Czyli największa wada: nie można sobie zbackupować jak bazy menedżera haseł. Skoro passkey na nowym urządzeniu trzeba zatwierdzić za pomocą starego urządzenia to: - jeśli korzystaliśmy z jednego urządzenia i je straciliśmy to kaplica - jeśli przenosimy się na nowe urządzenia albo chcemy sobie zrobić kopię to musimy pozatwierdzać passkey w każdej usłudze z osobna, jeśli o którejś zapomnimy to bez starego urządzenia... kaplica. Z ww. powodów admini wcale nie muszą mieć mniej pracy.
Najlepszy materiał o passkeys w internecie... jest w polskim internecie :) Super robota, kibicujemy powstaniu kanału po angielsku really, really soon!!! :)
Z jednej strony mówisz, że to takie dobre i że adminowi zdejmie tyle obowiązków. A z drugiej sam przyznajesz, że trzeba zapewnić alternatywną metodę dostępu, żeby możliwe było odzyskanie konta w sytuacji utraty urządzenia, na którym przechowywano klucze. Czyli dalej potrzebne będą po stronie serwera bazy z hasłami, podatne na wycieki. To gdzie tu postęp z punktu widzenia administratora? I druga sprawa - implementacja po stronie klienta. Przy tak skonstruowanym mechanizmie oczywiste staje się, że zaczną się ataki na mechanizm autoryzujący po stronie klienta, zwłaszcza że większość z nas używa procesorów, w których stwierdzono luki pozwalające na wycieki danych. Więc aż się prosi o to, żeby wyciekać klucze prywatne. Więc moim zdaniem hurra optymizm jest tu póki co nie na miejscu.
Perspektywa admina jest z przyszłości choć jak chcesz to już możesz wprowadzić politykę że tylko passkeys choć może to być za wcześnie. Na luki procesorw są łatki i to rozniez nic nowego bo tak samo możesz w ten sposób zainstalować np keyloggera. A klucze prywatne mogą być różnie przechowywane czy to w osobnym procesorze czy kluczu fizycznym zgodnym ze standardem fido2. Do wyboru do koloru
@@BxOxSxSna luki procesora są łatki ale po stronie systemowej. Aktualizacje się kłaniają. Ciekawe z kiedy jest ostatnia aktualizacja na komputerze mojego ojca...
@@XauSex Żalisz się na cały świat że używasz niewspieranego systemu/hardwaru? (Btw Aktualizacja systemu btw do luk cpu nie muszą być możesz aktualizować microcode z biosu). Czy po prostu go nie aktualizujesz? Nie powinieneś bo to niebezpieczne i nie ważne jakiej metody weryfikacji używasz. Ale jeszcze raz: passkeys możesz przechowywać w osobnych czioach kryptograficznych co sporo urządzeń od dawna wspiera. Jak już mówimy o bezpieczeństwie to taki klucz prywatny z passkeys byłoby trudniej zdobyć niż np hasło
Idea jest super, tylko zakładanie że przeciętny user korzysta z więcej niż jednego urządzenia to utopia. W przypadku osób 50+ standardem jest jedno i tylko jedno urządzenie. Tutaj podczas odzyskiwania dostępu nie jest tak kolorowo jak prawi Mateusz. Dla różnych grup społecznych passkeys niesie różne problemy (to nie jest hejt, Mateusza i jego dzialanosc na YT popieram i szanuje w 100%)
Tak oglądam i myślę sobie o zabezpieczeniu swojego banku - login i hasło składające się z cyfr + uzupełnienie PESEL. Pewne instytucje faktycznie mają sporo do nadrobienia.
I żeby było zabawniej login i hasło muszą być cyframi żeby dało się zalogować automatycznie przez serwis telefoniczny. Super zabezpieczenia. Dlatego kasę jednak dużo lepiej trzymać w skarpecie niż na koncie.
Tak, dawno już pisałem do Millennium, żeby to poprawili i odpisali, że przekażą mój postulat do odpowiedniego działu. Też ich spamuj, bo im więcej nas tym może szybciej ruszą d***.
Od biometrii zamierzam trzymać się z daleka, jak passkeys się upowszechni, to pojawią się emulatory urządzeń z takową, A wtedy starczy wyraźne zdjęcie twarzy / odcisk palca z w zasadzie czegokolwiek i żegnaj konto.
Nope, passkeye (te w standardzie FIDO2) to przyjajmniej 2 skladniki - np. cecha biomtetryczna, ale przede wszystkim Twoje urzadzenie. Ta cecha biometryczna sluzy wylacznie do odblokowania klucza prywatnego na Twoim urzadzeniu - ergo: urzadzenie jest krytycznym elementem :)
Moje pytanie, że skoro passkeys są różne na różnych urządzeniach nawet przy korzystaniu z tej samej usługi czy to będzie konto bankowe, czy mailowe czy fb czy inne, to w jaki sposób usługa "wie" że to ten sam jej użytkownik? Druga sprawa czy jak logujemy się innego, cudzego urządzenia, to passkeys są zapamiętywane na tym urządzeniu? Można je z niego usunąć czy tylko przez odpięcie w usłudze?
Korzystam od roku z managera haseł + klucza fizycznego (tam gdzie jest to tylko możliwe i sensowne), dla mnie to wystarczające rozwiązanie. Pamiętam tylko jedno (całkiem skomplikowane) hasło. Reszta jest tak długa i złożona że miałbym problem z przepisaniem XD
Ten protokół również obsługe osobne klucze fizycze, no bo fido2 jest następcą u2f więc pewnie warto zrobić upgrade dla wygody. Hasło wtedy o ile dodaje bezpieczeństwa tak nie jest bezpieczne jeśli trzymamy klucz bezpiecznie
Wszystko fajnie... TYLKO... Przed chwilą patrzyłem jak to działa i nie działa, to znaczy nie jest intuicyjne. Przy nowym urządzeniu dalej potrzeba hasła i uwierzytelnienia aplikacją Gmaila lub telefonem przy dwuetapowej weryfikacji. Więc niby jak ma to działać przy nowych urządzeniach? Hasła wciąż będą zapisywane dla takich sytuacji a jednynie przy stale używanych urządzeniach Passkey? To przecież nie ma sensu...
A co jeżeli ja chcę zalogować się na swoje konto za pomocą czyjegoś urządzenia? W hasłach właśnie to jest najlepsze, że nie autentykujemy urządzenia, ani osoby, tylko znajomość danych logowania. Autentykacja urządzenia często nie jest tym co ludzi satysfakcjonuje, ufność wobec twórców sprzętów musi wzrosnąć - bo to w ich rękach będą nasze dane, już nie tylko na poziomie abstrakcji oprogramowania, ale też na poziomie sprzętowym.
W przypadku pc można połączyć się poprzez Bluetooth że smartphonem tak aby to on wykonał uwierzytelnianie. Klucz prywatny dalej na nim pozostaje, przez to jest to bezpieczniejsze niż hasło. Jest też inna opcja jaką ma bitwarden czyli synchrinizacja klucza prywatnego. Wystarczy zainstalować dodatek który podmieni mechanizm wbudowany w przeglądarce
Bitwardenem dodał niedawno obsługę passkeys. Ja się cieszę bo pozwala na integrację z różnych urządzeń a nie ufam tym implementacją od google, Microsoft itp
Materiał ciekawy, ale trochę nie rozumiem. W jaki sposób lokalnie zapisany klucz prywatny na komputerze ma być zabezpieczony? Mnie zawsze uczyli, że wszystko przechowywane softwareowo lokalnie bez klucza da się rozszyfrować i dopiero sprzętowe skarbce zabezpieczają przed mallwarem. I czy dodanie nowego passkeya z nowego urządzenia musiałbym wykonać oddzielnie dla każdego jednego serwisu? Bo skąd te serwisy wiedzą, że moje nowe urządzenie jest faktycznie moje? Będę wdzięczny za podpowiedzi społeczności 😊
Ja zdecydowanie częściej (przynajmniej ostatnimi czasy) wymieniam komputery, choć de facto dawno nie wymieniłem komputera w całości... w sumie to najczęściej wymieniam słuchawki;]
No dobra, a co jak ktoś uzyska zdalny dostęp do (już odblokowanego) komputera, który jest naszym passkey'em? Jest jakiś dodatkowy PIN, wymagany przy uwierzytelnianiu? Czy trzeba się wtedy posiłkować kluczami U2F?
Czy działa to tak że wybieram sobie zaufany urządzenie i ono jest moim hasłe? Czyli w przypadku jeżeli logował bym się np. na nowe urządzenie to po wpisaniu swojego adresu e-mail na nowym urządzeniu wprowadzam go i potem zamiast hasła akceptuję logowanie na zaufanym urządzeniu? Co w przypadku jeżeli ktoś ukradnie takie urządzenie i w ustawieniach usunie inne zaufany urządzenia tak że zaufane będzie tylko to kradzione?
