Passkeys - koniec z hasłami

Рет қаралды 20,682

Күн бұрын

Co to jest passkeys? Jak tego używać? Dlaczego to lepsze rozwiązanie niż hasła?
Kurs Cyfrowe Ataki: sklep.szurek.tv/cyfrowe-ataki
Szkolenie Security Awareness: sklep.szurek.tv/security-awar...
Ankieta: szurek.tv/ankieta
0:00 Intro
1:28 Passkeys z kontem Google
5:41 Jak dodać Passkeys do Gmaila
15:51 Logowanie passwordless bez emaila
19:48 Passkeys na komputerach Mac i iPhone
26:02 Logowanie telefonem na komputerze kodem QR
31:51 Passkeys i Bitwarden
40:14 Passkey vs 2FA
44:39 Passkeys w 1Password
47:10 Gdzie mogę tego użyć
51:25 Odpowiedzi na pytania widzów

Пікірлер: 65

@SzPMarianJanoszka 8 ай бұрын

Świetny webinar! Dziękuję za wyjaśnienie tego mechanizmu Passkeys. Przemknęło mi gdzieś, ale nie wgłębiałem się. Teraz wiem więcej:-)

@damiansz4883 27 күн бұрын

Dziękuję. Doskonały materiał.

@Adam_Gk 8 ай бұрын

Bardzo fajny webinar 😁👌

@discodisco3063 8 ай бұрын

Jedyny minus passkey jest taki. Ktoś ma TYLKO 1 laptopa, odpala google i implementuje passkey do swojego konta poprzez windows hallo czy jak to tam zwał... (wiadomo leci do TPM w laptopie) , komputer zostaje skradziony... ktos nie pamieta swoich danych do logowania bo tak długo uzywał passkeys ze zapomniał.... konto przepada. Uzywając kluczy fizycznych z góry ma sie co najmniej 2 sztuki. a TPM`u nie skopiujesz.

@KacperSzurek 8 ай бұрын

Dlatego trzeba tutaj stosować taką samą zasadę jak z kluczami bezpieczeństwa. Czyli co najmniej dwa "passkeys". Czyli jeden na laptopie i drugi (zapasowy) na przykład na telefonie. Dzięki za zwrócenie uwagi na ten ważny temat.

@bartek38912051 8 ай бұрын

Hasło można sobie zapisać w wielu miejscach i problem z głowy. Jak się zapomni, to nic się nie stanie.

@NOWEHITY 8 ай бұрын

Ale przecież Chrome zapisuje hasła nawet do konta google

@dorotaborkowska656 8 ай бұрын

Prubowalem na Google no Ci powiem ze wydało mi sie podejrzane ze Googlus podstawia mi pod nos ten klucz który mam zapisany w pęku kluczy a nie zabardzo chce zeby dodatkowo mu podpiąć smerfa niebieskiego Youbico 🧐 . Edek z bingiem są bardziej elastyczni w tym temacie .

@dariuszmion2764 7 ай бұрын

Czyli co ? Każdy, kto otworzy komputer z Passkeys może się zalogować na pocztę itd bez podawania hasła ?

@adrianyuri5233 6 ай бұрын

Najbardziej irytuje mnie facebook. Pomimo dodania dwóch yubikey, nadal każe potwierdzać innym telefonem... Prowizorka na calego

@jannowak6627 5 ай бұрын

szkoda że tak mało osób ciebie docenia, robisz super content - jakbys chcial to patronite załóż żeby sie dalo odwdzieczyc

@teefhennessy 8 ай бұрын

Kacper, dzięki za materiał. Fajnie ze powstają nowe rozwiązania phishing resistant. Paswordless też spoko, w dzisiejszych czasach kiedy hasło musi być jakie musi, hasła nie mają racji bytu. Niestety adopcja nowego porządku rzeczy jest żenująco wolna. Ile już istnieją klucze FIDO a ile serwisów je wspiera? Obawiam sie że z passkeys będzie podobie 😢 Pytanie: jak trudne jest dołożenie wsparcia fido/passkeys do jakiejś przeciętnej strony która używa loginu i hasła? Zakładam że istnieją gotowe biblioteki.

@KacperSzurek 8 ай бұрын

Generalnie bardzo prosta. Menadżer stworzyły proste API dla programistów i sprzedają je jako usługa. Sprawdź: docs.passwordless.dev/ passage.1password.com/product/passkeys

@HapkinsPL 6 ай бұрын

ok odpalam Hirene sorki obejrze później do konca 57:00 skonczyłem ide walczyc z tym dalej pozdrawiam

@KacperSzurek 8 ай бұрын

Start 1:28

@hovardlee 8 ай бұрын

Ja uwielbiam sposób logowania do konta Ms za pomocą authenticatora i wybrania jednej z 3 opcji. Szybkie. Pytanie jak z używaniem pęku kluczy iCloud w Windowsie? Czy to ma szansę zadziałać? Mam na myśli aplikację hasła icloud. I czy lepiej klucz yubi czy oba włączyć np. dla Gmaila?

