O co chodzi z Passkeys? Pytacie, odpowiadam(y). Q&A

No i ua-cam.com/video/Jzidve3w6tY/v-deo.html na wtorkowego Live :)

@@bartoszc6157 Dzięki!

Strona nie załadowała się poprawnie z pierwszego linka. EDIT: Ah, już się ładuje. Musiało coś chwilowo nie grać.

Dlatego liczymy między inny mi na Ciebie :) Ty zrozumiesz nas i możesz ewangelizować dalej. Moja mama na przykład za chiny ludowe tego filmu nie obejrzy - nawet gdyby nam AI podłożyła głosy z M jak Miłość. Ale moja w tym robota, aby przejąć jej telefon, zrobić co trzeba i oddać mając poczucie, że jej cyfrowe życie jest choć odrobinę bezpieczniejsze.
Idź i głoś! :)

Dzięki - super nam też się gadało :)

Małe wyjaśnienie - materiał był nagrany przed wpadką apple.
Passkeys dopasowują się do osób z nefofobią :) Można mieć lokalne uwierzytelniacze. Ja trzymam passkeys w kilku miejscach - jak uznam, że te chmurowe przestają być dla nie w jakikolwiek sposób użyteczne, to je po prostu usunę.

@@bartoszc6157 nieważne czy przed wpadką, każda «chmura» to tylko komputer kogoś innego i już mnóstwo takich usług miało różne problemy

@@bartoszc6157 no spoko... tylko to zwyczajnie pokazuje, że chmura nie jest miejscem, której można zaufać i fakt, że rozmówca zajmujący się uwierzytelnianiem i generalnie bezpieczeństwem mówiący, że jej ufa to tak jakoś traci u mnie wiarygodność. Podkreślam - u mnie. Może komuś to nie przeszkadza. Jednak fakt, że MOJE zdjęcia pojawiają się u kogoś innego - na moim starym sprzęcie pokazuje, że implementacja szyfrowania to jakiś żart bo go w zasadzie nie ma (skoro widzi ktoś inny z innymi poświadczeniami, skąd ma klucze do odszyfrowania MOJEJ zawartości) ORAZ kasowanie zdjęć niczego faktycznie nie kasuje bo Apple nadal je ma. To bardzo mocno podważa wiarygodność Apple i generalnie chmury. To tylko przykład co się potencjalnie może stać i ja - niezajmujący się takimi rzeczami na codzień mam ogromy dystans do chmury i na pewno bym jej nie zaufał przecieram oczy gdy osoba, która obcuje z tym na codzień, mówi, ze to jest okej. Także tak średnio bym powiedział.

Dzięki - dla uważnych słuchaczy jest jeszcze jedno miejsce gdzie się walnąłem :) (a przynajmniej jeszcze jedno, które wyłapałem)

Mylisz się.
PGP to aplikacja do szyfrowania i podpisywania tekstu i plików, wykorzystująca technologię kluczy asymetrycznych RSA (chociaż do szyfrowania można też użyć kluczy symetrycznych). Program PGP powstał w 1991 r., a jego autorem jest Phil Zimmermann.
GnuPG jest oprogramowaniem, które też wykorzystuje metodę kluczy asymetrycznych, ale spełnia standard OpenPGP i jest wolnym oprogramowaniem na licencji GPL.

​@@janepko "PGP to aplikacja" - to ja poproszę o link do strony aplikacji PGP.

Od czasu nagrania okazało się, że również Apple pozwoliło na udostępnienie passkey'a za pomocą Airdrop, ale jeszcze nie dałem rady wypróbować.

Wrzucone 25 a pokazujesz coś 31 lecisz na przyspieszeniu ?

@@FreeEmptyWhole Jako osoba z dostępem do grupy patronackiej dostałem materiał wcześniej. Nawet widać że mój komentarz ma jeden dzień

@@BxOxSxS oooo

Zwróć uwagę na to, że FIDO2 i passkeys odpowiadają na podstawową wadę haseł. Nawet jeżeli są długie, skomplikowane i unikatowe to wciąż są współdzielonym sekretem. Kryptografia asymetryczna jest z zasady bezpieczniejsza w temacie uwierzytelniania.
Z pozostałymi tezami zgadzam się w stu procentach - hasła i passkeye pożyją sobie jeszcze obok siebie przez pewien czas.