Mam nieodzowne wrażenie, że to kolejna pułapka w stylu Microsoft czy/i Google mają wszystkie nasze hasła włącznie z danymi jakich serwisów i kiedy używamy..🙈 Co więcej, w tym układzie luka w jednym urządzeniu czy sofcie jak hello w Windows może doprowadzić do utraty nie jednego hasła, ale dostępu do wszystkich podłączonych usług🙉
To jest otwarty standard i wcale nie musisz korzystać z usług takich gigantów. Np Bitwarden już dodał obsługę passkeys. Użytkownik dalej może podejmować decyzje za swoje bezpieczeństwo a tutaj dla serwisu jest dużo trudniej o gafę
@@BxOxSxS To oczywiście dobra informacja, natomiast w tym odcinku zabrakło trochę informacji o tym jak to "oskryptować" w Linuxie, co sugeruje że przeciętny Kowalski wyląduje u gigantów.. niestety. Podobnie Kowalski pracujący w korpo czy innej firmie w oczywiście ufającej gigantom ;)
@@szmaszmoszmaszmo2026 No tak tylko to nie jest problem passkeys. Tak samo jest z np manadzerem haseł od tych firm. Osoby nieświadome dalej będę nieświadome ale bezpieczniejsze od zewnętrznych osób
To wyobraź sobie scenariusz: Ktoś przejmuje twoje urządzenie znając kod odblokowania (np. zobaczył, a następnie przejmuje urządzenie), następnie usuwa autoryzację dla wszystkich innych urządzeń i zmienia twoje hasło.
wystarczy stracić lub uszkodzić urządzenie wtedy będzie problem z dostępem do konta i aby je odzyskać wraca hasło albo i nawet hasło nie pomoże więc jaki jest w tym sens? XD dostęp będzie blokowany ze względu na podejrzenie o nieautoryzowany dostęp
Hint: Twój bank powinien już w tej chwili wymagać potwierdzenia kodem SMS lub appką przy logowaniu do interfejsu web. Jak dostaniesz się do konta, jeśli zgubisz telefon? :)
Niestety nie można mieć ciastka i zjeść ciastka - w sensie - jeżeli zabezpieczasz coś po zęby to i przed samym sobą również, w sensie komputer każdego widzi jednakowo, Ty czy Twój sąsiad jest dla niego kimś obcym - masz hasło czy w tym przypadku PassKey's jesteś "swój", tak samo sąsiad. To takie uproszczenie tematu na maxa. Jednym z rozwiązań jest posiadanie wydrukowanych kodów dostępu do serwisu przynajmniej do tego najważniejszego, a najlepiej do wszystkich, taki jednorazowy kod jest rozwiązaniem na utratę urzadznia gdyż pozwoli na zalogowanie się.
Cześć, czy pendrive szyfrowany z klawiaturą typu Kingston IronKey Keypad 200 mają obecnie sens? Jeśli tak to jaki wybrać np. do przechowywania wrażliwych dokumentów oraz hasła master?
Dzięki za ten film, ale brakuje mi odpowiedzi na pytanie co jeśli miałem passkeys na komputerze i telefonie, które straciłem? Wypadek losowy / kradzież - życie potrafi pisać przeróżne scenariusze. Da się odzyskać dostęp czy przepadliśmy?
Musisz mieć urządzenie, które potwierdzi Twoją tożsamość. To taka sama sytuacja jak logowanie do banku z nowego kompa - zostaniesz poproszony o kliknięcie w appce w telefonie i ten komp stanie się „zaufany”. Inaczej mówiąc: warto mieć zapasowy smartfon. Tak jak warto mieć zapasowy komplet kluczy do domu. A jak zgubisz wszystkie, to kontaktujesz się bezpośrednio z dostawcą i oni Cię jakoś sprawdzą. Oby dobrze.
Wystarczy że do każdego z serwisów wygenerujesz jednorazowe kody dostępu do zalogowania się, to rozwiązuje Twój problem. Takie kody trzeba w takim przypadku mieć wydrukowane i bezpiecznie schowane gdzieś w szafce w domu, lub nie koniecznie u siebie, to już zależy od stopnia bezpieczeństwa jaki chcesz uzyskać.
Można pokusić się o metodę 321 także w tym wypadku. Np 3 urządzenia telefon i PC w domu, a dodatkowa lokalizacja to np stary telefon schowany w domu rodzinnym, albo w firmie jak wolisz.
Czyli nasze urządzenie jest sprzętowym uwierzytelniaczem, ale każdy mogący mnie zmusić lub umiejący podrobić biometrię wobec urządzenia będzie miał mój dostęp. Pozostaje ten nieszczęsny PIN jako "to, co wiemy", ale jeśli to jest faktycznie PIN, a nie hasło, to słabo to wygląda od strony mojego bezpieczeństwa. Oczywiście, statystyczny Kowalski może będzie bezpieczniejszy, ale do czasu aż oszuści nauczą się, że trzeba go np. upić by biometria zadziałała. Całe to zaufanie do biometrii jest dość naiwne :-( Tylko to, co mamy w głowie jest względnie tajne.
Czy aby na pewno do wykorzystania cudzego passkey konieczny jes *fizyczny* dostęp do urządzenia? A nie wystarczy przypadkiem Pegasus albo inny rootkit działający na poziomie jądra systemu operacyjnego? Nie piszę tutaj o odczytaniu klucza prywatnego, bo ten może być schowany w TrustZone albo w innym miejscu do którego jądro nie ma bezpośredniego dostępu, ale o *użyciu* tego klucza przez napastnika do własnych celów.
Ja wiem że jest to problem "z dupy" ale jeżeli stracę "urządzenie" (było o tym wspomniane) tracę dostęp do wszystkiego, a hasło które ustawiłem 2-5-10 lat wcześniej i z niego nigdy nie korzystałem raczej nie będę pamiętał ...
Tak nie pamiętać, bo hacker zapamięta jak mi podpierdasi, ja dosłownie pamiętam koło 129 haseł : ), skoro znam wszystkie ustawy, znam wszystkie punkty Bierzmowania do tego czasu, to mi tam potrzeba jakiegoś gówna... .
Nie wiem po co sobie nie tylko tak utrudniać życie jak i to jeszcze z negatywnym efektem. To nie jest dobre rozwiązanie zarówno menadżer haseł jak i szczególnie passkeys są lepszym rozwiązaniem
To musi znaczyć że te 129 haseł jest bardzo prostych i bazuje na formie hasło-serwis-cyfra lub coś takiego... Dla jasności, też znam punkty kodeksu karnego czy ustaw które mnie dotyczą ale nie znam swojego hasła do maila.
jak hasła mogą wyciec skoro to i tak są hashe w bazie? Zazwyczaj jeden serwis hashuje je 100 razy a strona Y 200 razy więc hashe i tak są inne? jak one mogą wyciec?
Hashe dużo łatwiej złamać niż taki klucz asymetrczny. I zależy od jego złożoności oraz zabezpieczeń serwisu. Z passkeys nie ma opcji że używa przestazalego algorytmu hashowania (lub w ogóle) bo jest przetrzymywany tylko klucz publiczny
Większość ludzi ma już teraz przy PC jakąś biometrię. Reszta póki co będzie wpisywała hasło lub kupi sobie jakiś czujnik biometrii. Nic się nie zmienia w tym zakresie. Przede wszystkim jednak nie musisz mieć takiej potrzeby. Twoim dostawcą tożsamości może być telefon. Logujesz się z kompa na stronę X, a ona na telefon wysyła zapytanie.
Zastanawiam się czy byłaby to polecana metoda dla osób starszych lub niechętnych do jakiejkolwiek technologii. Ciężko byłoby zrozumieć takiej osobie jak to działa a to budzi strach automatycznie.
Rozumiem że klucze generowane w passkeys działają na podobnej zasadzie co PGP, a zatem jaka długość klucza zapewnia nam bezpieczeństwo i chroni przed jego złamaniem, i w ogóle co to za standard tych kluczy? Wystarczy może 4096 bitowy klucz, czy nie ma to w ogóle znaczenia ?
