatkidominecrafta4762 2 ай бұрын
A jakie to te wtyczki do przeglądarek? Zrób o tym odcinek nie mam pieniedzy na fido
@bartoszc6157 2 ай бұрын
Wtyczki wydane przez producentów menadżerów haseł - można za ich pomocą stworzyć passkey'a w tych rozwiązaniach. Klucza sprzętowego nie potrzebujesz - uwierzytelniaczem może być równie dobrze Windows Hello jeżeli korzystasz z produktów MS, albo google password manager czy wspomniany w filmie iCloud. Do wyboru do koloru
@1vbAPiYk 2 ай бұрын
Jak na razie im więcej wiem o tych FIZYCZNYCH kluczykach tym mniej mam ochotę się w to bawić. Zwłaszcza kwestie braku backupów i problemy przy zgubach mnie odstraszają
@bartoszc6157 2 ай бұрын
FIDO2 niejako "uwolniło pojęcie" uwierzytelniacza. Przy FIDO U2F to był właśnie ten klucz, którego nie lubisz. Przy FIDO 2 to może być Twój komputer, telefon, keepass, chmura, 3rd party software., a nawet... klucz fizyczny ;)
@michadybczak4862 2 ай бұрын
Może takie filmiki z prezentacjami jak to się robi? Np. mam Bitwardena i co dalej? Nie mam, ale mogę zainstalować Keypassa do backupu. I co dalej? To wszystko jest zbyt niekonkretne i póki nie wiadomo jak to działa w praktyce, to na dane rozwiązanie się nie przejdzie.
@BxOxSxS 2 ай бұрын
Łatwo samemu znaleźć albo po prostu spróbować na tych testowych stronkach o których Bartek mówił
@whitestorm3772 2 ай бұрын
właśnie się dowiedziałem że dashlane ma też passkey, tylko trzeba stworzyć pierwszy, żeby funkcja się w aplikacji pokazała
@bartoszc6157 2 ай бұрын
Passkeys zyskują na popularności - producenci menadżerów haseł strzelali by sobie w stopę nie imlementując tej technologii u siebie.
@testerrtestowwyyy3941 2 ай бұрын
w momencie gdy zdjęcia z iCloud wracają po paru latach na ich i inne konta ... to całe wypociny kolegi są na marne ... zaufania brak!
@bartoszc6157 2 ай бұрын
Pisałem o tym wcześniej - co rusz jakiś dostawca narusza moje zaufanie. Moją decyzją jest to czy będę dalej z niego korzystać czy nie. Akurat passkeys pozwalają na dowolny wybór uwierzytelniacza. A że chmura to tylko jeden z wątków rozmowy, to mam nadzieję, że w reszcie wypocin jednak zauważysz trochę sensu :)
@formbi 2 ай бұрын
tak, chmura to tylko komputer kogoś innego
@szymonmol 2 ай бұрын
Dlaczego częsta zmiana hasła jest antywzorcem?
@MateuszChrobok 2 ай бұрын
Bo ludzie są przewidywalni i często jeżeli nie korzystają z losowych haseł z menadżerów dodają miesiąc albo mają system. Duża część popularnych łamaczy haseł ma specjalne opcje by szybciej łamać np. miesiące znaki specjalne na końcu i inne rzeczy, które jako ludzie robimy bo jest nam wygodniej.
@oBooMo 2 ай бұрын
uuuu... brak wsparcia dla Linuksa... to samo w sobie eliminuje rozwiązanie jako standard. Wpędza w vendor lock-in - albo Apple albo MS
@bartoszc6157 2 ай бұрын
Brak wsparcia na Linuxach (albo szczątkowe wsparcie) nie oznacza, że nie można na tych systemach korzystać z passkey'ów. Wciąż masz możliwość używania uwierzytelniaczy 3rd party jak chociażby Keepass, czy SaaSowe managery haseł. Ten brak wsparcia dotyczy natywnej możliwości tworzenia passkey'ów na platformie.
@nihilistycznyateista 2 ай бұрын
W sumie wolę autoryzacje bankowe akurat robić na telefonie w apce dodatkowo, wiec jak dla mnie spoko. To, co mnie, leniwego człowieka o przeciętnym stopniu paranoi interesowało to taki rodzaj spętowego uwierzytelniacza, który wpinam do portu USB i mam w czterech literach i po prostu się loguję do wszystkiego, do czego potrzebuję w szybki i wygodny sposób. Żadnych anydesków nie instaluję,w iec generalnie, aby się gdzieś w moim imieniu zalogować, przestępca musiałby się włamać do mojego mieszkania i fizycznie skorzystać z mojego komputera, czy tak to działa, cza za bardzo upraszczam?
