Комментарии 74
Microsoft выступает участником FIDO Alliance
э.. кащениты??
Скрытый текст
Отказаться от пароля, наверное, будет самый правильный путь после историй аля LastPass. Но у них же есть приложение на двухфакторку. Это намного лучше кодов по SMS (Google избавляется от этого).
Отказаться от пароля, наверное, будет самый правильный путь
Предлагают заменить на отпечатки, окей, допустим. Но в МС-то не отпечатки передаются, а (грубо говоря) код зашифрованный отпечатками и отпечатко-сканером. То есть потерял отпечатко-сканер или в нем слетели отпечатки и оппа - всё, в МС уже не войдешь, т.к. от пароля же отказались.
всё, в МС уже не войдешь, т.к. от пароля же отказались.
От пароля входа - отказались. Но там еще несколько штук восстановления входа.
Вот прямо сейчас заглянул.
Есть:
Отправить код восстановления на email
Отправить код восстановления в SMS
Подтверждение в приложении аутентификаторе (может быть много, на разных устройствах)
Ввод кода, сгенерированного там же
Использовать passkey с другого устройства
Использовать код восстановления.
Достаешь из сейфа/тумбочки вот это вот все (возможно, попросят несколько разных) - и заходишь.
Особенно смс в наше время актуально... У друзей смс на гугл аккаунт не приходило, чтоб детям телефон зарегать, пока симку мтс не взяли.... Мегафон и Билайн не было сообщения
Особенно смс в наше время актуально...
Ну так можно же выбирать. Я думаю, скоро тоже, как и Гугл, начнут этот способ изводить.
SMS - дорого и муторно для владельцев авторизующего сервиса, но есть бонус: требование работающего телефона срезает количество регистрирующихся ботов. Не блокирует напрочь, но всё же на больших масштабах заметно.
А если инфраструктура под рассылку SMS для регистрации уже налажена, то и для логина можно использовать.
Достаешь из сейфа/тумбочки вот это вот все (возможно, попросят несколько разных) - и заходишь.
Пробовали до конца квест пройти? Мы не в порядке спора, а просто интересно именно с МС.
Мы вот недавно сменили ноут и ИП и стали на гугл аккаунт заходить, на который давно не заходили. Пароль верный, 100%, тут вопроса нет, даже гугл сам сказал что он верный, но...
... тут же гугл нам заявил, что "подозреваю что вы это не вы" и начал дичайший квест с вопросами вида "когда вы завели аккаунт", "с кем вы чаще всего общаетесь", "когда последний раз заходили", "какой пароль был у вас в 2019 году в октябре" (вопросы условно называем, но общий принцип именно такой) и так далее, после чего попросил время на подумать и .... отказал в доступе. И это при том, что при заведении ящика у нас кодовая фраза была задана (да, от нее гугл отказался потом, но все же она была и он ее не спросил).
Примерно так же потеряли некоторое время назад пароль на ящик в маил.ру, логин/пароль верный, но "подозреваем что ваш ящик взломали докажите что вы это вы".
Да, это не проблема с отказом от пароля, но это определённо проблема с восстановлением и отказ от пароля не сделает ее легче. Честно говоря, нас эта тенденция настораживает настолько, что видимо будем постепенно переходить на свой домен и оффлайн почту.
Пробовали до конца квест пройти? Мы не в порядке спора, а просто интересно именно с МС.
Да. У меня по расписанию каждые 3 месяца вход в учетки предусмотрен (Во все, что есть - оно размазано по году). Чтобы не протухали. Разным способам каждый раз вхожу.
Пароль верный, 100%, тут вопроса нет, даже гугл сам сказал что он верный, но...... тут же гугл нам заявил, что "подозреваю что вы это не вы" и начал дичайший квест с вопросами вида "когда вы завели аккаунт", "с кем вы чаще всего общаетесь", "когда последний раз заходили", "какой пароль был у вас в 2019 году в октябре" (вопросы условно называем, но общий принцип именно такой)
А это наверняка потому что в учетку Гугла не были добавлены эти самые другие способы входа, кроме кодовой фразы. По резервным кодам, скажем, он меня до сих пор нормально пускал, даже если скажешь что ни пароля не помнишь, не телефона у тебя нет.