@grzegorzbielawski 8 ай бұрын

QNAP dodał możliwość logowania do serwerów bez hasła, są dwie opcje: pierwsza to sparowana aplikacja dostaje pushup po wpisaniu loginu w panelu zarządzania serwera po kliknięciu w aplikacji wpuszcza, druga opcja to skanowania kodu QR na stronie logowania do NAS, skanowanie odbywa się przy pomocy sparowanej aplikacji

@YT_Nick_Name 8 ай бұрын

Klucz sprzętowy może ciągle przydawać się, na wypadek, Gdyby jednak ktoś odgadł (pozyskał) nasze główne hasło. Jeśli byłaby opcja do wyłączenia logowania na danym koncie hasłem, to zmienia postać rzeczy, ale nie wiem, czy warto z takiej możliwości skorzystać, bo główne hasło, uzupełnione o klucz sprzętowy stanowi względnie bezpieczny backup na wypadek utraty lub awarii urządzeń, na których były PassKeys. Właściwie, czym różni się PassKeys od rzetelnego używania managera haseł? Haseł nie powinno się pamiętać, baza powinna być dobrze szyfrowana, np. pęk kluczy Apple z włączoną synchronizacją tylko między urządzeniami końcowymi, bez przechowywania w iCloud i wreszcie, czy hasło, czy PassKeys w pęku kluczy Apple, to jakaś transmisja bajtów z menedżera haseł do serwisu WWW, którą można podsłuchać, i tak zachodzi. Innymi słowy, najchętniej PassKeys z komputera (iPhone) potwierdzałbym kluczem sprzętowym, bo co dwa urządzenia to nie jedno. Jeśli z zasad hasłowych ujmujemy "to co wiemy" to przynajmniej weźmy dwa urządzenia "to co mamy". "To kim jesteśmy" zostaje w biometrii otwierania menedżera. Bardzo proszę o wskazanie błędów w powyższej logice i dziękuję z góry.

@NOWEHITY 8 ай бұрын

Te passkeys nie działa na PayPal, bo jak chcę włączyć na telefonie to nie da się bo przychodzi sms z kodem podaje ten kod i klikam utwórz klucz i znowu od początku czyli sms jak podam znowu przenosi do utwórz klucz i tak w kółko

@xkfotomedia 7 ай бұрын

Dzisiaj będę kupował kolejne dwa klucze U2F NFC od Y bo stwierdziłem, że posiadanie tylko dwóch, to taka lipa trochę. A technologii od Google nie ufam tak za bardzo.

@HapkinsPL 6 ай бұрын

29:00 to nie problem bo są zewnetrze interfecy bluetooth pod usb

@HapkinsPL 6 ай бұрын

jak się tego syfu pozbede to kupie 1password ale wcześniej i tak pozmieniam hasła, narazie sie nie boje bo mam wszędzie 2 etapowe logowanie ale lepiej sie zabezpieczyc

@marcin.kuskiewicz 7 ай бұрын

Jeżeli loguję się domenowo to do kilku komputerów to na każdym z nich muszę osobno tworzyć Passkeys?

@piotrp.1542 8 ай бұрын

Czy można usunąć pojedyncze niepotrzebne Passkeys z TPM ?

@matiszewczyk5848 8 ай бұрын

To mi wygląda na wymianę kluczy publicznych w łopatologiczny sposób.

@KacperSzurek 8 ай бұрын

Dobrze Ci wygląda. Bo passkeys opiera się na kryptografii klucza publicznego ;)

@trojnara 8 ай бұрын

Dlaczego Google wymaga wpisania nazwy użytkownika przed zalokowaniem? Pewnie dlatego, że pozwala korzystać z wielu kont...

@KacperSzurek 8 ай бұрын

GitHub też pozwala na posiadanie wielu kont użytkownika. A jednak tam nie pytają o nazwę użytkownika. Więc jak widzisz to kwestia implementacji.

@trojnara 8 ай бұрын

@@KacperSzurek Ale ja nie pisałam o posiadaniu wielu kont, tylko o korzystaniu z (byciu zalogowanym do) wielu kont. Do tego każde z kont Google może mieć inny rodzaj uwierzytelniania.

@KacperSzurek 8 ай бұрын

@@trojnara To dalej niczego nie zmienia i dalej można użyć tego samego ekranu jak GitHub. Czyli osoby bez Passkeys podają login/hasło a osoby z passkeys klikają guzik "zaloguj z użyciem passkeys" i niczego więcej nie podają. Gdy chcesz się zalogować na kolejne konto, przechodzisz do podstrony logowania i logujesz się na nowe konto w ten sam sposób.

@trojnara 8 ай бұрын

@@KacperSzurek I loguje się z użyciem passkey na które z moich kont? Chciałbym sam się przekonać, ale na razie "This browser or device is reporting partial passkey support. Authentication failed."