Passkeys korzysta z krzywych eliptycznych domyślnie z tego co wiem. W zależności od poszczególnego algorytmu ale 256 jest uznane za bezpieczne. Dokładnie to byś musiał sprawdzić w specyfikacji czy gdzieś indziej
10:20 nie trzeba zabytków urządzeń. Wystarczy bardziej surowy OS pokroju Arch Linuxa i już będą schody. Oczywiście powstaną open sourcowe rozwiązania, ale jak ktoś miał przynajmniej odrobinę styczności z takimi systemami wie jak to działa w praktyce :)
Ale ludzie wybierają taki me systemy, bo nie chcą mieć dużej liczby wbudowanych rozwiązań. No to nie mają. Po prostu warto pamiętać, że ten „duży” (może wręcz: płatny) OSnto nie tylko gierki i narzucone przeglądarki. ;)
ani słowa chyba nie powiedziałeś, żę bluetooth jest wymagany (nie wiem czemu skoro jest wi-fi), mi to nic nie da bo mało komputerów ma bluetooth w standardzie.
No niby fajne, ale jak padnie serwer to co? Jak ukradną smartfona to co? Nikt z rodziny też nie może się zalogować, bo mąż zginął przygnieciony lawiną razem z telefonem. Jest to bardzo bezpieczne narzędzie, ale też uzależnione od czynników zewnętrznych. Chyba że czegoś nie rozumiem.
Jak Mateusz wspomniał mechanizmy odzyzkiwania zależą od serwisu. Warto się po prostu nimi zainteresować tak aby były bezpieczne i wykonalne i nie będzie z tym żadnych problemów
Już jest dopracowane i ustandarywowane od dawna. Szczególnie że to nie jest wymyślanie koła na nowo (kryptografia asymetryczna jest z nami od lat 80). Na komputery kwantowe nie mają takiego znaczenia wystarczy podmienić na algorytm odporny na to (już takie są i używane produkcyjnie) gdzie z hasłami może być dużo gorzej
Napiszę do hakerów o moje hasła. Co wiedzą i co sobie wymyślili do tego oraz kiedy mnie zabija 🤷 Polecam dokładnie śledzić działanie co się dzieje z urządzeniami, bo to widać 😪🤮
Sama technologia wydaje się bardzo ciekawa, jednak ja osobiście uważam, ze jedynym miejscem, gdzie (jak na razie) może ona trafić do szerszego grona użytkowników jest ekosystem Apple. Patrząc chociażby po sobie, gdzie na codzień używam telefonu na Androidzie i kilku komputerów z Windowsem i Linuksem widzę, że olbrzymim problemem będzie zapewnienie dostępności takich metod na wszystkich maszynach. Słyszałem, ze Bitwarden wprowadza wsparcie dla PassKeys, czy nie dałoby się w miarę łatwo wprowadzić takiego wsparcia dla różnych wariacji na temat KeePassa? Dość częstą praktyką (z której też korzystam) jest synchronizowanie bazy danych za pomocą chmury lub własnych rozwiązań (self-hosted lub lanowych). Jak coś takiego wpłynęłoby na bezpieczeństwo?
Ekosystem Apple nie daje tutaj żadnych plusów jak już to minusów bo jest zamknięty w porównaniu z np bitwardenem. Możesz synchronizować bezpośrednio klucze prywatne ale jest to zgodne ze standardem uznane za niebezpieczne (no bo faktycznie jest to dodatkowy wektor ataku nawet jak mało prawdopodobny to dotkliwy)
@@BxOxSxS Ja sam nie jestem fanem Apple, ale spójżmy prawdzie w oczy znaczną większość użytkowników nie skonfiguruje sobie niczego sama, tylko będzie chciała mieć gotowca. Co do Bitwardena, to nie używałem, ale z tego co wiem jest tam opcja lokalnego serwera (self-hosted) więc bezpieczeństwo powinno być porównywalne z bazą keepassa zaciąganą z własnego serwera, albo synchronizowaną po lanie.
@@BxOxSxS Z tego co wiem (niech jakiś fan jabłek mnie poprawi, bo sam żadnego ich sprzętu nie miałem) Apple ma ten swój chmurowy KeyChain połączony z AppleID. Innymi słowy jak zalogujesz się na jakimś urządzeniu Apple swoim AppleID to będziesz miał to praktycznie od razu skonfigurowane (no może po jakiejś dodatkowej weryfikacji). A o ile Google, czy Microsoft mogą coś takiego zrobić, to zawsze będzie to wymagało dodatkowych kroków od użytkownika w postaci zainstalowania aplikacji, jej skonfigurowania, itd. Chyba, że zdecydowaliby się na wdrożenie jakiejś integracji Android-Windows w obu systemach, ale na to się nie zanosi. Prosty przykład innej usługi. W Androidzie masz zintegrowanego Google Drive, a na Windowsie OneDrive. Obie te usługi są już zainstalowane i połaczone z kontem na którym jesteś zalogowany na urządzeniu. Czy możesz korzystać z tej drugiej usługi? Tak, ale musisz ją sobie sam zainstalować, skonfigurować, a jak coś nie będzie działać to będziesz pewnie musiał szukać na forach, bo pomoc techniczna powie, że to wina tych drugich.
@@BxOxSxS klucze sprzętowe wydają mi się trochę drogim rozwiązaniem jak na firmę z 300 pracownikami, gdzie ze 100 dojeżdża raz w miesiącu lub parę razy. Niech zapomni i wtedy trzeba mu jakoś dostęp dać, nie ma że boli. Dlatego myślałem nad czymś, co można zgrać z telefonem, bo telefon ciężko zapomnieć wziąć ze sobą.
@@patrykrechnio Tak, to wiem, a czy istnieje połączenia jakiegoś fizycznego nośnika typu telefon? Bo niestety, ale Yubikey jest drogi jeżeli nagle mielibyśmy ich kupić kilkaset, nawet z rabatem + ktoś go zgubi i trzeba nowy kupić. Telefon byłby dużo bezpieczniejszym rozwiązaniem moim zdaniem.
Matematycznie to te sama forma działania i nawet algorytmy. Więc to po prostu ładne i bezpieczne opakowanie koła ale tak podobne mechanizmy są z nami już od dawna
Nie kojarzę usuwania Twojego komentarza. Linki do materiału Kacpra (o którym mówię zresztą w odcinku) pojawiają się dwukrotnie: na karcie, kiedy o tym mówię i dodatkowo jeszcze na ekranie końcowym.
@@MateuszChrobok Mateusz, to pewnie nie Ty usunąłeś komentarz, tylko youtube. Brak zezwolenia na wklejanie linków. A Twoich odnośników nie zobaczyłem przez b.lokowanie re.klam. Mój błąd. Jest git. Nie było tematu
Mam taki pomysł na video - test "test pokrycia lokalizatorów" Mianowicie wrzucenie do jednego worka różnych lokalizatorów (Aplle, Samsung, Yanosik, i inne ) i kilka wycieczek do dużych miast, małych miast, wsi, lasów, lotnisk , zagranicy itd (może też wysłanie ich w paczkach kurierskich, wiadomo że chodzi o to żeby osoba która je wozi nie miała smartfonu który akurat działa w jednym z tych systemów - a w przypadku kurierów istnieje taka obawa) Nie chodzi tez o test na kilka dni lecz raczej taki który będzie trwać kilka tygodni (a wyniki mogą być pobierane kilka razy dziennie) żeby wyniki dawały jakiś większy obraz Potem przedstawienie w jakich obszarach które z nadajników pokazywały lokalizacje wiem że na tym kanale nie ma testów, ale może byłoby to coś nowego ;)
W sumie ostatecznym zabezpieczaniem będzie zabezpieczanie biometryczne jak w telefonach. Cyfrowe ID i te inne sprawy co raz bliżej narzucenia na społeczeństwo.
Nie przekonałem się. Mam zasadę, żeby nie mieszać różnych urządzeń. Nie dzielę się nr telefonu i urządzeniem mobilnym z Google, a szczególnie z Microsoftem, bo kolejna droga do inwigilacji. Takie prawidłowości jak przeglądarką Brave, która nagle okazuje się, że jest skompromitowana.
Tyle mądrych rzeczy wymyślili a google po 150 latach dalej nie zabezpieczyło moich zakładek w chrome, które nawet po wylogowaniu są dostępne na komputerze w pracy.
Jak chcesz bezpieczeństwo i szczególnie prywatność to nie używaj chrome. Tutaj jest konflikt interesów bo google też chce znać twoje zakładki ale jednocześnie aby nikt ci się nie włamał na konto (tak jak ty)
Tylko, że my jesteśmy jedynie urzytkownikiem komputera i telefonu. Prawdziwym właścicielem sprzętu jest producent systemu. Tak więc o ile dostęp do naszego konta będzie bardzo utrudniony dla osób postronnych to łatwo będzie wyłączyć dostęp właścicielowi konta.