Собственно, что Гугл, что MS даже, вроде бы, перестали называть это 'восстановить доступ'. Просто 'войти другим способом', показывая что они, по сути, равноценные.
Да, этот дикий квест - проходил многократно.
Даже если не заходил в почтовые гуглоящики пару-тройку месяцев.
Причём всё сводится, по конечке, к выманиванию телефонного номера, даже на аккаунта типа гугла/яндекса образца дремучего, типа 2000-2005 годов, когда этот телефон был нахрен никому не нужен.
У меня так с 90% аккаунтов - телефона даже не предполагается.
Здравствуйте.
Пожалуйста, опишите ситуацию через форму: https://help.mail.ru/mail/forms/support/
Наши коллеги всё проверят и помогут вам.
Из соображений безопасности мы не рекомендуем совместное использование почтовых ящиков.
Лучше всего зарегистрировать домен для вашей организации, подключить его к системе VK WorkMail (https://biz.mail.ru/mail/) и создать личный почтовый ящик для каждого сотрудника.
При необходимости можно настроить сбор почты с общего ящика в личные ящики сотрудников, чтобы защититься от случайного или умышленного удаления писем.
Также в расширенной версии Почты для доменов можно восстанавливать удалённые письма. Подробнее об этом можно узнать по ссылке здесь: https://biz.mail.ru/docs/saas/tariffs-bills/tariffs/index.html
В связи с закрытием skype одной знакомой преклонных лет потребовалось поставить teams, пароль человек не помнит. В течении часа пытался восстановить пароль, не удалось. Благо пароль на почту был похожий, один из вариантов подошёл.
То есть потерял отпечатко-сканер или в нем слетели отпечатки и оппа - всё, в МС уже не войдешь, т.к. от пароля же отказались
Не подтверждаю. Я могу заменить модуль отпечатков на компьютере, и прежний отпечаток будет спокойно работать на новом модуле. Я так уже делал пять лет назад на Windows 10. Всё дело в том, что сам хэш отпечатка абстрагирован от модуля и завязан на Windows Hello, а та работает на TPM (не знаю, корректно ли в техническом смысле я сказал, но TPM в Windows Hello действительно имеет какое-то значимое место).
О, у меня аналогичная история. Один раз даже выскочил запрос в аутентификаторе.
Самое тупое, что можно было придумать. У меня нет и не было смартфона никогда, как теперь в аккаунт входить?..
А компьтер зачем?
У компа завелась привязка к номеру мобильника?
SMS, аппаратный ключ, одноразовые ключи доступа.
Totp довольно простая штука, ей не обязательно мошшшный смартфон, можно любую фигню на esp8266 использовать. Я например одно время для totp юзал flipper.
TOTP клиенты есть для любых платформ, вплоть до perl/python/etc, доступ в инет не нужен.
входа в учётную запись без пароля, в том числе биометрическую аутентификацию через отпечатки пальцев и распознавание лиц
Вот это подстава! Заменить надёжнейший пароль на дичь аля "биометрия" - это сильный ход. Дебилы!
Заменить надёжнейший пароль на дичь аля "биометрия" - это сильный ход. Дебилы!
У меня в компе никаких средств чтения биометрии нет. А Passkeys и вход по ним работает.
И на смартфонах - тоже без биометрии, хотя и есть чем читать.
Я не знаю, почему раз за разом, в каждой статье именно на биометрии фокусируются.
С этой биометрией - просто непонятки. Что под ней прдразумевают? Ахинею, типа фото/аудио, которую делают в гавносбербанках? Или нормальные данные, которые вшиты в чип моей страницы паспорта, где есть антропометрические описания, включая тупую дактилокарту и днк на сколько-то там ступеней?
Что под ней прдразумевают?
То, что умеет читать то устройство, в котором Passkey хранится и которому вы объяснили 'вот это я'.
Хз. Антропометрические пасспорта не умеют читать 99% официальных контор, включая госку.
