Комментарии 38
Можно сказать, что тот же пароль, только написан у тебя на лбу. Ради аутентификации по лицу и глазу будут утаскивать фотки из соцсетей или фоткать на улице. Это не сложно, вопрос времени. Отпечатки тоже собирать массово.
Да ладно. Система будет просить тебя покачать головой, моргнуть, улыбнуться, открыть рот и т.п.
2фа тоже никто не отменял
2фа тоже никто не отменял
Это все будет собирать и оцифровывать ваше устройство. А его можно научить разным трюкам, взять несколько фото, построить 3д модель… Я же не говорил, что надо подсунуть фотку камере, я говорил, что на основе фоток можно генерить правильный набор цифр для сервиса.
Этот механизм заведомо слабее хорошего пароля: пароль можно держать в тайне, а биометрию — нет.
Этот механизм заведомо слабее хорошего пароля: пароль можно держать в тайне, а биометрию — нет.
Скажу сразу, что считаю бредом аутентификацию по биометрии.
Но чисто поспорить — на важные сервисы нужно вешать 2FA, это радикально уменьшит проблему (с созданием соответствующих неудобств, разумеется)
Но чисто поспорить — на важные сервисы нужно вешать 2FA, это радикально уменьшит проблему (с созданием соответствующих неудобств, разумеется)
Вообще реализация подразумевает, что она не имеет доступа к вашей биометрии. Она запрашивает у системы некий айди/ключ. Ключ генерируется и хранится внутри отдельного чипа (яблоки его называют T2 если я не ошибаюсь). Собственно этот отдельный чип и определяет лицо, по нему отдает ключ. Софтварно или на улице сфортографировать и достать этот ключ не получится. При правильной реализации.
Вангую, что получится как с капчей. Появятся программки, которые будут уметь по снятой на улице фотке покачивать головой, моргать, улыбаться и открывать рот.
В результате лет через десять для того, чтобы авторизоваться, придётся проделывать серии упражнений, больше подходящие для поступления в театр пантомимы. Будем ещё спасибо говорить, что не будут заставлять раздеваться на камеру.
В результате лет через десять для того, чтобы авторизоваться, придётся проделывать серии упражнений, больше подходящие для поступления в театр пантомимы. Будем ещё спасибо говорить, что не будут заставлять раздеваться на камеру.
НЛО прилетело и опубликовало эту надпись здесь
The goal of the project is to standardize an interface for public-key authentication of users to web-based applications and services.Если вы делаете оффлайновый менеджер паролей в виде веб-приложения (господи...), думаю, что браузеру ничто не мешает общаться со встроенным сканером отпечатков пальца/USB-токеном/чем-то ещё, даже при отсутствии сети.
А если мне подбили глаз и на морде лица повязка, а палец болгаркой отрезало, я что, не смогу например почту прочитать? :D
Почитает тот, кому достался отрезанный палец.
И даже вызвать скорую.
Возможность экстренных вызовов без разблокировки устройства есть даже у самых ссаных китайских поделок за 30 баксов :)
Безобразие
Номер спасения «112» полностью работает лишь в 12 регионах России
Не набрасываю, у меня тоже есть отрицательный опыт попыток вызова скорой через 112.
Не набрасываю, у меня тоже есть отрицательный опыт попыток вызова скорой через 112.
Поэтому пальцев так много. Но если вы исчерпали все попытки…
Зачем такие сложности, достаточно было бы простого анализа крови.
Насколько я понял из схемы, там нет жесткой привязки именно к биометрии (просто она заявляется как плюс). Идея иметь внешний аутентификатор, который логинится за вас. Это может быть телефон, на котором один раз прошли идентификацию по биометрии, или просто один раз ввели на телефоне пароль. А дальше браузер и телефон прозрачно друг с другом связываются и логинятся. Отличие от простой автозаполнялки на самом компьютере в том, что телефон все же внешняя система, к которой вирусом на компе так просто доступ не получишь. Да и авторизация на нем может быть сложнее, чем простой пароль (биометрия, например, или привязка по симке).