@bartoszc6157 2 ай бұрын
Tak to właśnie działa... W sumie user experience jest taki jak opowiadasz w przypadku apki bankowej - API przerzuca Cię do systemu, gdzie potwierdzasz swoją tożsamość (twarzą, palcem, pinem) dzięki czemu odblokowujesz token, który wpuszcza Cię do banku. Flow w przypadku passkeys jest identyczny
@nihilistycznyateista 2 ай бұрын
@@bartoszc6157 no nie do końca o to by mi chodziło. Myślałem bardziej o czyms takim, że ja raz aktywuję jakieś sprzętowe coś, wpięte do portu w moim komputerze, co odblokowuje menagera haseł/autoryzację bez haseł i po prostu bez robienia czegokolwiek magia dzieje się w tle i moje konta w serwisach się jakby same zalogowują na tym komputerze. To by było user experience, którego bym oczekiwał. Jestem, w pewnie niemałej, grupie tych osób, które nienawidzą upierdliwości, jaka wiąże się z wpisywaniem tych cholernych kodów z google autenthicator w drugim etapie uwierzytelniania, ale traktuję to jako mniejsze zło, bo braku dwuetapowego uwierzytelniania lub jakichś kodów sms to nie zniosę. Psychika mi nei pozwoli. I dlatego mocno myślę nad YubiKey. W czym PassKeys jest lepszy?
@michap.7909 2 ай бұрын
Jak zawsze wspaniały odcinek. Zastanawia mnie to z jakiego powodu Miśki od komputerów tak często są obłożeni tkanką tłuszczową ? Nie rozumiem 70% tego co mówi łysy.
@bartoszc6157 2 ай бұрын
To i tak nieźle - średnia zrozumienia to jakieś 15%. Poczytam to za sukces :)
@petepete2370 Ай бұрын
Passkeys to najwieksza dziura bezpieczeństwa jaka może być - BEZPIECZENSTWO TO ZAWSZE CO MASZ I CO WIESZ. I jeśli ktoś twierdzi inaczej to jest porostu ignorantem ( co sną zasadzie my nie jesteśmy fizykami- fizyki zostawmy fizykom my robimy. technologie - AUTENTYCZNY TEXT KTORY USLYSZALEM- ten batyskaf na pewno się zanurzy - ale juz się nie wynurzył ) Wyobraźmy sobie sytuacje - pracujesz wca worku - i poszedłeś na chwile zrobić kawę - przecież to tylko 2 stoliki stad - ( TO SA MOJE AUTENTYCZNE OBSERWACJE) i zaczynasz gadać 30. minut a komputer nie zablokowany - nie trzeba mieć. dużej wyobraźni. aby wpaść na to ze przestępcy działający parami - jeden zagaduje a drugi kradnie komouteri cyście wam konta - prawda ???
@bartoszc6157 Ай бұрын
No prawda… ale nie do końca rozumiem analogię z Passkeys… Możesz sobie wyobrazić sytuację, że tankujesz auto, zostawiasz kluczyki w stacyjce i idziesz zapłacić za paliwo. A przestępca kradnie Ci auto. Kluczyki samochodowe to największa dziura bezpieczeństwa jaka może być!!! A tak na serio - passkeys spełniają standardy MFA - coś co masz to Twój uwierzytelniacz, który jeszcze musisz odblokować czymś co wiesz (pin) lub czymś czym jesteś (biometria). W Twoim scenariuszu przestępca nie zaloguje się na konta zabezpieczone passkeyem nawet na odblokowanym kompie. A jeszcze abstrahując od tego - nie zostawiajmy odblokowanych sprzętów w miejscach publicznych. Bo sposoby uwierzytelniania będą wtedy najmniejszym problemem jaki może nas spotkać…
@petepete2370 Ай бұрын
@@bartoszc6157 Cóż niektórzy nigdy się nie naucza :-) Passkeys został stworzony do rozwiązania problemu głównie wykradania. passwd i i ch słabości - w miejsce tego zaserwował nam inne problemy . Jako osoba Kotra jakby pracowała w służbach by się baaaardzo cieszyła z tego jakbyś używał passkeys 🙂 Dlaczego - ano dlatego ze wziasc twój telefon i zmusić cie aby przyłożyć palec czy w przypadku apple nawet cie nie dotykać porostu zaprezentować. twoja twarz :-)( uprzedzając komentarze pseudo prawników -- tak zaprezentowanie telefonu przesłuchiwanemu( to twój telefon - ooo odblokował się ) nie jest. przestępstwem ani tortura w polskim prawie i może byc legalnie stosowane ) i mieć dostęp do wszystkich. twoich sekretów :-) praca stanie się dużo prostsza :-) .Nie wspomnę o zaletach zero day :-) i dostępu do. twojego telefony zdalnie 🙂 Nie wspomnę o pijanych ( każdemu się kiedyż zdarzyło ) itp Co do. twojego komentarza ze w moim scenariusz bym sie nie zalogował - to byś się zdziwił :-) - juz logowałem się nie raz i nie dwa :-) - wiec ufajmy paykess A na poważnie chcesz czas się w miarę bezpiecznie to kup bio yubi key
@GreatAnubis 2 ай бұрын
Po ostatniej ogromnej wpadce Apple z pojawianiem się naszych skasowanych zdjęć nawet u innych, komu sprzedaliśmy urządzenie - tak to można pominąć. To takie nic. Można zaufać. Jak osoba zajmująca się uwierzytelnianiem tak mówi po tym incydencie to raczej średnio mówi o tym, że można im zaufać. Serio, mnie to zwyczajnie 'zdziwiło'. Nie ma tu nic wspólnego z paranoją - tu po prostu wiadaomo, że nie można tej chmurze zaufać. Jak można powiedzieć, ze to jest okej?