Wydaje mi się, że mówimy o tym samym innymi słowami :)

Puk puk (sending request)
- Kto tam (start uwierzytelniania)
- Odczyt gazu
Patrzę przez kuklok, weryfikuje że gość ma plakietkę ze spółdzielni (2FA) czy co tam teraz noszą gazomajstrzy (weryfikacja pomyślna)
- Słucham? (Kontynuuje komunikację)
- Czy mogę wejść, chcę sprawdzić czy Pan nie wybuchnie. (Request o autoryzację, prawo do wejścia do mieszkania)
- No dobra, tylko założę majtki (przygotowanie Landing zony xD)
To są dwa różne procesy - w przykładzie z gazem i majtkami (hehe) Identity Provider i Zasob do którego jest Request (moje mieszkanie i kuchenka) były w jednym miejscu. Ale często jest tak, ze AuthN prowadzi jeden provider (Azure, Facebook, Google), a AuthZ jest po stronie innego serwisu.

@@Bamberladys piekna analogia, kradne :)

Oczywiście AuthN prowadzi EntraID, nie Azure (poprawka dla nerdów z MS)

Nie wiem czy mogę tu promować - ale jakie cuda można na tym obdrapanym stoliczku w William Rabbit & Co postawić to jest dopiero niewiarygodne. Polecam :)

Z trio Safari/Chrome/Firefox - ale z tego ostatniego to rzadko - bardziej jak muszę coś przetestować.

Dokladnie tak, jak piszesz. Czasowe utrzymanie starej domeny, ktora bedzie + kampania informacyjna o dorejestrowaniu nowego passkeya (juz w nowej domenie)

Bo takie maskowanie hasła powinno być do wyłączenia na życznie klienta, a tak nie jest ;(

Pozwolę sobie odpowiedzieć - tworzy złe nawyki, użytkownicy często tworzą potworki w stylu hasło+miesiąc a na takie patterny "łamacze haseł" są szczególnie uwrażliwione. Generalnie zależy nam na tym aby użytkownicy byli jak najmniej kreatywni ;)

@@bartoszc6157 Dzięki! 🤩

Rozumiem, że odnosisz się do ewentualnej możliwości obejścia silnego uwierzytelniania za pomocą kodów jednorazowych - spieszę z wyjaśnieniem.
Możliwość zastosowania takich kodów nie jest w żaden sposób wbudowana w standard FIDO2 (w FIDO U2F też nie). To ewentualna decyzja administratora serwisu, czy chce taki sposób "ułatwienia" zamontować u siebie, jego decyzją będzie też czy taka "zdrapka" będzie dostępna dla służb.

Nikomu nie mów - ale możesz podać dowolny mejl w tym formularzu :) Miłego czytania

@@bartoszc6157 normalnie brak mi słów. Dziękuję:)

Pisałem o tym wcześniej - co rusz jakiś dostawca narusza moje zaufanie. Moją decyzją jest to czy będę dalej z niego korzystać czy nie. Akurat passkeys pozwalają na dowolny wybór uwierzytelniacza.
A że chmura to tylko jeden z wątków rozmowy, to mam nadzieję, że w reszcie wypocin jednak zauważysz trochę sensu :)

tak, chmura to tylko komputer kogoś innego

O/

@@MateuszChrobok lepiej wypadasz w filmikach, na infoshare dźwięk by słaby, reszta git!

Wtyczki wydane przez producentów menadżerów haseł - można za ich pomocą stworzyć passkey'a w tych rozwiązaniach. Klucza sprzętowego nie potrzebujesz - uwierzytelniaczem może być równie dobrze Windows Hello jeżeli korzystasz z produktów MS, albo google password manager czy wspomniany w filmie iCloud. Do wyboru do koloru

👍

Do 9chrony wszystkich 😅 każdy ma czasem gorszy dzień. Nie mniej idea jest szczytna.

Łatwo samemu znaleźć albo po prostu spróbować na tych testowych stronkach o których Bartek mówił