Jesteś niewolnikiem na własne życzenie. Istnieją wolne systemy gdzy ty go kontolujesz. Idea bardzo stara rozwiązania są od dawna. Warto się zainteresować zamiast narzekać i mówić nieprawdę że nic nie da się z tym zrobić
Co jeszcze jest weryfikowane przy uwierzytelnieniu/operacji kryptograficznej? No bo klucz publiczny jest publiczny - strona phishingowa bez problemu go zdobedzie. Klucz prywatny na urzadzeniu bedzie pasowal do publicznego. To oczywiscie za malo wiec zastanawiam sie - jakie dokladnie elementy sa weryfikowane, co pozwala potwierdzic autentycznosc serwisu i autoryzowac sie?
Ciężko to krótko wyjaśnić ale jest masa dobrych materiałów o kryptografii asymetrycznej zarówno z szyfrowaniem jak i podpisywaniem. Tutaj jest ona wykorzystwana dwustronnie zarówno od klienta jak i serwera
@@drrSowaPL z tego co wiem po prostu channange aby podpisać loso wygenerowaną wartość przez serwer. To wystarczy bo wtedy serwer po prostu za pomocą klucza publicznego weryfikuje podpis co przy sukcesie daje gwarancję posiadania klucza prywatnego
Interesy mogą być zbierzne nawet z wrogami. Google chce abyś był bezpieczniejszy bo podbija im to pr, Ty czujesz się bezpieczniej korzystając z ich usług a im w danych nie mieszkają jacyś włamywacze bo wszystko jest od ciebie. A jak trudniej o włam na konto to trudniej też o farmę trolli
To jest otwarty standard i wcale nie musisz korzystać z usług takich gigantów. Np Bitwarden już dodał obsługę passkeys. Użytkownik dalej może podejmować decyzje za swoje bezpieczeństwo a tutaj dla serwisu jest dużo trudniej o gafę
Masz wybór jednego z kilku gigantów (zresztą nie tylko). To za mało? Czemu? Samochód też kupujesz od jednego z wielkich konsorcjów i jakoś nikt nie płacze, że to takie uzależnienie (przeciwnie: samochód wielu osobom kojarzy się z wolnością ;) ). A kiedyś to można było sobie własnego konia wychować! Bez korporacji!
Szkoda ze nieu można z tego skorzystać natywnie we wszystkich serwisach/.stronach na których się logujemy ... Na razie ich lista jest mega uboga na PL.
ciekawe rozwiązanie, ale jednak wole hasło. Prznajmiej wiem czyja wina kiedy włamią się na konto z powodu "słabe hasło" a tu trzeba pilnować googla albo innego żeby zabezpieczenia miał odpowiednie, a korpo zazwyczaj ma użytkownika w głębokim duuuuuuu... . A tak poza tym zawsze jak słyszę rewolucyjne rozwiązanie to przypominają się mi słowa księdza z U pana Boga za miedzą "kotły elektryczne w piekle to też postęp"
Tak trudno powiedzieć wprost że passkey's to nic innego jak suma kontrolna na podstawie sumy kontrolnej urządzenia, systemu(?) i dopisującego go do profilu użytkownika...
@@marcinwypych3706 Ewidentnie kompletnie nie wiesz jak działa ten standard i piszesz tylko kolejne głupoty. Zanalizuj sobie standard a następnie jakąś otwarta implementację aby mieć pewność jeśli wolisz. Możesz bez żadnych problemów zakładając że masz umiejętności. Kryptografię asymetryczną nawet łatwiej ogarnąć na prostych liczbach
Chujowe, hasło ma znać user, a nie jakiś pośrednik, nawet dwuetapówka jest do dupy, już wielu ludzi tak potraciło oszczędności jak zgubili telefon i już się nie zalogują do swojego portfela crypto czy revoluta bo teraz nie ma ludzi jest ai i nikt ci nie pomoże z takimi sprawami, możesz pisać maile do usranej śmierci, jedynie banki owszem bo jeszcze mają placówki, ale jakieś fb, google, itp, zapomnij. Ktoś ukradnie Ci całą wirtualną tożsamość i gówno zrobisz.
Czyli największa wada: nie można sobie zbackupować jak bazy menedżera haseł.
Skoro passkey na nowym urządzeniu trzeba zatwierdzić za pomocą starego urządzenia to:
- jeśli korzystaliśmy z jednego urządzenia i je straciliśmy to kaplica
- jeśli przenosimy się na nowe urządzenia albo chcemy sobie zrobić kopię to musimy pozatwierdzać passkey w każdej usłudze z osobna, jeśli o którejś zapomnimy to bez starego urządzenia... kaplica.
Z ww. powodów admini wcale nie muszą mieć mniej pracy.
Najlepszy materiał o passkeys w internecie... jest w polskim internecie :) Super robota, kibicujemy powstaniu kanału po angielsku really, really soon!!! :)
Z jednej strony mówisz, że to takie dobre i że adminowi zdejmie tyle obowiązków. A z drugiej sam przyznajesz, że trzeba zapewnić alternatywną metodę dostępu, żeby możliwe było odzyskanie konta w sytuacji utraty urządzenia, na którym przechowywano klucze. Czyli dalej potrzebne będą po stronie serwera bazy z hasłami, podatne na wycieki. To gdzie tu postęp z punktu widzenia administratora?
I druga sprawa - implementacja po stronie klienta. Przy tak skonstruowanym mechanizmie oczywiste staje się, że zaczną się ataki na mechanizm autoryzujący po stronie klienta, zwłaszcza że większość z nas używa procesorów, w których stwierdzono luki pozwalające na wycieki danych. Więc aż się prosi o to, żeby wyciekać klucze prywatne. Więc moim zdaniem hurra optymizm jest tu póki co nie na miejscu.
Perspektywa admina jest z przyszłości choć jak chcesz to już możesz wprowadzić politykę że tylko passkeys choć może to być za wcześnie. Na luki procesorw są łatki i to rozniez nic nowego bo tak samo możesz w ten sposób zainstalować np keyloggera. A klucze prywatne mogą być różnie przechowywane czy to w osobnym procesorze czy kluczu fizycznym zgodnym ze standardem fido2. Do wyboru do koloru
@@BxOxSxSna luki procesora są łatki ale po stronie systemowej. Aktualizacje się kłaniają. Ciekawe z kiedy jest ostatnia aktualizacja na komputerze mojego ojca...
@@XauSex Żalisz się na cały świat że używasz niewspieranego systemu/hardwaru? (Btw Aktualizacja systemu btw do luk cpu nie muszą być możesz aktualizować microcode z biosu). Czy po prostu go nie aktualizujesz? Nie powinieneś bo to niebezpieczne i nie ważne jakiej metody weryfikacji używasz. Ale jeszcze raz: passkeys możesz przechowywać w osobnych czioach kryptograficznych co sporo urządzeń od dawna wspiera. Jak już mówimy o bezpieczeństwie to taki klucz prywatny z passkeys byłoby trudniej zdobyć niż np hasło
Nareszcie połaczenie sił przez Mateusza i Kacpra! Pisałem o tym chyba ze dwa lata temu....ehhh Fuzja na miarę Vegito!
Świetny materiał!
Idea jest super, tylko zakładanie że przeciętny user korzysta z więcej niż jednego urządzenia to utopia. W przypadku osób 50+ standardem jest jedno i tylko jedno urządzenie. Tutaj podczas odzyskiwania dostępu nie jest tak kolorowo jak prawi Mateusz. Dla różnych grup społecznych passkeys niesie różne problemy (to nie jest hejt, Mateusza i jego dzialanosc na YT popieram i szanuje w 100%)
No to z czasem nauczymy się mieć kilka urządzeń. Tak jak nauczyliśmy się trzymać w bezpiecznym miejscu dodatkowy klucz do mieszkania.
Są różne metody odzyskiwania. Czy to jakieś kody itp, zależy od serwisu. Warto po prostu się zainteresować tym (nawet z hasłami) aby beż spokojnym
Wiesz, osoby 50+, w dużej mierze obslugują 2 urządzenia, ale znam młodsze osoby, które mają tylko smartfon, więc różnie to bywa.
Tak oglądam i myślę sobie o zabezpieczeniu swojego banku - login i hasło składające się z cyfr + uzupełnienie PESEL. Pewne instytucje faktycznie mają sporo do nadrobienia.
I żeby było zabawniej login i hasło muszą być cyframi żeby dało się zalogować automatycznie przez serwis telefoniczny. Super zabezpieczenia. Dlatego kasę jednak dużo lepiej trzymać w skarpecie niż na koncie.
Tak, dawno już pisałem do Millennium, żeby to poprawili i odpisali, że przekażą mój postulat do odpowiedniego działu. Też ich spamuj, bo im więcej nas tym może szybciej ruszą d***.
