Комментарии 18
Пароль? 2FA? Давайте уже честно — это прошлый век
https://passkeys.directory/
Ваш вариант это про проебать все, проебав только одно.
Лично я за более широкие варианты двухфакторки, но при этом настраиваемые. Например, я сам как пользователь могу настроить что-то кроме пароля и в каком порядке и условиях работает, включая например проверочные вопросы.
На сейчас есть второй канал подтверждения, который не безопасен даже если симка и генераторы одноразовых кодов. Две крайности. Но я бы хотел иметь что-то кроме пароля для доступа к какому-то не слишком важному форуму, но при этом не привязывая телефоны-емейлы и не упарываясь с одноразовыми кодами.
"только одно" – вы можете добавить много ключей, а не только лишь один: комп, телефонЫ (не один), браузер, акки эпл/гугл/мс, менеджер паролей, да хоть физические юбикеи (но теперь они для криптопанков🤪)
Пасскет это как раз про иметь столько резервных копий, сколько вы лично оцените и посчитаете необходимым
При этом с текущими вариантами 2FA лично видел, как люди теряли доступы к банкам/гос и не очень услугам/биткоинам лишь по одной причине – утеря единственного фактора, как то: почта, пароль, страшнее – телефон с гугл аусом / симкой (не все могут позволить себе восстановить быстро симку, будучи в путешествии)
Часто в утечках встречаются пароли, думаю многие эти продукты сиды для 2FA могут вовсе хранить открыто или не надёжно; потому лучше аус основанный на public & private keys, теперь это удобнее (спасибо бигтехам), и если сервис позволяет их юзать как альтернативу, то это может порой выглядеть так, что ответственность за безопасный аус переложен на пользователя
Для бизнеса этот подход ведь тоже выгоден, если не считать удобства пользователя: нет трат на смс и устойчивость к фишинг атакам на клиентов
и снова таки - проебываешь этот passkeys и проебываешь все.
огонь перспектива.
при все тех же танцах вокруг паролей, двухфакторок и тд, только теперь еще и для passkeys
Как можно потерять сразу пять ключей? Вот симка одна, понимаю, но ключей то можно добавить множество
Ок, иначе спрошу: если текущие OTP / SIM человек теряет (которые рили синглтоны) – какие перспективы? Если те же, то о чём вообще речь?
Ем, я проеб имею в ключе взлома/компрометации
Единая компания с которой у меня были проблемы от "потерь" был гугл с его отсутствующей обратной связью, все остальное без проблем восстанавливается в ручном режиме так как есть контакты, есть обратная связь и есть люди.
Потому и считаю что passkeys это просто грааль всех хакеров. Скомпрометировать хоть в ручном режиме и получаешь доступ ко всему.
О да, спалить их из-за захвата какого-нибудь гугл/эпл акка это будет та ещё компрометация! Кмк на текущий день это возможно лишь из-за дихотомии решений переходного периода, когда вроде и можешь юзать, и запасной фишбл вариант есть для старообрядцев. Мы буквально в последние годы наблюдаем, как бигтехи (и не только) "набивают руку" и ищут правильные паттерны использования
Ещё пройдет не мало лет до того момента, как все участники одинаково комфортно и уверенно смогут с ними работать, глядишь к тому моменту вовсе что-то новое будет
Тем временем юзая текущие OTP решения необходимо быть более внимательным из-за тех же "хакеров", размещающих фишинговые сайты в гугл рекламе
Вы верно говорите – компрометация приватной части это кошмар, но насколько она вероятна?
Зачем я это прочитал...
Пароль? 2FA? Давайте честно - компаниям плевать на безопасность (ну да, до первого взлома/утечки, но все же).
Пароль? 2FA? Давайте честно - всем ******!!! Кто хочет взломать что-то всегда найдётся способ. Идеальной защиты не может существовать. Хоть отруби сеть от инета и переедь в пещеру. Всё равно можно отследить что ты туда переехал и выслать наряд чтоб допросить тебя пароль (технически это взлом лол).
Почему Я должен каждые Х лет покупать новое более дорогое устройство ради нового *****го модуля защиты, покупать ****ый 99999 ядерный процессор чтоб 99998 ядер использовались для просчета а безопасна ли эта функция в программе и решать ****лион ****** головоломок чтобы ПРОСТО ВОЙТИ В АККАУНТ (который вдобавок еще и будет просить войти каждый час, потому что сессия же истекает ради безопасности). И при этом вся моя инфа всё равно будет продана всем компаниям. (Отэто меня бомбануло)
Ну не стоит уже накрываться простынёй и ползти на кладбище.
Во-первых, взломать можно далеко не всегда.
Во-вторых, взломщик может просто не иметь достаточной квалификации для достаточно сложного взлома. И для него Вы станете невзламываемым.
Во-вторых, тут ещё очень важным является цена взлома. Если Вас взломать слишком дорого - то и не будут этого делать.
Понимаю. Но у моего коммента две претензии.
1 зачастую ненужное переусложнение системы защиты (для банка все конечно обосновано, но зачем 2+ уровней защиты на всяких мелких сайтах/платформах?) (К тому же, если говорить про OC, то они вдобавок замедляют устройство)
2 от этих систем защиты для юзеров страдают сами юзеры, когда им приходится вводить пароль, проходить капчу, вводить OTP код, и это всё каждый день чуть ли не на каждом сайте. Прям еще чучуть и к этому всему обяжут отсылать сэлфи с паспортом при каждом входе. Вот сделали Oath стоб входить через гугл аккаунт или соц сети. Вот это хорошо. Сделали passkey. Супер. Только сейчас многие не понимают похоже смысла этих систем и хряпают вход через гугл + OTP, а ты сменил телефон х_х
Естественно.
От людей в масках и с автоматами это не спасёт, если все девайсы на виду
«Пароль? 2FA? Давайте уже честно — этого мало!»