Eksportowanie passkey'ów to dość skomplikowany temat - z mojej najświeższej wiedzy wynika, że na ten moment jest to możliwe za pomocą airdropa z jednego urządzenia Apple na drugie w tym rezerwacie. W komentarzach @BxOxSxS wspomniał o takiej możliwości w Bitwardenie, ale ja osobiście tego nie próbowałem.
Kopię zapasową keepassa oczywiście możesz stworzyć - Twoje passkeye wciąż będą w pliku .kdbx.
Najpewniejszym sposobem (i raczej bardziej przyjaznym użytkownikowi od eksportowania baz danych) jest po prostu stworzenie passkey'a na kilku uwierzytelniaczach.
Co do kontroli nad hasłami to masz tylko połowicznie rację - masz kontrolę nad tym gdzie je trzymasz. Druga strona komunikacji posiada to samo hasło (w końcu to wspólny sekret) zapisane u siebie - nad tym już kontroli nie masz. W przypadku FIDO2 druga strona ma tylko klucz publiczny - a ten bez tego prywatnego jest bezyżyteczny.
Możliwość współistnienia passkey'ów i haseł to decyzja administratora serwisu. Google na przykład pozwala włączyć opcję "rezygnuj z hasła tam gdzie to możliwe". Microsoft pod formularzem na poświadczenia ma link "inne opcje logowania". Oba sposoby w jasny sposób wskazują na współistnienie. Zakładam, że w miarę jak passkeys będą zyskiwać na popularności będzie się pojawiać coraz więcej serwisów, które będą je wykorzystywały jako jedyny sposób uwierzytelnienia.
I ostatnie pytanie - jak masz passkey zapisany w chmurze to skorzystasz z niego na każdym urządzeniu, które do tej chmury ma dostęp (i wspiera standard, ale tu akurat ilość urządzeń i systemów niewspierających FIDO2 jest pomijalna).

@@bartoszc6157 Dzięki. Czyli najlepiej tworzyć passkey per urządzenie/lokacja? Będę musiał wypróbować z Googlem, ale pół roku temu Bitwarden miał problemy z passkeyami na Androidzie, dlatego pytam. Jak stworzę na kompie, to czy Bitwarden będzie mi uwierzytelniał na komórce czy nie? Jeśli będzie problem, to muszę z kompa wygenerować kolejny passkey i zapisać go na komórce, zakładając, że taką opcję będę miał dostępną...
Czyli przy zmianie urządzeń trzeba o tym pamiętać i generować nowe klucze. No i teraz pojawia się pytanie, jak będzie tysiące passkeyów to jak to ogarnąć? I tutaj jak w filmie powiedziano, nie ma problemu jeśli są one w chmurze (znowu - zakładam, że Bitwarden już to ogarnął i to działa na Androidzie) i pewnie to samo jeśli mamy Yubikey czy coś podobnego. A to ogranicza nas tylko do takich rozwiązań, mimo że w teorii można taki passkey zapisać gdziekolwiek. Jak ktoś będzie miał paranoję i nie będzie chciał chmury to sprawa się komplikuje. Chyba, że passkey będzie zapisany w KeePassie i wtedy trzeba pamiętać o przenoszeniu pliku czy jego backupie, bo systemy się czasem wywalają a dyski mogą ulec uszkodzeniu. No i już widzę tysiące użytkowników, którzy o to nie zadbali i musieli reinstalować system i stracili wszystkie passkey'e... To raczej nie jest rozwiązanie dla każdego i pewnie klucze fizyczne będą musiały się rozpowszechnić, żeby to działało dla szerszej grupy.

@@michadybczak4862 dokładnie z tymi samymi bolączkami się borykamy przy hasłach. Nie ma idealnych rozwiązań a truizm o backupach będzie zawsze mieć sens

@@bartoszc6157 Hasła łatwo zaimportować, wyeksportować czy to do pliku, chmury na urządzenie, menadżera haseł. Czyli np. przejście z LastPasa do Bitwardena to była pestka. Nie wiem czy tak samo łatwo dałoby się przenieść passkey'e. No nic, zrobiłem sobie passkeya na Googlu i zobaczymy jak to będzie działać. Nie lubię 2FA, bo to cholernie upierdliwe, szukać, sięgać po komórkę, odblokowywać ekran, klikać na apkę, potem przepisywać kod, a to już po autoryzacji hasłem. Jeśli można 2FA zastąpić passkeyami to chętnie to zrobię, ale mało który serwis jeszcze ma taką opcję a 2FA praktycznie wszystkie. Jak serwis mnie nie zmusi do 2FA to unikam, właśnie ze względu na niesamowicie upierdliwy proces logowania. Rozważałem kupno Yubikey'a czy coś podobnego, ale jakoś nie jestem pewny tego, bo to też jest mało wygodne i trzeba o tym pamiętać, podłączać, coś tam naciskać. W dzisiejszych czasach mamy setki jeśli nie tysiące kont, więc musi to być wygodne, inaczej nie przejdzie. Wiadomo, że wygoda jest wrogiem bezpieczeństwa, ale tak już jest, jakiś kompromis trzeba wypracować.