A co w sytuacji gdy musimy zalogować się na jakimś innym urządzeniu które nie należy do nas a własnego nie mamy przy sobie
i nie chcemy tworzyć pary na tym urządzeniu, bo np. chcemy sprawdzić pocztę w przysłowiowej kawaiarni internetowej.
Od biometrii zamierzam trzymać się z daleka, jak passkeys się upowszechni, to pojawią się emulatory urządzeń z takową, A wtedy starczy wyraźne zdjęcie twarzy / odcisk palca z w zasadzie czegokolwiek i żegnaj konto.
Nope, passkeye (te w standardzie FIDO2) to przyjajmniej 2 skladniki - np. cecha biomtetryczna, ale przede wszystkim Twoje urzadzenie. Ta cecha biometryczna sluzy wylacznie do odblokowania klucza prywatnego na Twoim urzadzeniu - ergo: urzadzenie jest krytycznym elementem :)
Świetne video. Jakość produkcji najwyższa, można oglądać bez dźwięku i odwrotnie, no i w komplecie (zaleca się).
Dzięki za wyjaśnienie "spasuj i całuj" 😉
A o jeśli mam kilka kont na w tej samej usłudze? Będę musiał tworzyć kilka kont na telefonie/tablecie itp?
Moje pytanie, że skoro passkeys są różne na różnych urządzeniach nawet przy korzystaniu z tej samej usługi czy to będzie konto bankowe, czy mailowe czy fb czy inne, to w jaki sposób usługa "wie" że to ten sam jej użytkownik? Druga sprawa czy jak logujemy się innego, cudzego urządzenia, to passkeys są zapamiętywane na tym urządzeniu? Można je z niego usunąć czy tylko przez odpięcie w usłudze?
Korzystam od roku z managera haseł + klucza fizycznego (tam gdzie jest to tylko możliwe i sensowne), dla mnie to wystarczające rozwiązanie. Pamiętam tylko jedno (całkiem skomplikowane) hasło. Reszta jest tak długa i złożona że miałbym problem z przepisaniem XD
Ten protokół również obsługe osobne klucze fizycze, no bo fido2 jest następcą u2f więc pewnie warto zrobić upgrade dla wygody. Hasło wtedy o ile dodaje bezpieczeństwa tak nie jest bezpieczne jeśli trzymamy klucz bezpiecznie
najczęściej hasła są kradzione właśnie z takich serwerów .... i sprzedawane pozdrawiam
@@alojzygowacki3258 jakich serwerów? Bo autor komentarza o żadnych serwerach nie wspominał
Wszystko fajnie... TYLKO... Przed chwilą patrzyłem jak to działa i nie działa, to znaczy nie jest intuicyjne. Przy nowym urządzeniu dalej potrzeba hasła i uwierzytelnienia aplikacją Gmaila lub telefonem przy dwuetapowej weryfikacji. Więc niby jak ma to działać przy nowych urządzeniach? Hasła wciąż będą zapisywane dla takich sytuacji a jednynie przy stale używanych urządzeniach Passkey? To przecież nie ma sensu...
Z praktycznego punktu widzenia brzmi jak mnóstwo problemów.
Z praktycznego punktu widzenia brzmi jak technologie, których używasz od lat codziennie, tylko nawet tego nie zauważasz. :)
@@piotrkosewski8940 Czyli nie muszę zaprzątać sobie głowy passkeys. Dzięki za wyjaśnienie. :)
Prędkość x1.25 i można słuchać.
Ja Mateusza na 1,5x zawsze slucham...
Pod względem bezpieczeństwa: znów mamy jeden czynnik, może i nieźle zabezpieczony ale ciągle jeden.
ten kto włada tym programem ma dostęp do generowanych kluczy i w każdej chwili z dowolnym uzytkownikiem zrobi co zechce ....
A co jeżeli ja chcę zalogować się na swoje konto za pomocą czyjegoś urządzenia? W hasłach właśnie to jest najlepsze, że nie autentykujemy urządzenia, ani osoby, tylko znajomość danych logowania. Autentykacja urządzenia często nie jest tym co ludzi satysfakcjonuje, ufność wobec twórców sprzętów musi wzrosnąć - bo to w ich rękach będą nasze dane, już nie tylko na poziomie abstrakcji oprogramowania, ale też na poziomie sprzętowym.
W przypadku pc można połączyć się poprzez Bluetooth że smartphonem tak aby to on wykonał uwierzytelnianie. Klucz prywatny dalej na nim pozostaje, przez to jest to bezpieczniejsze niż hasło. Jest też inna opcja jaką ma bitwarden czyli synchrinizacja klucza prywatnego. Wystarczy zainstalować dodatek który podmieni mechanizm wbudowany w przeglądarce
Bitwardenem dodał niedawno obsługę passkeys. Ja się cieszę bo pozwala na integrację z różnych urządzeń a nie ufam tym implementacją od google, Microsoft itp
Czyli do wszystkiego będę się uwierzytelnił podobnie jak do githuba po SSH Key.
Materiał ciekawy, ale trochę nie rozumiem. W jaki sposób lokalnie zapisany klucz prywatny na komputerze ma być zabezpieczony? Mnie zawsze uczyli, że wszystko przechowywane softwareowo lokalnie bez klucza da się rozszyfrować i dopiero sprzętowe skarbce zabezpieczają przed mallwarem.
I czy dodanie nowego passkeya z nowego urządzenia musiałbym wykonać oddzielnie dla każdego jednego serwisu? Bo skąd te serwisy wiedzą, że moje nowe urządzenie jest faktycznie moje? Będę wdzięczny za podpowiedzi społeczności 😊
Możesz przechowywać w specjalnym hardowerowym sejfie nie ma problemu. Wszystko zależy od implementacji, tak to robi na pewno android
Możesz do 25 passkeyów przechowywać na Yubikey.
Mateusz a jakie masz zdanie na temat zapisywania passkeys w managerach haseł jak Bitwarden czy 1Password?
Ja zdecydowanie częściej (przynajmniej ostatnimi czasy) wymieniam komputery, choć de facto dawno nie wymieniłem komputera w całości... w sumie to najczęściej wymieniam słuchawki;]
No dobra, a co jak ktoś uzyska zdalny dostęp do (już odblokowanego) komputera, który jest naszym passkey'em? Jest jakiś dodatkowy PIN, wymagany przy uwierzytelnianiu? Czy trzeba się wtedy posiłkować kluczami U2F?
Czy działa to tak że wybieram sobie zaufany urządzenie i ono jest moim hasłe? Czyli w przypadku jeżeli logował bym się np. na nowe urządzenie to po wpisaniu swojego adresu e-mail na nowym urządzeniu wprowadzam go i potem zamiast hasła akceptuję logowanie na zaufanym urządzeniu?
Co w przypadku jeżeli ktoś ukradnie takie urządzenie i w ustawieniach usunie inne zaufany urządzenia tak że zaufane będzie tylko to kradzione?
Mam nieodzowne wrażenie, że to kolejna pułapka w stylu Microsoft czy/i Google mają wszystkie nasze hasła włącznie z danymi jakich serwisów i kiedy używamy..🙈 Co więcej, w tym układzie luka w jednym urządzeniu czy sofcie jak hello w Windows może doprowadzić do utraty nie jednego hasła, ale dostępu do wszystkich podłączonych usług🙉
To jest otwarty standard i wcale nie musisz korzystać z usług takich gigantów. Np Bitwarden już dodał obsługę passkeys. Użytkownik dalej może podejmować decyzje za swoje bezpieczeństwo a tutaj dla serwisu jest dużo trudniej o gafę
@@BxOxSxS To oczywiście dobra informacja, natomiast w tym odcinku zabrakło trochę informacji o tym jak to "oskryptować" w Linuxie, co sugeruje że przeciętny Kowalski wyląduje u gigantów.. niestety. Podobnie Kowalski pracujący w korpo czy innej firmie w oczywiście ufającej gigantom ;)
@@szmaszmoszmaszmo2026 No tak tylko to nie jest problem passkeys. Tak samo jest z np manadzerem haseł od tych firm. Osoby nieświadome dalej będę nieświadome ale bezpieczniejsze od zewnętrznych osób
A jeszcze jak się okaże, że jakaś większa armia lub kilka mniejszych używała tego systemu, to już mamy globalny pasztet gotowy.
To wyobraź sobie scenariusz:
Ktoś przejmuje twoje urządzenie znając kod odblokowania (np. zobaczył, a następnie przejmuje urządzenie),
następnie usuwa autoryzację dla wszystkich innych urządzeń i zmienia twoje hasło.