Если пока рядом находится телефон (с пройденной на нем авторизацией), сайты будут логиниться автоматически — то это будет круто. А вот если им нужно будет фотографировать какие-нибудь QR-коды на сайтах, то удобство сомнительное. Ввести пароль кажется проще.
Если пока рядом находится телефон (с пройденной на нем авторизацией), сайты будут логиниться автоматически — то это будет круто. А вот если им нужно будет фотографировать какие-нибудь QR-коды на сайтах, то удобство сомнительное. Ввести пароль кажется проще.
Наверное, чтобы было меньше непоняток, стоило бы вставить ссылку на сайт https://webauthn.org/, где можно проверить, как это всё работает.
Error: registration failed: packed attestation: self attestation not implemented, please open a GitHub issue.
Registration error: Error: registration failed: packed attestation: self attestation not implemented, please open a GitHub issue.
Точнее проверить как оно не работает?
Они изобрели невидимый менеджер паролей?
Они изобрели Microsoft Authenticator.
Тут вопрос не в "изобрели", а в "стандартизовали".
Я замечал, что банковские клиент-программы тоже переходят в двухфакторке с отсылки СМС на вот такой собственный аутентификатор. Вследствие чего возникает вопрос безопасности этих аутентификаторов. Ладно у банковских прог есть/должен быть аудит. А общественный аутентификатор спасет, наверное, только опенсорсность.
И да, прощай в очередной рази без того мнимая анонимность.
И да, прощай в очередной раз
Они провели анализ политик безопасности 150 крупных сайтов и установили, что 57% из них не используют TLS при передаче паролей.
Исследование 2010 года! На сегодня все совсем иначе, за почти десять лет TLS приобрел широкое распространение и крупных сайтов на голом http я вот так с ходу вообще ни одного не вспомню.
В статье как-то не очень понятно объяснено, для чего нужен стандарт. Говорится о 57% крупных сайтах, не использующих HTTPS, затем в следующей главе упоминается, что методы WebAuthn используют защищённое соединение. Ну так применять HTTPS для повышения безопасности при авторизации можно и без WebAuthn, зачем создавать лишние звенья в цепи?
Стандарт, по моему скромному мнению, лишь навредит безопасности, потому что склоняет использовать для авторизации сущности, которые ну никак не запрятать в голове. Произойдёт отрыв личности от объекта, идентифицирующего эту личность, в угоду удобству.
В наше время, когда считается усилением безопасности привязка аккаунтов к телефонному номеру или, упаси Боже, подтверждение входа кодом из СМС (при том, что постоянно всплывают новости, как очередной сотрудник оператора сотовой связи отдал мошенникам симкарту или получил доступ сам корысти ради), можно ли внедрять на сайты, сервисы и устройства такую однобокую в плане реализации фишку — авторизацию по какому-то внешнему признаку? По-моему, нужно сначала определиться с тем, что такое настоящая безопасность при авторизации, а только затем внедрять новые фичи, однозначно положительно влияющие на эту безопасность.
Телефон, пальцы, глаза, отпечаток уха, да даже ДНК — всё это можно сымитировать или отобрать. Само устройство внешней аутентификации может быть уязвимо. Таким образом кража личности станет более простым делом.
Я не утверждаю, что WebAuthn зло и нельзя им пользоваться. Просто то, как оно работает, не соотносится с тем, как это хотят использовать.
Стандарт, по моему скромному мнению, лишь навредит безопасности, потому что склоняет использовать для авторизации сущности, которые ну никак не запрятать в голове. Произойдёт отрыв личности от объекта, идентифицирующего эту личность, в угоду удобству.