FIDO2 niejako "uwolniło pojęcie" uwierzytelniacza. Przy FIDO U2F to był właśnie ten klucz, którego nie lubisz. Przy FIDO 2 to może być Twój komputer, telefon, keepass, chmura, 3rd party software., a nawet... klucz fizyczny ;)

Brak wsparcia na Linuxach (albo szczątkowe wsparcie) nie oznacza, że nie można na tych systemach korzystać z passkey'ów. Wciąż masz możliwość używania uwierzytelniaczy 3rd party jak chociażby Keepass, czy SaaSowe managery haseł.
Ten brak wsparcia dotyczy natywnej możliwości tworzenia passkey'ów na platformie.

Passkeys zyskują na popularności - producenci menadżerów haseł strzelali by sobie w stopę nie imlementując tej technologii u siebie.

Bo ludzie są przewidywalni i często jeżeli nie korzystają z losowych haseł z menadżerów dodają miesiąc albo mają system.
Duża część popularnych łamaczy haseł ma specjalne opcje by szybciej łamać np. miesiące znaki specjalne na końcu i inne rzeczy, które jako ludzie robimy bo jest nam wygodniej.

Chyba pierwszy taz kiedy zwiększenie bezpieczeństwa nie wiążę się z proporcjonalnym zwiększeniem upierdliwości.

No prawda… ale nie do końca rozumiem analogię z Passkeys…
Możesz sobie wyobrazić sytuację, że tankujesz auto, zostawiasz kluczyki w stacyjce i idziesz zapłacić za paliwo. A przestępca kradnie Ci auto. Kluczyki samochodowe to największa dziura bezpieczeństwa jaka może być!!!
A tak na serio - passkeys spełniają standardy MFA - coś co masz to Twój uwierzytelniacz, który jeszcze musisz odblokować czymś co wiesz (pin) lub czymś czym jesteś (biometria). W Twoim scenariuszu przestępca nie zaloguje się na konta zabezpieczone passkeyem nawet na odblokowanym kompie.
A jeszcze abstrahując od tego - nie zostawiajmy odblokowanych sprzętów w miejscach publicznych. Bo sposoby uwierzytelniania będą wtedy najmniejszym problemem jaki może nas spotkać…

@@bartoszc6157 Cóż niektórzy nigdy się nie naucza :-) Passkeys został stworzony do rozwiązania problemu głównie wykradania. passwd i i ch słabości - w miejsce tego zaserwował nam inne problemy . Jako osoba Kotra jakby pracowała w służbach by się baaaardzo cieszyła z tego jakbyś używał passkeys 🙂
Dlaczego - ano dlatego ze wziasc twój telefon i zmusić cie aby przyłożyć palec czy w przypadku apple nawet cie nie dotykać porostu zaprezentować. twoja twarz :-)( uprzedzając komentarze pseudo prawników -- tak zaprezentowanie telefonu przesłuchiwanemu( to twój telefon - ooo odblokował się ) nie jest. przestępstwem ani tortura w polskim prawie i może byc legalnie stosowane ) i mieć dostęp do wszystkich. twoich sekretów :-) praca stanie się dużo prostsza :-) .Nie wspomnę o zaletach zero day :-) i dostępu do. twojego telefony zdalnie 🙂
Nie wspomnę o pijanych ( każdemu się kiedyż zdarzyło ) itp
Co do. twojego komentarza ze w moim scenariusz bym sie nie zalogował - to byś się zdziwił :-) - juz logowałem się nie raz i nie dwa :-) - wiec ufajmy paykess
A na poważnie chcesz czas się w miarę bezpiecznie to kup bio yubi key

Tak to właśnie działa... W sumie user experience jest taki jak opowiadasz w przypadku apki bankowej - API przerzuca Cię do systemu, gdzie potwierdzasz swoją tożsamość (twarzą, palcem, pinem) dzięki czemu odblokowujesz token, który wpuszcza Cię do banku. Flow w przypadku passkeys jest identyczny

@@bartoszc6157 no nie do końca o to by mi chodziło. Myślałem bardziej o czyms takim, że ja raz aktywuję jakieś sprzętowe coś, wpięte do portu w moim komputerze, co odblokowuje menagera haseł/autoryzację bez haseł i po prostu bez robienia czegokolwiek magia dzieje się w tle i moje konta w serwisach się jakby same zalogowują na tym komputerze. To by było user experience, którego bym oczekiwał.
Jestem, w pewnie niemałej, grupie tych osób, które nienawidzą upierdliwości, jaka wiąże się z wpisywaniem tych cholernych kodów z google autenthicator w drugim etapie uwierzytelniania, ale traktuję to jako mniejsze zło, bo braku dwuetapowego uwierzytelniania lub jakichś kodów sms to nie zniosę. Psychika mi nei pozwoli.
I dlatego mocno myślę nad YubiKey. W czym PassKeys jest lepszy?