@bartoszc6157 2 ай бұрын
Małe wyjaśnienie - materiał był nagrany przed wpadką apple. Passkeys dopasowują się do osób z nefofobią :) Można mieć lokalne uwierzytelniacze. Ja trzymam passkeys w kilku miejscach - jak uznam, że te chmurowe przestają być dla nie w jakikolwiek sposób użyteczne, to je po prostu usunę.
@formbi 2 ай бұрын
@@bartoszc6157 nieważne czy przed wpadką, każda «chmura» to tylko komputer kogoś innego i już mnóstwo takich usług miało różne problemy
@GreatAnubis 2 ай бұрын
@@bartoszc6157 no spoko... tylko to zwyczajnie pokazuje, że chmura nie jest miejscem, której można zaufać i fakt, że rozmówca zajmujący się uwierzytelnianiem i generalnie bezpieczeństwem mówiący, że jej ufa to tak jakoś traci u mnie wiarygodność. Podkreślam - u mnie. Może komuś to nie przeszkadza. Jednak fakt, że MOJE zdjęcia pojawiają się u kogoś innego - na moim starym sprzęcie pokazuje, że implementacja szyfrowania to jakiś żart bo go w zasadzie nie ma (skoro widzi ktoś inny z innymi poświadczeniami, skąd ma klucze do odszyfrowania MOJEJ zawartości) ORAZ kasowanie zdjęć niczego faktycznie nie kasuje bo Apple nadal je ma. To bardzo mocno podważa wiarygodność Apple i generalnie chmury. To tylko przykład co się potencjalnie może stać i ja - niezajmujący się takimi rzeczami na codzień mam ogromy dystans do chmury i na pewno bym jej nie zaufał przecieram oczy gdy osoba, która obcuje z tym na codzień, mówi, ze to jest okej. Także tak średnio bym powiedział.
@Vexlarix Ай бұрын
Zastanawiam się, czy google keypass jest przy tym dobrym rozwiązaniem? Zabrałem się za temat i widzę że założenia są dobre a wykonanie jak zwykle. Chcesz zrezygnować z hasła w Outlook? Jasne ale musisz ściągnąć MS auth. Chcesz zrezygnować z hasła na protonie? Pewnie ale musisz ściągnąć proton pass. Przecież to idiotyzm? Do każdego skasowanego konta apka od wlasciela serwisu osobna na wszelki wypadek?
@bartoszc6157 Ай бұрын
Hej - w outlooku bez problemu zarejetrujesz passkey i możesz nie korzystać z Microsoft Authenticator. Co nawet mocno polecam, bo to rozwiązanie jest podatne na phishing. Google pozwala bez problemu zarejestrować passkeye - ich implementacja jest o tyle dziwna, że przy logowaniu każą podać email - co w ogóle nie powinno być potrzebne. Potwierdzanie tożsamości (na przykład przy linkowaniu apek zewnętrznych) już jest password- i usernameless. Proton mail - nie korzystam, nie wiem czy można tylko z passkeyów z proton pass korzystać, czy również z innych uwierzytelniaczy.
@Vexlarix Ай бұрын
@@bartoszc6157 no właśnie wczoraj ogarniałem Outlook/konto microsoft. Wymuszało zeskanowanie kodu QR w Ms auth, bez tego absolutnie nie pozwoliło utworzyć klucza i usunąć hasła. Może gdzieś niezuwazylem opcji pominięcia tego ale próbowałem kilka razy 🤔
@MrGonzoles 2 ай бұрын
i tak trafią się "fachowce" ktòrę dadzą się naciągnąć xD
@bartoszc6157 2 ай бұрын
Nie trzeba być "fachowcem" - wystarczy mieć gorszy dzień. Dlatego warto promować standardy, które robią sporo w kierunku zdjęcia odrobiny odpowiedzialności za element między monitorem a krzesłem. Zawsze jedna płaszczyzna ataku mniej.