Про пасскеи способные работать с биометрией и подобными типами данных - вообще не слышал.
Хотя чего проще - установил себе паролем свой геном - хрен кто его взломает или украдёт. Там только заголовок документа около полумегабайта.
Ага и сиди жди полгода на валидации. И вагон денег занеси.
Про пасскеи способные работать с биометрией и подобными типами данных - вообще не слышал.
Минимум 1 есть в продаже — YubiKey Bio и его type-c версия YubiKey C Bio, работает с отпечатками. Но лично я слабо представляю как в форм фактор пасскея впихнуть что то большее.
Но лично я слабо представляю как в форм фактор пасскея впихнуть что то большее.
Производители аппаратных криптокошельков, как я понимаю, в их софт активно поддержку passkeys добавляют. Или просто токены выпускают на своей аппаратной платформе. Но конкретно этот вариант - совсем не для массового потребителя. Хотя в массовом производстве было бы значительно дешевле.
Да железа навалом, всякого.
Но как тудв закинуть даже ту же инфу, с биометрических паспортов, например?
Это прерогатива исключительно госорганов, типа МВД/ФСБ - ну как они будут работать с приборами без сертификации РФ?
Но как тудв закинуть даже ту же инфу, с биометрических паспортов, например?
Дался вам это паспорт. Для чего его вообще читать в обсуждаемом контексте?
Демонстрируешь свою тушку железке, она ее параметры запоминает. В следующий раз демонстрируешь - она понимает, что ты это ты и отрывает ключики Passkey-ев
А всякие ФИО - смартфону, например, не нужны же, чтобы экран разблокировать. Вот и тут так же.
Демонстрируешь свою тушку железке, она ее параметры запоминает. В следующий раз демонстрируешь - она понимает, что ты это ты и отрывает ключики Passkey-ев
"Ваш вес не соответствует образцу. Предъявите настоящего владельца или похудейте взад"
"У владельца этого акаунта 2 ноги, а у вас только одна. Предъявите вторую ногу"
А всякие ФИО - смартфону, например, не нужны же, чтобы экран разблокировать. Вот и тут так же.
Переход от "что умеет" до "чем владеет", конечно, защищает - если владение сложно украсть. Но если его лишиться - то ой.
Здесь под passkey подразумевается вот это: https://safety.google/authentication/passkey/, а не аппаратные токены
Биометрия в любом случае будет локальной. Такой, на которую способно ваше устройство.
Она просто откроет локальное же зашифрованное хранилище, в котором лежит уже ключ доступа.
Потому что для абсолютного большинства людей биометрия надежнее.
Потому что для абсолютного большинства людей биометрия надежнее.
Могли бы там же упоминать внешние токены (что это так же работать будет). Но нет, именно на биометрии фокус.
А в комментариях потом у нас - "нас всех посчитают, по камерам слежения найдут" и так далее. А у них - "и потом полиция заставить пальчик приложить или в камеру посмотреть, чтобы вам в телефон заглянуть."
Вот да. По описаниям абсолютно не понять, что биометрия на девайсе начнётся и на нём же закончится, как только хранилище ключей разблокируется, дальше уже они только ходить будут... И в головах абсолютно фантастические сценарии возникают.
нас всех посчитают, по камерам слежения найдут
и потом полиция заставить пальчик приложить или в камеру посмотреть, чтобы вам в телефон заглянуть
Уже сейчас всех считают, находят по камера и у силовых структур достаточно методов, что пароль вы сами ввели, инициативы майкрософт тут ничего не меняют.
Потому что для абсолютного большинства людей биометрия надежнее.
Для чего именно? В каких сценариях?
Абсолютное большинство оставляет свою биометрию (лицо, отпечатки пальцев) где попало. Пароли в свою очередь где попало мало кто оставляет.
Биометрия, в виде существующем в реале, имеет только заголовок в 512 килобайт и требует ключ в 4096 бит. Это минимальные требования для биометрических паспортов РФ, например.