To i tak nieźle - średnia zrozumienia to jakieś 15%. Poczytam to za sukces :)

Hej - w outlooku bez problemu zarejetrujesz passkey i możesz nie korzystać z Microsoft Authenticator. Co nawet mocno polecam, bo to rozwiązanie jest podatne na phishing.
Google pozwala bez problemu zarejestrować passkeye - ich implementacja jest o tyle dziwna, że przy logowaniu każą podać email - co w ogóle nie powinno być potrzebne. Potwierdzanie tożsamości (na przykład przy linkowaniu apek zewnętrznych) już jest password- i usernameless.
Proton mail - nie korzystam, nie wiem czy można tylko z passkeyów z proton pass korzystać, czy również z innych uwierzytelniaczy.

@@bartoszc6157 no właśnie wczoraj ogarniałem Outlook/konto microsoft. Wymuszało zeskanowanie kodu QR w Ms auth, bez tego absolutnie nie pozwoliło utworzyć klucza i usunąć hasła. Może gdzieś niezuwazylem opcji pominięcia tego ale próbowałem kilka razy 🤔

Nie trzeba być "fachowcem" - wystarczy mieć gorszy dzień. Dlatego warto promować standardy, które robią sporo w kierunku zdjęcia odrobiny odpowiedzialności za element między monitorem a krzesłem. Zawsze jedna płaszczyzna ataku mniej.

Tylko na pierwszy rzut oka. Technikalia rzeczywiście mają swój poziom skomplikowania, ale samo korzystanie z passkeys sprowadza się do tego co robisz na telefonie czy laptopie dziesiątki razy dziennie - potwierdzeniem się za pomocą biometrii czy innego PINu. Mógłbym Cię zaprosić na swojego lajva, ale tam planuje to skomplikować jeszcze bardziej :) Zamiast tego polecam materiał Kacpra Szurka o passkeys.

@@bartoszc6157 - dziękuję znam materiał "materiał Kacpra Szurka o passkeys" . Co mnie, że tak powiem kolokwialnie mówiąc przeraza, to to, że dużo z tego trafia do chmury. Wolał bym by pewne sekrety były schowana w moje szufladzie np jak wydruki z zapasowych QR code 2FA Google Authenticator :)

to prawda, ale za to ma też kłopoty z wymawianiem "r" :)

@@bartoszc6157 ojejku, przepraszam dla jasności powiem - ja się nie chcę czepiać absolutnie nic osobistego, tylko zwracam uwagę, że dla osób które nie znają Gościa odcinka na co dzień - zrozumienie wszystkiego co mówi może być kłopotliwe.
Jednak z doświadczenia wiem, że: tym lepiej jesli grzecznie zwraca się na to uwagę, bo im częściej słyszy się takie komentarze, tym większą wagę będzie się przykładać do wyraźnej wypowiedzi i pracy nad dykcja.
Często jest tak, że ludzie, którzy mają wiele do powiedzenia i potrafią budować/ kolejkowac sobie naprzód po 2 zdania w czasie wypowiedzi, chcąc wszystko zmieścić - często zapominają o estetyce wypowiedzi.
[Spoilery] Spośród osób, które w ten sposób imponują, wyprzedzając myślą nie tylko słowa ale i całe zdania, mógłbym wymienić Stanisława Lema.
Oglądałem kiedyś wywiady Grzegorza brauna zdaje się ze Stanisławem lemem i po prostu głowa mała mi się zrobiła, gdy zobaczyłem jak pan Lem dalece "wybiega naprzód" w czasie udzielania odpowiedzi; co prawda jemu dykcja nie sprawiała większego problemu ale to jest ten sam gatunek inteligentnego człowieka 😁[/spoiler]

@@Potimus_Ripme Ależ w ogóle się nie przejmuj :) Zrehabilitowałeś się porównaniem z Lemem

ja tam nadążam na szybkości 1.6

i.kym-cdn.com/entries/icons/original/000/011/129/RT.jpg :)

Był wcześniej cały odcinek o tym, czym są passkeysy. Ten odcinek miałbyć odpowiedzią na pytania pod rzeczonym odcinkiem (o czym zresztą Mateusz mówi na początku filmu). Polecam najpierw uważnie słuchać, a dopiero później krytykować