AdminAkademia też to dobrze wyjaśniał
Mądrego to i fajnie posłuchać 😮
wystarczy stracić lub uszkodzić urządzenie wtedy będzie problem z dostępem do konta i aby je odzyskać wraca hasło albo i nawet hasło nie pomoże więc jaki jest w tym sens? XD dostęp będzie blokowany ze względu na podejrzenie o nieautoryzowany dostęp
Hint: Twój bank powinien już w tej chwili wymagać potwierdzenia kodem SMS lub appką przy logowaniu do interfejsu web.
Jak dostaniesz się do konta, jeśli zgubisz telefon? :)
Niestety nie można mieć ciastka i zjeść ciastka - w sensie - jeżeli zabezpieczasz coś po zęby to i przed samym sobą również, w sensie komputer każdego widzi jednakowo, Ty czy Twój sąsiad jest dla niego kimś obcym - masz hasło czy w tym przypadku PassKey's jesteś "swój", tak samo sąsiad. To takie uproszczenie tematu na maxa.
Jednym z rozwiązań jest posiadanie wydrukowanych kodów dostępu do serwisu przynajmniej do tego najważniejszego, a najlepiej do wszystkich, taki jednorazowy kod jest rozwiązaniem na utratę urzadznia gdyż pozwoli na zalogowanie się.
Cześć, czy pendrive szyfrowany z klawiaturą typu Kingston IronKey Keypad 200 mają obecnie sens? Jeśli tak to jaki wybrać np. do przechowywania wrażliwych dokumentów oraz hasła master?
Dzięki za ten film, ale brakuje mi odpowiedzi na pytanie co jeśli miałem passkeys na komputerze i telefonie, które straciłem? Wypadek losowy / kradzież - życie potrafi pisać przeróżne scenariusze. Da się odzyskać dostęp czy przepadliśmy?
Musisz mieć urządzenie, które potwierdzi Twoją tożsamość. To taka sama sytuacja jak logowanie do banku z nowego kompa - zostaniesz poproszony o kliknięcie w appce w telefonie i ten komp stanie się „zaufany”.
Inaczej mówiąc: warto mieć zapasowy smartfon. Tak jak warto mieć zapasowy komplet kluczy do domu.
A jak zgubisz wszystkie, to kontaktujesz się bezpośrednio z dostawcą i oni Cię jakoś sprawdzą. Oby dobrze.
Co jeżeli straciłeś obydwa urządzenia?
Czytaj ze zrozumieniem.
@@prostykotprostykot2620 "zapasowy smartfon" panie "czytaj ze zrozumieniem".
Wystarczy że do każdego z serwisów wygenerujesz jednorazowe kody dostępu do zalogowania się, to rozwiązuje Twój problem. Takie kody trzeba w takim przypadku mieć wydrukowane i bezpiecznie schowane gdzieś w szafce w domu, lub nie koniecznie u siebie, to już zależy od stopnia bezpieczeństwa jaki chcesz uzyskać.
Można pokusić się o metodę 321 także w tym wypadku.
Np 3 urządzenia
telefon i PC w domu, a dodatkowa lokalizacja to np stary telefon schowany w domu rodzinnym, albo w firmie jak wolisz.
Czyli nasze urządzenie jest sprzętowym uwierzytelniaczem, ale każdy mogący mnie zmusić lub umiejący podrobić biometrię wobec urządzenia będzie miał mój dostęp. Pozostaje ten nieszczęsny PIN jako "to, co wiemy", ale jeśli to jest faktycznie PIN, a nie hasło, to słabo to wygląda od strony mojego bezpieczeństwa. Oczywiście, statystyczny Kowalski może będzie bezpieczniejszy, ale do czasu aż oszuści nauczą się, że trzeba go np. upić by biometria zadziałała. Całe to zaufanie do biometrii jest dość naiwne :-( Tylko to, co mamy w głowie jest względnie tajne.
Czy aby na pewno do wykorzystania cudzego passkey konieczny jes *fizyczny* dostęp do urządzenia? A nie wystarczy przypadkiem Pegasus albo inny rootkit działający na poziomie jądra systemu operacyjnego? Nie piszę tutaj o odczytaniu klucza prywatnego, bo ten może być schowany w TrustZone albo w innym miejscu do którego jądro nie ma bezpośredniego dostępu, ale o *użyciu* tego klucza przez napastnika do własnych celów.
czemu dopuszczalne jest wykonanie więcej niż dwu prób na sekundę?
czemu moja myśl nie jest odkrywcza?
juz dawno temu starożytne delfiny wymyśliły gpg, widze ze tylko 24 lata zajęła adaptacja dla januszy
Z jakich passkeys korzystacie i polecacie?
Ja wiem że jest to problem "z dupy" ale jeżeli stracę "urządzenie" (było o tym wspomniane) tracę dostęp do wszystkiego, a hasło które ustawiłem 2-5-10 lat wcześniej i z niego nigdy nie korzystałem raczej nie będę pamiętał ...
a co z prywatnością? kupując klucz, sklep poznaje nasze dane, które ktoś może potem powiązać z kluczem?
Tak nie pamiętać, bo hacker zapamięta jak mi podpierdasi, ja dosłownie pamiętam koło 129 haseł : ), skoro znam wszystkie ustawy, znam wszystkie punkty Bierzmowania do tego czasu, to mi tam potrzeba jakiegoś gówna... .
Nie wiem po co sobie nie tylko tak utrudniać życie jak i to jeszcze z negatywnym efektem. To nie jest dobre rozwiązanie zarówno menadżer haseł jak i szczególnie passkeys są lepszym rozwiązaniem
To musi znaczyć że te 129 haseł jest bardzo prostych i bazuje na formie hasło-serwis-cyfra lub coś takiego... Dla jasności, też znam punkty kodeksu karnego czy ustaw które mnie dotyczą ale nie znam swojego hasła do maila.
jak hasła mogą wyciec skoro to i tak są hashe w bazie? Zazwyczaj jeden serwis hashuje je 100 razy a strona Y 200 razy więc hashe i tak są inne? jak one mogą wyciec?
Hashe dużo łatwiej złamać niż taki klucz asymetrczny. I zależy od jego złożoności oraz zabezpieczeń serwisu. Z passkeys nie ma opcji że używa przestazalego algorytmu hashowania (lub w ogóle) bo jest przetrzymywany tylko klucz publiczny
A do PC nie trzeba mieć urządzenia do odcisków palca lub tympodobnych?
Większość ludzi ma już teraz przy PC jakąś biometrię. Reszta póki co będzie wpisywała hasło lub kupi sobie jakiś czujnik biometrii. Nic się nie zmienia w tym zakresie.
Przede wszystkim jednak nie musisz mieć takiej potrzeby. Twoim dostawcą tożsamości może być telefon. Logujesz się z kompa na stronę X, a ona na telefon wysyła zapytanie.
Trzeba, ale bez tego również się da - mówimy wtedy o Windows Hello - Czyli kod PIN
Zastanawiam się czy byłaby to polecana metoda dla osób starszych lub niechętnych do jakiejkolwiek technologii. Ciężko byłoby zrozumieć takiej osobie jak to działa a to budzi strach automatycznie.
Raz dwa trzy cztery pięć sześć siedem osiem dziewięć 😉👍
Rozumiem że klucze generowane w passkeys działają na podobnej zasadzie co PGP, a zatem jaka długość klucza zapewnia nam bezpieczeństwo i chroni przed jego złamaniem, i w ogóle co to za standard tych kluczy? Wystarczy może 4096 bitowy klucz, czy nie ma to w ogóle znaczenia ?
Passkeys korzysta z krzywych eliptycznych domyślnie z tego co wiem. W zależności od poszczególnego algorytmu ale 256 jest uznane za bezpieczne. Dokładnie to byś musiał sprawdzić w specyfikacji czy gdzieś indziej
mogę się tak zalogować tylko w google. na każdym innym forum/portalu czy cokolwiek już to nie działa. nie ma po prostu opcji logowania przez google
Czy to coś w podobie uwierzytelniania na forum „cebulka” ? 😊
Lepsze bo odporne na phishing przez weryfikację serwera
10:20 nie trzeba zabytków urządzeń. Wystarczy bardziej surowy OS pokroju Arch Linuxa i już będą schody. Oczywiście powstaną open sourcowe rozwiązania, ale jak ktoś miał przynajmniej odrobinę styczności z takimi systemami wie jak to działa w praktyce :)
Ale ludzie wybierają taki me systemy, bo nie chcą mieć dużej liczby wbudowanych rozwiązań. No to nie mają.