В наше время, когда считается усилением безопасности привязка аккаунтов к телефонному номеру или, упаси Боже, подтверждение входа кодом из СМС (при том, что постоянно всплывают новости, как очередной сотрудник оператора сотовой связи отдал мошенникам симкарту или получил доступ сам корысти ради), можно ли внедрять на сайты, сервисы и устройства такую однобокую в плане реализации фишку — авторизацию по какому-то внешнему признаку? По-моему, нужно сначала определиться с тем, что такое настоящая безопасность при авторизации, а только затем внедрять новые фичи, однозначно положительно влияющие на эту безопасность.
Телефон, пальцы, глаза, отпечаток уха, да даже ДНК — всё это можно сымитировать или отобрать. Само устройство внешней аутентификации может быть уязвимо. Таким образом кража личности станет более простым делом.
Я не утверждаю, что WebAuthn зло и нельзя им пользоваться. Просто то, как оно работает, не соотносится с тем, как это хотят использовать.
Вас ничего не смущает, когда кто-то входит в своё банковское приложение по отпечатку пальца? Вы же в курсе, как там всё устроено? А WebAuthn это лишь способ общения браузера и физических средств аутентификации (электронного ключа), работающих через: Bluetooth, NFC, USB, или отпечаток пальца. Это может быть ЭЦП на «свистке» ruToken, подключенной через USB, не обязательно в телефоне.
Как-то однобоко мыслите, товарищи.
Как-то однобоко мыслите, товарищи.
Вас же ни кто не просит не использовать дополнительные средства аутентификации, тот же пароль. Это доп защита, которую стандартизировали, и начинают внедрять в массы.
Зарегистрировать палец и любую биометрическую информацию — дело одноразовое, пускай и займет 1+ минут. Дело биометрической авторизации — 2 секунды — приложи палец, приложи глаз и тд) А далее по накатанной — введи пароль, введи 2фа. Итог — имеем доп защиту, которая поддерживается на всех устройствах.
В результате — даже пароль «Qwerty» получит доп защиту, и всякие боты уже его не взломают
Зарегистрировать палец и любую биометрическую информацию — дело одноразовое, пускай и займет 1+ минут. Дело биометрической авторизации — 2 секунды — приложи палец, приложи глаз и тд) А далее по накатанной — введи пароль, введи 2фа. Итог — имеем доп защиту, которая поддерживается на всех устройствах.
В результате — даже пароль «Qwerty» получит доп защиту, и всякие боты уже его не взломают
Тут смотря кого называть«вас». Если пользователь будет вправе выбирать нужен ему дополнительный фактор или нет, то это одно дело. Совсем другое, если какой-то сайт будет требовать доступа к сторонним девайсам или какому-то локальному хранилищу.
В последнем случае одно из основных преимуществ веб-приложений и хранилищ а-ля «вам не нужно носить с собой ваши программы и данные» будет утрачено. Толку что не нужно хранить данные и программы на девайсе, если без девайса ты к ним доступа получить не можешь.
В последнем случае одно из основных преимуществ веб-приложений и хранилищ а-ля «вам не нужно носить с собой ваши программы и данные» будет утрачено. Толку что не нужно хранить данные и программы на девайсе, если без девайса ты к ним доступа получить не можешь.
А Вы в курсе, что телефон в обязательном порядке начинает требовать поставить ПИН-код или отпечаток добавить (в общем, блокировку), в случаях, когда Вы начинаете хранить на нём важные данные? Яркий пример — ОС Android.
Так что у несознательных людей, просто не будет возможности раскрыть свои данные.
Так что у несознательных людей, просто не будет возможности раскрыть свои данные.
НЛО прилетело и опубликовало эту надпись здесь
Коллеги, которые читают невнимательно. Написано — «беспарольный ВХОД», а не РЕГИСТРАЦИЯ. Регистрация остается старой, а привязка биометрии делается после регистрации в своём личном кабинете (абстрактно). Со всеми вытекающими выводами…
Хм… webauthn.org — сертификат уже две недели как просрочен (Let's Encrypt!). Стандарт умер, так и не родившись? Или это неофициальный сайт?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Стандарт WebAuthn официально завершен