Passkey
Na, csinálok egy kis forgalmat :D
Az új buzzword a passkey.
Ez miben különbözik attól, amit pl. ssh használatakor szokás művelni, amikor kulcspárt generálok, a privát rész van nálam, a publikus meg a szerveren?
És ha igazam van és tényleg ennyi a történet, akkor ez miért jelent _akkora_ biztonsági előrelépést? Hiszen a password az őrizhető fejben, ez nem annyira.
Illetve mi a különbség a tisztességesen megvalósított permanens beléptetés és e között? (Mondjuk a gmailbe egyszer belépek, az sokáig belèpve marad és gondolom, nem csak egy "loggedin:1" cookie van mögötte :)
■ Az új buzzword a passkey.
Ez miben különbözik attól, amit pl. ssh használatakor szokás művelni, amikor kulcspárt generálok, a privát rész van nálam, a publikus meg a szerveren?
És ha igazam van és tényleg ennyi a történet, akkor ez miért jelent _akkora_ biztonsági előrelépést? Hiszen a password az őrizhető fejben, ez nem annyira.
Illetve mi a különbség a tisztességesen megvalósított permanens beléptetés és e között? (Mondjuk a gmailbe egyszer belépek, az sokáig belèpve marad és gondolom, nem csak egy "loggedin:1" cookie van mögötte :)
passkey kontra password, permanens beléptetés
Szerintem semmiben. Ez pontosan ugyanaz a módszer, csak böngészőben és más programokban, más helyeken is terjed a használata.
> miért jelent _akkora_ biztonsági előrelépést? Hiszen a password az őrizhető fejben, ez nem annyira.
Sosem használtam fejben őrizhető jelszót, legalábbis a neten nem. De a felhasználók többsége rövid, könnyen megjegyezhető jelszavacskáktól remél biztonságot, ezektől a passkey valóban sokkal biztonságosabb. Kellően hosszú, de a méretéről rövid kereséssel nem találtam infót, valószínűleg kötetlen.
A többség úgy is vétkezik, hogy több/sok/az összes helyen ugyanaz a jelszava, ha az egyik helyet feltörik (amiben belsős ember is közreműködhet!), akkor az összes fiókjához hozzáférnek. A passkey ez ellen is véd/védhet (ez a megvalósításától függ).
Vagyis akik a jelszóhasználatban is elővigyázatosak, azoknak nem jobb a passkey a passwordnél.
> mi a különbség a tisztességesen megvalósított permanens beléptetés és e között?
Szerintem semmi.
Nagy előrelépés viszont, hogy a permanens beléptetésre többféle módszert használnak. Az általad említett "loggedin:1" sütike is gyakori módszer, de ha a belépés időtartamát teszik módosíthatóvá a felhasználók számára, az csak árnyalatnyival biztonságosabb. Kényelmetlen sűrűn újra belépkedni, ráadásul ha beírás közben léptet ki a szerver, gyakran elveszted az addig megadott szöveget vagy módosítást (törlődik a beviteli mező stb.). Passkey esetén nem léptet ki a szerver, észrevétlenül megújítja a belépésedet.
A jelszavak a beírásuk, bemásolásuk során is ellophatók a vágólapról és a billentyűzetet figyelve. Érthetetlen, hogy például miért adnak hozzáférést a böngészők a bővítményeiknek a vágólaphoz és a billentyűzethez. Nem csak a felhasználók tartják fontosabbnak a kényelmet a biztonságnál, hanem a fejlesztők, sőt, a szabványok kidolgozói is...
A passkey alapú azonosításnak is vannak hátrányai. Például a Google is közel húsz éve együttműködik az NSA-val, ezért azok a passkey-megoldások, ahol a Google-nál tárolódnak a kulcsok, eleve kerülendők. Viszont az androidos telefonok uralják a világot, azokon pedig a legkényelmesebb a Google-ra támaszkodni. (A nagyok közül elsőként a Microsoft kötött szerződést az NSA-val, 2005-ben. Pár éven belül az összes amerikai óriás cég követte. köztük az Apple is. Esetünkben a Google a legszembeötlőbb az Android révén.)