Большинство людей не используют устойчивые к перебору пароли, не используют одноразовые пароли и записывают свои пароли в password.txt на рабочем столе. Биометрию, такую как 3д скан лица, так просто не скопировать. И попробуйте удаленно, находясь в другой стране, например, достать отпечаток пальца интересующего васчеловека - это совсем не так просто, как закинуть трояна через pdf на виндовс машину без последних обновлений безопастности.
Надеюсь хотя бы вход в интерфейс GFWL по паролю оставят, если уже не прибили... И да, телефона у меня не привязано к микрософту, только резервная почта.
Мне интересно, а чем PIN-код лучше? Это разве не то же самое, просто теперь варианты ограничены 4 цифрами, вместо 12-16 любых символов?
Я вот так думаю любой кто имеет физический доступ к моему ПК может узнать 4 самые используемые цифры по следам на клавишах и дальше подобрать брутфорсом.
Но вообще там можно выбрать и буквы, а не только цифры. И вроде бы даже больше 4 символов. Но тогда тем более - какая принципиальная разница с паролем кроме названия?
Это разве не то же самое, просто теперь варианты ограничены 4 цифрами, вместо 12-16 любых символов?
...
Но тогда тем более - какая принципиальная разница с паролем кроме названия?
PIN в обсуждаемом контексте отличается от пароля тем, что он действует только на этом устройстве и больше нигде. И на другом устройстве(в отличии от пароля к сервису) бесполезен. И да, если устройство (или производителя системы) подергать - обычно можно и длиннее сделать и не только из одних цифр.
О, скоро начнется эра утечек биометрии. Тогда дальше чем защищаться будем?
О, скоро начнется эра утечек биометрии.
Можно сценарий, начиная с утечки (что и откуда утекло) и заканчивая успешной атакой (т.е входом в сервис злодеем, а не владельцам учетки сервиса)?
А то мне кажется, что тут снова какое-то не то использование биометрии имеется в виду.
Как минимум - социнженерия твоего круга знакомых и родных, используя нейронки. Как максимум - имитация сканера/пинпада чтобы передать твои пальчики для авторизации. Много векторов атаки может быть, была бы исходная информация.
Ну, вот, пример из прошлого: В августе 2019 г стало известно, что у компании Suprema произошла утечка более 1 млн биометрических данных клиентов. Они включают в себя биометрию, собранную полицией, малыми предприятиями и правительствами во всем мире. Источник https://www.tadviser.ru/index.php/Компания:Suprema
Еще были случаи. Или неочевидно, что отпечатки и лицо нельзя поменять, в отличие от пароля?
Или неочевидно, что отпечатки и лицо нельзя поменять, в отличие от пароля?
Мне не очевидно, что то что утекло - можно успешно использовать для атаки на хранилище Passkey-ев. (т.е. для разблокировки телефона или винды)
Там, поди, какие-нибудь "биометрические вектора", только для самой системы Suprema и пригодные.
Но, вообще, ответ принимается.
Но все равно ситуация лучше чем утечка паролей - чтобы этими утечками воспользоваться, надо еще устройство жертвы на руках иметь. И которое, например, отпечатками пальцев просто обляпано - никакой утечки не надо, чтобы осуществлять атаку.
Будут и для других "супрем" годные кейсы.
И можно посмотреть на эту проблему под другим углом: американцы просто собирают биометрическую базу из людей со всего мира. Киберпанк во всей красе.
И можно посмотреть на эту проблему под другим углом: американцы просто собирают биометрическую базу из людей со всего мира.
Протокол Passkey-ев не предусматривает передачу биометрии. Сервису все равно, чем приватная часть ключа защищается.
А если исходить из того, что биометрию вытаскивают из телефонов и компов - ну так в таком случае она уже вытащена у всех, кто ей пользуется. Независимо от новости и Passkey-ев.
Странное оправдание. А если вытащена не у всех?
Сам протокол, конечно, не будет передавать эти данные. А вот сервисы, которые находятся рядом, вполне могут. Работу с драйверами никто не отменял, скрытые возможности тоже.