Po prostu warto pamiętać, że ten „duży” (może wręcz: płatny) OSnto nie tylko gierki i narzucone przeglądarki. ;)
ani słowa chyba nie powiedziałeś, żę bluetooth jest wymagany (nie wiem czemu skoro jest wi-fi), mi to nic nie da bo mało komputerów ma bluetooth w standardzie.
a czy to nie jest naruszenie naszej prywatności że jakiś program ma dostęp do naszego komputera ja nie chce żeby jakiś program mi grzebał w sprzęcie
To tak nie działa. Twój system tym zarządza. Albo inny wybrany program np menadżer haseł jeśli obsługuje. Serwis nie ma dostępu do twojego urządzenia
@@BxOxSxS ja tam nie wiem ale nie chce żeby mi coś ingerowało w co koliwek w sprzęcie lub oprogramowaniu tak że odpada
@@Viking78v ale co ma niby integrować? I w co? To tak kompletnie nie działa
No niby fajne, ale jak padnie serwer to co? Jak ukradną smartfona to co? Nikt z rodziny też nie może się zalogować, bo mąż zginął przygnieciony lawiną razem z telefonem. Jest to bardzo bezpieczne narzędzie, ale też uzależnione od czynników zewnętrznych. Chyba że czegoś nie rozumiem.
Jak Mateusz wspomniał mechanizmy odzyzkiwania zależą od serwisu. Warto się po prostu nimi zainteresować tak aby były bezpieczne i wykonalne i nie będzie z tym żadnych problemów
mamy w firmie od dawna karty z kluczami na pin, już nawet zapomniałem główne hasło jakie miałem
imo poczekać na to żeby passkeys dopracowano i ustandaryzowano, i czekać na komputery kwantowe
Już jest dopracowane i ustandarywowane od dawna. Szczególnie że to nie jest wymyślanie koła na nowo (kryptografia asymetryczna jest z nami od lat 80). Na komputery kwantowe nie mają takiego znaczenia wystarczy podmienić na algorytm odporny na to (już takie są i używane produkcyjnie) gdzie z hasłami może być dużo gorzej
@@BxOxSxS miło, dzięki
@@BxOxSxS w punkt. Google od 2017 dziala na "uproszczonych passkeyach" :)
a co zrobić jak przestępcy odetną nam palec
Napiszę do hakerów o moje hasła.
Co wiedzą i co sobie wymyślili do tego oraz kiedy mnie zabija 🤷
Polecam dokładnie śledzić działanie co się dzieje z urządzeniami, bo to widać 😪🤮
Sama technologia wydaje się bardzo ciekawa, jednak ja osobiście uważam, ze jedynym miejscem, gdzie (jak na razie) może ona trafić do szerszego grona użytkowników jest ekosystem Apple. Patrząc chociażby po sobie, gdzie na codzień używam telefonu na Androidzie i kilku komputerów z Windowsem i Linuksem widzę, że olbrzymim problemem będzie zapewnienie dostępności takich metod na wszystkich maszynach. Słyszałem, ze Bitwarden wprowadza wsparcie dla PassKeys, czy nie dałoby się w miarę łatwo wprowadzić takiego wsparcia dla różnych wariacji na temat KeePassa? Dość częstą praktyką (z której też korzystam) jest synchronizowanie bazy danych za pomocą chmury lub własnych rozwiązań (self-hosted lub lanowych). Jak coś takiego wpłynęłoby na bezpieczeństwo?
Ekosystem Apple nie daje tutaj żadnych plusów jak już to minusów bo jest zamknięty w porównaniu z np bitwardenem. Możesz synchronizować bezpośrednio klucze prywatne ale jest to zgodne ze standardem uznane za niebezpieczne (no bo faktycznie jest to dodatkowy wektor ataku nawet jak mało prawdopodobny to dotkliwy)
Keepass z tego co słyszałem już pracuje nad implementacją PassKey's u siebie - jeżeli to masz na myśli.
@@BxOxSxS Ja sam nie jestem fanem Apple, ale spójżmy prawdzie w oczy znaczną większość użytkowników nie skonfiguruje sobie niczego sama, tylko będzie chciała mieć gotowca.
Co do Bitwardena, to nie używałem, ale z tego co wiem jest tam opcja lokalnego serwera (self-hosted) więc bezpieczeństwo powinno być porównywalne z bazą keepassa zaciąganą z własnego serwera, albo synchronizowaną po lanie.
@@bezi8875 Ale co apple oferuje więcej od reszty? Bo nie rozumiem tego. Rozwiązania od Google czy Microsoftu są bardzo podobne
@@BxOxSxS Z tego co wiem (niech jakiś fan jabłek mnie poprawi, bo sam żadnego ich sprzętu nie miałem) Apple ma ten swój chmurowy KeyChain połączony z AppleID. Innymi słowy jak zalogujesz się na jakimś urządzeniu Apple swoim AppleID to będziesz miał to praktycznie od razu skonfigurowane (no może po jakiejś dodatkowej weryfikacji). A o ile Google, czy Microsoft mogą coś takiego zrobić, to zawsze będzie to wymagało dodatkowych kroków od użytkownika w postaci zainstalowania aplikacji, jej skonfigurowania, itd. Chyba, że zdecydowaliby się na wdrożenie jakiejś integracji Android-Windows w obu systemach, ale na to się nie zanosi. Prosty przykład innej usługi. W Androidzie masz zintegrowanego Google Drive, a na Windowsie OneDrive. Obie te usługi są już zainstalowane i połaczone z kontem na którym jesteś zalogowany na urządzeniu. Czy możesz korzystać z tej drugiej usługi? Tak, ale musisz ją sobie sam zainstalować, skonfigurować, a jak coś nie będzie działać to będziesz pewnie musiał szukać na forach, bo pomoc techniczna powie, że to wina tych drugich.
Hmm... A czy Microsoft w tym również bierze udział? Zastanawiam się czy jeżeli chodzi o Active Directory to też możnaby coś takiego zrobić.
Z passkeys chyba nie ma ale na klucze sprzętowe jest jako fido2
@@BxOxSxS klucze sprzętowe wydają mi się trochę drogim rozwiązaniem jak na firmę z 300 pracownikami, gdzie ze 100 dojeżdża raz w miesiącu lub parę razy. Niech zapomni i wtedy trzeba mu jakoś dostęp dać, nie ma że boli. Dlatego myślałem nad czymś, co można zgrać z telefonem, bo telefon ciężko zapomnieć wziąć ze sobą.
W AD działa to od kilkunastu lat jako Smart Card Authentication, tylko trzeba mieć fizyczny nośnik typu karta, yubikey, czy coś podobnego.
@@patrykrechnio Tak, to wiem, a czy istnieje połączenia jakiegoś fizycznego nośnika typu telefon? Bo niestety, ale Yubikey jest drogi jeżeli nagle mielibyśmy ich kupić kilkaset, nawet z rabatem + ktoś go zgubi i trzeba nowy kupić. Telefon byłby dużo bezpieczniejszym rozwiązaniem moim zdaniem.
@@Kumalski97 Czysto on-premisowo nie da się zrobić. Jest potrzebna jakaś chmura/hybryda (azure/enfraID/okta itp) lub usługa 3-party (typu DUO)
Nie przekonuje mnie to , przynajmniej na razie....
A jak passkeys ma sie do kradziezy session id lub innych takich tokenow? ;)
To dalej jest po stronie użytkownika i serwisu jak sobie radzi z nagła zmianą urządzenia i lokalizacji
czy to przypadkiem nie "odkrywanie" koła na nowo? moge sie mylić ale w gitlabie przesył po ssh działa tak od dawien dawna
Matematycznie to te sama forma działania i nawet algorytmy. Więc to po prostu ładne i bezpieczne opakowanie koła ale tak podobne mechanizmy są z nami już od dawna
No ładnie... mój komentarz został usunięty. Czemu Mateusz nie dodasz linku do materiału Kacpra Szurka?
Nie kojarzę usuwania Twojego komentarza. Linki do materiału Kacpra (o którym mówię zresztą w odcinku) pojawiają się dwukrotnie: na karcie, kiedy o tym mówię i dodatkowo jeszcze na ekranie końcowym.
