un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
Se vorbește tot mai mult despre passkeys sau chei de logare, cum li se spune în română. Este vorba despre un sistem care se bucură de sprijinul unor giganți software precum Microsoft, Apple și Google, cu șanse mari de a înlocui în viitor parolele. Apple și Google deja oferă acest sistem sub diverse forme.
Așa că ce este un passkey și cu ce este mai bun? Sistemul devine ușor de înțeleg dacă pornim de la problemele pe care le au toate parolele clasice.
O parolă clasică are următoarele vulnerabilități:
Și o parolă ar putea fi cuplată cu 2FA, precum un SMS pe telefon, dar statistic vorbind foarte puțini fac asta, iar metoda oricum nu este sigură. SMS-urile pot fi compromise prin diverse metode, de exemplu hackerii ar putea convinge operatorul telecom să-ți mute numărul de telefon pe un alt SIM, al lor.
Acum intervin passkey-urile. Acestea nu sunt ceva de memorat, ci mai degrabă un șir foarte lung de biți. Ca analogie, gândiți-vă la un fișier scris în cod mașină, ceva imposibil de memorat și deci de folosit ca o parolă uzuală.
Ce se întâmplă, în schimb, este următorul lucru: passkey-urile sunt stocate local în dispozitivele tale securizate, de exemplu în telefonul tău protejat cu amprentă sau în laptopul tău protejat tot cu amprentă sau față sau parolă clasică. Când vrei să accesezi un site, vei face login folosind amprenta pe ecranul telefonului, ceea ce este un nivel excelent de securitate față de o parolă clasică, și telefonul confirmă automat cu site-ul respectiv că tu ai passkey-ul necesar instalat, ceea ce îți permite accesul.
Asta este tot ce faci tu, folosești biometria ca login pe orice site sau serviciu sau aplicație, iar în spatele scenei se verifică automat că ai passkey-ul necesar.
Ideea este că un hacker nu mai poate deci fura parola de la distanță, ci trebuie să aibă în mână chiar dispozitivul tău fizic pentru a avea acces la passkeys, ceea ce este mult mai puțin probabil să se întâmple. În plus, dispozitivul este oricum protejat biometric. Se termină cu situațiile în care un hacker din Costa Rica îți ia parola dintr-un dump de pe net și îți folosește contul de Netflix.
Avantajul pentru utilizator este că el de fapt se loghează peste tot folosind doar sistemul biometric al telefonului, iar în spatele acestui login se întâmplă comparații de passkeys criptate. Nu mai trebuie să reții parole, loginul este mult mai rapid și mai securizat, adică greu de păcălit. În plus, amprenta ta nu ajunge la fiecare site în parte unde folosești passkey, ci rămâne doar în telefonul mobil. Tu de fapt autorizezi cu amprentă ca telefonul tău mobil să facă schimbul de passkeys cu acel site.
Și nu-i vorba doar de asta. Sistemul de passkeys este gândit pe baza cheilor criptografice publice, care este un sistem foarte bine pus la punct pentru orice situație ce ar putea apărea.
Trebuie privit la modul următor. Passkey-ul tău este o jumătate a unei chei. Este ca o hârtie ruptă în două. Site-ul pe care vrei să-l accesezi are cealaltă jumătate. Sistemul este astfel gândit încât, dacă un hacker fură baza de date a site-ului, jumătatea ta de cheie este de fapt imposibil de determinat pornind de la jumătatea lor de cheie. Asta elimină o mare vulnerabilitate a parolelor clasice.
Apoi, passkey-ul tău nu părăsește dispozitivul pe care se află, așa că nu poate fi interceptat de un hacker la transmisie. Ce se întâmplă este că tu deblochezi telefonul cu amprenta și site-ul pe care vrei să-l accesezi, să zicem banca sau Gmail, verifică apoi că ai în telefon passkey-ul necesar pentru accesarea serviciilor lor. Amprenta nu “pleacă” niciodată din telefonul tău și nici măcar Apple sau Google nu o știu de fapt, fiind stocată doar în telefon.
Dacă vă uitați acum din nou pe lista de sus cu probleme ale parolelor clasice, veți vedea că passkey-urile le elimină pe toate sau măcar le adaugă un nivel foarte mare de securitate suplimentară.