@KacperSzurek 8 ай бұрын

@@trojnaraI logujesz się na to, które sobie wybierzesz w GUI. Jak to wygląda widać tutaj: i.stack.imgur.com/5pfrU.png

@mareksaltberg1484 8 ай бұрын

Skan twarzy lub odcisk palca dla googla? Nie skorzystam, dziękuję :)

@KacperSzurek 8 ай бұрын

Z tego co ja wiem, dane biometryczne są przetwarzane lokalnie na Twoim urządzeniu. Poza tym jeśli się o to boisz możesz używać Passkeys bez biometrii. Na przykład z wykorzystaniem kodu PIN.

@mareksaltberg1484 8 ай бұрын

@@KacperSzurek - oficjalnie tak się mówi, że lokalnie, ale ja w to już nie wierzę :)

@mszary 8 ай бұрын

Wykorzystuj ten sam mechanizm, ktory wykorzystujesz do odblokowania swojego telefonu. Jesli zaakceptowales biometrie tam, to w kontekscie passkeyow nic sie nie zmienia. A jesli telefon odblokowujesz pinem/zygzakiem - to uzywaj tego do passkeyow.

@Liquid_Snake 8 ай бұрын

Odciski palców codziennie zostawiasz wszędzie, i boisz się, że Google je będzie miało? Oni mają dużo więcej niż twój palec 😂

@Leonardo-fx8pn 8 ай бұрын

W filmie pada stwierdzenie, jakoby 1password wspierał passkeys na Androidzie. Jest to częściowa prawda, bo sprawdzałem na Androidzie 13 i nie działają. Z tego co się dowiedziałem, passkeys od aplikacji trzecich działa jedynie od Androida 14, a ma go kilka telefonów. Czyli passkeys od 1password działa tylko na tych paru telefonach.

@KacperSzurek 8 ай бұрын

Ciężko oczekiwać aby nowe funkcje działały na starych urządzeniach ;)

@marekgebski3555 8 ай бұрын

Program sponsorowany przez MS i Googiel?

@damianmusz 8 ай бұрын

Może wreszcie pozostałe polskie banki będą miały impuls aby dorzucić FIDO do logowania 😊

@HapkinsPL 6 ай бұрын

Ospaliłem Hirene najpierw i te pliki się nie tworzą na zewnetrzym systemie z pendrive na linuxie też ich nie bedzie jak uruchamiam windowsa to znowu utworzył się ten urzytkownik i pewnie teraz te pliki znowu beda ale najpierw ci napisałem co i jak napewno juz sie utworzyły robie format

@HapkinsPL 6 ай бұрын

nie ma plików Lincoln podejrzewam ze te pliki przechowuja tylko dane ale od samego wejscia do windowsa juz tworzą sie pliki nox

@maksymilianogromski89 8 ай бұрын

Chcilbym poznac Twoje zdanie na temat takich rozwiazan, jak LessPass czy Spectre. Dziekuje z gory.

@KacperSzurek 8 ай бұрын

Niestety nie używałem.

@tomaszchrzest7112 8 ай бұрын

Google pyta może dlatego, że użytkownik może mieć kilka kont ?

@KacperSzurek 8 ай бұрын

Na GitHubie też możesz mieć wiele kont. A tam nie pyta :)

@grzesiekxitami3264 8 ай бұрын

Szurku - oszurałeś nie pamiętam bym dał pierwszą żółtą kartkę, ale ta jest druga

@bnot2454 Ай бұрын

@14:00 Niech Pan będzie poważny. Wszystkie linki to się podaje w opisie, a nie zmusza do pauzowania i przepisywania bardzo długich ręcznie.

@LuckyTechPL 7 ай бұрын

Windows hello. Tymczasem ja używający win Vista

@szmonszmon 8 ай бұрын

Zgaduję, że w takim pomarańczowym banku pewnie wdrożą za kilka lat i będzie trzeba pójść do ich placówki, żeby zeskanować swoją twarz i odcisk palca NA ICH KOMPUTERZE xD Kacper, wszystko fajnie, ale to będzie kolejna bezużyteczna technologia. Albo nikt tego nie wdroży, albo zrobią takie wdrożenie, że bezpieczniej będzie z tego nie korzystać. Co z innymi systemami operacyjnymi? Windows jest zbyt skomplikowany w obsłudze dla wielu osób, zwłaszcza starszych. Ma też swoje wymagania, które wymuszałyby wymianę sprzętu.

@gamepl41 8 ай бұрын

Ty wgl zobaczyłeś ten film🤣🤣

@KacperSzurek 8 ай бұрын

Jeśli Google, Apple i Microsoft coś wdrażają RAZEM to jest spora szansa, że jednak się to przyjmie ;)

@mszary 8 ай бұрын

@@KacperSzurek a co najwazniejsze, nie zawlaszczaja standardu.