@@MateuszChrobok Mateusz, to pewnie nie Ty usunąłeś komentarz, tylko youtube. Brak zezwolenia na wklejanie linków. A Twoich odnośników nie zobaczyłem przez b.lokowanie re.klam. Mój błąd. Jest git. Nie było tematu
Ja kupiłem program do muzyki kosztował 400 euro wiec jakoś sam serial nie był dla mnie zachwycający wiec siegnełem po dongle jeszcze
Mam taki pomysł na video - test "test pokrycia lokalizatorów"
Mianowicie wrzucenie do jednego worka różnych lokalizatorów (Aplle, Samsung, Yanosik, i inne ) i kilka wycieczek do dużych miast, małych miast, wsi, lasów, lotnisk , zagranicy itd (może też wysłanie ich w paczkach kurierskich, wiadomo że chodzi o to żeby osoba która je wozi nie miała smartfonu który akurat działa w jednym z tych systemów - a w przypadku kurierów istnieje taka obawa) Nie chodzi tez o test na kilka dni lecz raczej taki który będzie trwać kilka tygodni (a wyniki mogą być pobierane kilka razy dziennie) żeby wyniki dawały jakiś większy obraz
Potem przedstawienie w jakich obszarach które z nadajników pokazywały lokalizacje
wiem że na tym kanale nie ma testów, ale może byłoby to coś nowego ;)
Problemy musisz mieć tel
Mateusz zrobil bys cos o adguard
czyli jest to działa na zasadzie u2f key tylko że klucz znajduje się w urządzeniu
Tak. Trzymanie na innych bardziej powszechnego użytku urządzeniach jest w obrębie standardi fido2 który jest bezpośrednio następca u2f
mega fajne,!!
15:02 nie
Microsoft korzysta z podobnego rozwiązania na swojej stronie od dłuższego czasu, spoko opcja
To jest to dokładnie samo rozwiązanie
A to dlatego, ze Microsoft jest wspoltworca standardu FIDO2 - w tym passkeyow :)
Ja używam od długiego czasu kluczy sprzętowych U2F NFC i mam w dupie jakieś menadżery haseł itd a hakerów pozdrawiam zimnym sikiem XD.
W sumie ostatecznym zabezpieczaniem będzie zabezpieczanie biometryczne jak w telefonach. Cyfrowe ID i te inne sprawy co raz bliżej narzucenia na społeczeństwo.
Nie przekonałem się. Mam zasadę, żeby nie mieszać różnych urządzeń. Nie dzielę się nr telefonu i urządzeniem mobilnym z Google, a szczególnie z Microsoftem, bo kolejna droga do inwigilacji.
Takie prawidłowości jak przeglądarką Brave, która nagle okazuje się, że jest skompromitowana.
To po prostu nie używaj ich implementacji tego rozwiązania. Nie musisz bo to otwarty standard. A jest to dużo bezpieczniejsze
Btw o jakim skompramitowaniu brave mówisz?
Jednak wolę hasło plus klucz fizyczny
Było już było mnóstwo technologii, które miały być super, przestępcy znajdą sposób na passkeys, my zrobimy się jeszcze bardziej leniwi i szpiegowani.
Pamiętam hasło: okoń
bardzo mi to przypomina trzymanie seeda do bitkojina :)
Tyle mądrych rzeczy wymyślili a google po 150 latach dalej nie zabezpieczyło moich zakładek w chrome, które nawet po wylogowaniu są dostępne na komputerze w pracy.
Jak chcesz bezpieczeństwo i szczególnie prywatność to nie używaj chrome. Tutaj jest konflikt interesów bo google też chce znać twoje zakładki ale jednocześnie aby nikt ci się nie włamał na konto (tak jak ty)
Tylko, że my jesteśmy jedynie urzytkownikiem komputera i telefonu. Prawdziwym właścicielem sprzętu jest producent systemu. Tak więc o ile dostęp do naszego konta będzie bardzo utrudniony dla osób postronnych to łatwo będzie wyłączyć dostęp właścicielowi konta.
Czy dostęp do słownika również zablokował Ci producent systemu?
Jesteś niewolnikiem na własne życzenie. Istnieją wolne systemy gdzy ty go kontolujesz. Idea bardzo stara rozwiązania są od dawna. Warto się zainteresować zamiast narzekać i mówić nieprawdę że nic nie da się z tym zrobić
Co jeszcze jest weryfikowane przy uwierzytelnieniu/operacji kryptograficznej? No bo klucz publiczny jest publiczny - strona phishingowa bez problemu go zdobedzie. Klucz prywatny na urzadzeniu bedzie pasowal do publicznego. To oczywiscie za malo wiec zastanawiam sie - jakie dokladnie elementy sa weryfikowane, co pozwala potwierdzic autentycznosc serwisu i autoryzowac sie?
Ciężko to krótko wyjaśnić ale jest masa dobrych materiałów o kryptografii asymetrycznej zarówno z szyfrowaniem jak i podpisywaniem. Tutaj jest ona wykorzystwana dwustronnie zarówno od klienta jak i serwera
@@BxOxSxS Wiem ogólnie jak działa kryptografia. Nie wiem natomiast co konkretnie w tym przypadku jest weryfikowane.
@@drrSowaPL z tego co wiem po prostu channange aby podpisać loso wygenerowaną wartość przez serwer. To wystarczy bo wtedy serwer po prostu za pomocą klucza publicznego weryfikuje podpis co przy sukcesie daje gwarancję posiadania klucza prywatnego
Cyfrowa tożsamość dla reklam i profilowania?
gdzie jest haczyk? jak google coś forsuje, to nie może to być nic dobrego.
Interesy mogą być zbierzne nawet z wrogami. Google chce abyś był bezpieczniejszy bo podbija im to pr, Ty czujesz się bezpieczniej korzystając z ich usług a im w danych nie mieszkają jacyś włamywacze bo wszystko jest od ciebie. A jak trudniej o włam na konto to trudniej też o farmę trolli
I co będziemy się tak powoli uzależniać od gigantów, aż dojdzie do sytuacji gdzie nie będziemy mieć innego wyboru. Tylko passkey od google.
a wystarczyłoby kryptografia asymetryczna...
To jest otwarty standard i wcale nie musisz korzystać z usług takich gigantów. Np Bitwarden już dodał obsługę passkeys. Użytkownik dalej może podejmować decyzje za swoje bezpieczeństwo a tutaj dla serwisu jest dużo trudniej o gafę
@@kompowiec2to jest dokładnie kryptografia asymetryczna
Masz wybór jednego z kilku gigantów (zresztą nie tylko). To za mało? Czemu?
Samochód też kupujesz od jednego z wielkich konsorcjów i jakoś nikt nie płacze, że to takie uzależnienie (przeciwnie: samochód wielu osobom kojarzy się z wolnością ;) ).
A kiedyś to można było sobie własnego konia wychować! Bez korporacji!
logowanie profilem zaufanym :)
Szef
Szkoda ze nieu można z tego skorzystać natywnie we wszystkich serwisach/.stronach na których się logujemy ...
Na razie ich lista jest mega uboga na PL.
dump
O jak prychłem z Linuxiarzy... Śmieszne, bo prawdziwe.
ciekawe rozwiązanie, ale jednak wole hasło. Prznajmiej wiem czyja wina kiedy włamią się na konto z powodu "słabe hasło" a tu trzeba pilnować googla albo innego żeby zabezpieczenia miał odpowiednie, a korpo zazwyczaj ma użytkownika w głębokim duuuuuuu... . A tak poza tym zawsze jak słyszę rewolucyjne rozwiązanie to przypominają się mi słowa księdza z U pana Boga za miedzą "kotły elektryczne w piekle to też postęp"
Tak trudno powiedzieć wprost że passkey's to nic innego jak suma kontrolna na podstawie sumy kontrolnej urządzenia, systemu(?) i dopisującego go do profilu użytkownika...
Kolega gadasz kompletne głupoty. To jest kryptografia asymetryczna a nie żadne hashe
@@BxOxSxSHahaha, "kryptografia" dla łatwiejszego zidentyfikowania i sprofilowania użytkownika z backdorami dla służb...
@@marcinwypych3706 Ewidentnie kompletnie nie wiesz jak działa ten standard i piszesz tylko kolejne głupoty. Zanalizuj sobie standard a następnie jakąś otwarta implementację aby mieć pewność jeśli wolisz. Możesz bez żadnych problemów zakładając że masz umiejętności. Kryptografię asymetryczną nawet łatwiej ogarnąć na prostych liczbach
Chujowe, hasło ma znać user, a nie jakiś pośrednik, nawet dwuetapówka jest do dupy, już wielu ludzi tak potraciło oszczędności jak zgubili telefon i już się nie zalogują do swojego portfela crypto czy revoluta bo teraz nie ma ludzi jest ai i nikt ci nie pomoże z takimi sprawami, możesz pisać maile do usranej śmierci, jedynie banki owszem bo jeszcze mają placówki, ale jakieś fb, google, itp, zapomnij. Ktoś ukradnie Ci całą wirtualną tożsamość i gówno zrobisz.
hemoglobina, mistyfikacja, taka sytuacja
Prawidłowo wykorzane passkeys dokładnie przed czymś takim chroni. Hasło jest bardziej niebezpieczne