Я говорю о том, что тенденция идет к тому, чтобы собрать данные у максимального количества людей. И в РФ такая мода пошла уже под предлогом безопасности, хотя я рекомендую пользоваться двухфакторкой, чем сдавать биометрию. Еще раз: пароль поменяете: а вот отпечатки и лицо - уже нет.
А если вытащена не у всех?
И как внедрение Passkeys поможет вытащить у оставшихся? Она же там не передается. А кто в систему входил только по нажатиям кнопок (потому что параноик или потому что устройств считывания биометрии нет) - так и продолжит входить.
И как внедрение Passkeys поможет вытащить у оставшихся?
Принудительной подсадкой на такой способ авторизации.
А кто в систему входил только по нажатиям кнопок (потому что параноик или потому что устройств считывания биометрии нет) - так и продолжит входить.
Ну, то есть кто не сдает биометрию тот либо уровня бомжа, кто не может позволить купить устройство с датчиком отпечатка, или параноик. Интересное мнение, окей)
Интересное мнение
Ну вот смотрим:
Если человек уже использует FaceID, отпечатки итд - оно уже утекло (при условии злонамеренности производителя системы устройства).
Независимо от того, использует он Passkey-и или нет.
Если он не использует всю это биометрию - то у него Passkey-и работают и так, даже если его принудительно на них перевели.
Так что я не понимаю, почему их в этом контексте нужно опасаться.
Потому что, как я говорил выше, что нет гарантий в отношении сервисов, которые могут находиться рядом и получив биометрические данные, отправляют их во внешнее хранилище. Я прекрасно понимаю, что фишинг тут вряд ли может, но более высокий уровень хакинга позволит утекать таким данным вопреки красивым словам о протоколе обмена данными.
Вы говорите о наличии конкретного безопасного протокола. Это все окей. А я говорю, что наличие датчиков и скрытые возможности ОС вполне могут реализовать отправку биометрических данных в чистом виде.
А ещё может получиться так , что условный хеш отпечатка может использоваться для идентификации людей в других сервисах, не только онлайн, но и оффлайн
что нет гарантий в отношении сервисов, которые могут находиться рядом и получив биометрические данные, отправляют их во внешнее хранилище.
Все равно не понимаю, как Passkey-и увеличивают риск. Если такой (зловредный) сервис есть в системе или 'рядом'- то он и так биометрию сольет, если я ей в принципе пользуюсь. Даже если я Passkey-ями не пользуюсь, а пароль набираю, как сейчас.
Да, верно, тот самый злой сервис и сольет данные. Как раз благодаря тому, что в системе как минимум есть биометрические датчики. И вполне вероятно, что утекут они вопреки милым добрым стандартам passkey.
Да, верно, тот самый злой сервис и сольет данные. Как раз благодаря тому, что в системе как минимум есть биометрические датчики.
Использование Passkeys поможет ему это сделать как?
Не использование - помешает как?
Какие сценарии становятся более/менее трудоемкими в зависимости от того, что мы их используем?
Уже ответил. Вы все о passkeys. А речь не о нем в принципе.
Вы все о passkeys. А речь не о нем в принципе.
Ну да. Потому что
И можно посмотреть на эту проблему под другим углом: американцы просто собирают биометрическую базу из людей со всего мира.
А 'эта тема' - оно на тот момент про passkey-и была. (Что в связи с их внедрением начнется эра утечек биометрии).
Если просто про 'собирает' - то это надо обсуждать, безопасно ли вообще иметь анлок устройства по биометрии.
Битва в киберпространстве — это постоянно "меч и щит"
articles/435978/
Она, вообще говоря, не совсем про утечки. Утечка подразумевает, что оно где-то массово хранилось, его оттуда незаконно скопировали ну и потом что-то плохое при помощи скопированного сделали.
По ссылке - только про последнюю часть. А заявлялось 'начнется эра утечек биометрии'
Впрочем, именно описанные в статье риски показывают, что использовать только биометрию - нехорошо. Надо спрашивать и биометрию и PIN. Тогда только хорошей копии биометрии будет недостаточно, чтобы в телефон/хранилище ключей залезть.
Microsoft сделает новые учётные записи беспарольными по умолчанию