@dariuszmion2764 2 ай бұрын
Masakra to wszystko .... jakieś takie grubo skomplikowane
@bartoszc6157 2 ай бұрын
Tylko na pierwszy rzut oka. Technikalia rzeczywiście mają swój poziom skomplikowania, ale samo korzystanie z passkeys sprowadza się do tego co robisz na telefonie czy laptopie dziesiątki razy dziennie - potwierdzeniem się za pomocą biometrii czy innego PINu. Mógłbym Cię zaprosić na swojego lajva, ale tam planuje to skomplikować jeszcze bardziej :) Zamiast tego polecam materiał Kacpra Szurka o passkeys.
@dariuszmion2764 2 ай бұрын
@@bartoszc6157 - dziękuję znam materiał "materiał Kacpra Szurka o passkeys" . Co mnie, że tak powiem kolokwialnie mówiąc przeraza, to to, że dużo z tego trafia do chmury. Wolał bym by pewne sekrety były schowana w moje szufladzie np jak wydruki z zapasowych QR code 2FA Google Authenticator :)
@jarosawwatroba7336 2 ай бұрын
Google złodzieje
@bartoszc6157 2 ай бұрын
i.kym-cdn.com/entries/icons/original/000/011/129/RT.jpg :)
@Potimus_Ripme 2 ай бұрын
ten pan troche niewyraźnie i za szybko mówi
@bartoszc6157 2 ай бұрын
to prawda, ale za to ma też kłopoty z wymawianiem "r" :)
@Potimus_Ripme 2 ай бұрын
@@bartoszc6157 ojejku, przepraszam dla jasności powiem - ja się nie chcę czepiać absolutnie nic osobistego, tylko zwracam uwagę, że dla osób które nie znają Gościa odcinka na co dzień - zrozumienie wszystkiego co mówi może być kłopotliwe. Jednak z doświadczenia wiem, że: tym lepiej jesli grzecznie zwraca się na to uwagę, bo im częściej słyszy się takie komentarze, tym większą wagę będzie się przykładać do wyraźnej wypowiedzi i pracy nad dykcja. Często jest tak, że ludzie, którzy mają wiele do powiedzenia i potrafią budować/ kolejkowac sobie naprzód po 2 zdania w czasie wypowiedzi, chcąc wszystko zmieścić - często zapominają o estetyce wypowiedzi. [Spoilery] Spośród osób, które w ten sposób imponują, wyprzedzając myślą nie tylko słowa ale i całe zdania, mógłbym wymienić Stanisława Lema. Oglądałem kiedyś wywiady Grzegorza brauna zdaje się ze Stanisławem lemem i po prostu głowa mała mi się zrobiła, gdy zobaczyłem jak pan Lem dalece "wybiega naprzód" w czasie udzielania odpowiedzi; co prawda jemu dykcja nie sprawiała większego problemu ale to jest ten sam gatunek inteligentnego człowieka 😁[/spoiler]
@bartoszc6157 2 ай бұрын
@@Potimus_Ripme Ależ w ogóle się nie przejmuj :) Zrehabilitowałeś się porównaniem z Lemem
@formbi 2 ай бұрын
ja tam nadążam na szybkości 1.6
@user-ds7gm9vd3o Ай бұрын
solenie, pieprzenie a zwykła babcia czy dziadek nie wie o czym pieprzycie a tym bardziej co to jest i jak korzystać, takim językiem mówicie...
@przypadkowynick0752 2 ай бұрын
Jprdl, przy tych passkeysach to popłynęliście tak, że możecie obaj pójść na rzecznika prasowego bo kilka dobrych minut sobie gadaliście niczego nie wyjaśniając
@cylian8422 2 ай бұрын
Był wcześniej cały odcinek o tym, czym są passkeysy. Ten odcinek miałbyć odpowiedzią na pytania pod rzeczonym odcinkiem (o czym zresztą Mateusz mówi na początku filmu). Polecam najpierw uważnie słuchać, a dopiero później krytykować
The BN Family
Рет қаралды 17 МЛН
Maciej Wieczorek
Рет қаралды 232 М.
Naviparking
Рет қаралды 9 М.
Przemek Górczyk Podcast
Рет қаралды 291 М.
LED Screen Factory-EagerLED
Рет қаралды 6 МЛН
xunyu
Рет қаралды 1,5 МЛН
lev89k
Рет қаралды 2,5 МЛН