Mai sunt alte detalii pentru ca sistemul să fie unul total funcțional. Telefonul sau laptopul personal or fi bine securizate, dar cum te loghezi pe smart tv sau pe un PC public sau pur și simplu pe vreun dispozitiv ce nu poate stoca securizat passkey-uri? Pentru această situație există un mecanism care rezolvă problema: vei putea folosi un dispozitiv pentru a acorda acces altui dispozitiv. Să zicem că Netflix vede că încerci să te loghezi pe un televizor și te va întreba pe telefonul mobil dacă ești de acord și va verifica passkey-ul de acolo. Treaba asta se întâmplă deja pe multe site-uri, dar ca o formă de 2FA, nu de passkeys securizate.
Dar dacă îți pierzi telefonul sau treci la altul? Păi passkey-urile pot fi salvate criptat în cloud și transferate de acolo în alt dispozitiv. Este un sistem asemănător cu backup-urile de iPhone sau Android sau cu Keychain sau Google Passwords, caz în care Apple și Google funcționează ca trust providers, adică ai încredere în ei că îți țin securizat datele la ei pe servere, iar până acum au făcut asta cu bine. Nu-i un sistem perfect, dar este mult mai sigur decât cel prezent.
Mă aștept să poți gestiona și ce dispozitive conțin passkeys, să le dezactivezi și să le anulezi. În plus, nu știu dacă v-ați prins printre rânduri mai sus, dar fiecare dispozitiv securizat de-al tău are de fapt un alt passkey în interior pentru același serviciu. Ca analogie, este ca și cum ai avea pentru același cont Gmail parole diferite pe telefon, laptop și tabletă. Securitate și mai bună!
Google a anunțat deja implementarea passkeys pentru accesul la cont. Va funcționa în paralel cu parola clasică, deci îl puteți activa și testa. Găsiți detalii aici, împreună cu o altă explicație pentru passkeys, dacă eu n-am fost prea clar. Google îl consideră atât de sigur încât nu folosește și 2FA pentru passkeys, că șansele ca un rău voitor să aibă telefonul tău în mână și amprenta sau fața ta la dispoziție sunt infime.
1Password adaugă acum suport pentru passkeys, dacă vreți un password manager. Apple suportă passkeys încă din iOS 16. Poate că într-o zi ar trebui să vă protejați măcar conturile importante cu passkeys și să eliminați riscuri mari de securitate.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Mi-am luat un eSIM de la Red Bull Mobile pentru roaming de date ieftin în străinătate
Oferte bune de la Revoluția Prețurilor de la eMAG
Articole interesante de citit astăzi – 14 aprilie 2024
Iranienii au lansat un atac aerian care doar îi face să pară neputincioși
iPhone 16 probabil va introduce un buton dedicat de fotografiere și îmi place ideea aceastaCopyright © 2006 - 2023 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
33 comentarii
18/05/2023 la 6:58 AM
Am citit și la google, am citit și aici, nu înțeleg cum funcționează.
Vreau să accesez gmail.com pe caluclator.
Îmi zice să dau cu degetul pe telefon – să zicem în aplicație,
Ce se transmite de la telefon la gmail ca să confirme că sunt eu?
Dacă intru pe contul tău, o să-ți apară ție mesajul să dai cu degetul. Știi că nu tu ai accesat e-mailul. Ce faci? Deschizi telefonul cu amprenta? Dacă tocmai mi-ai dat acces?
Poate că sunt întrebări de grupa mică, dar chiar nu înțeleg.
Adrian(Citează)
18/05/2023 la 8:20 AM
Un passkey functioneaza pe acelasi principiu ca si criptografia cu perechi de chei: ai o chieie publica si una privata. Pe cea privata o dai oricui cu care vrei sa comunici (in cazul asta sa te autentifici) iar cea privata este folosita sa decriptezi/verifici un mesaj primit.
Site-ul/serviciul are si el la randul lui doua chei si iti trimite un mesaj criptat cu cheia lui privata si cheia ta publica. Device-ul tau care tine passkey-ul primeste mesajul asta si il decripteaza cu cheia ta privata si cheia lui publica si astfel site-ul stie ca tu esti cine pretinzi.
Siguranta vine din faptul ca un device fizic e mult mai greu de furat si chiar daca il fura cineva, un telefon de exemplu este protejat la randul lui cu o parola/amprenta/pin/etc.
Sper ca am reusit sa clarific un pic cum functioneaza.
etk(Citează)
18/05/2023 la 10:27 AM
Multa lume nu intelege partea asta, pt ca e explicata prost. Nici eu nu am inteles pana nu am incercat efectiv sa vad cum merge.
Practic passkey-urile nu functioneaza pe baza de notificari, ci pe baza de QR code.
Deci daca vrei sa te loghezi pe calculator, iti apare un QR code pe care trebuie sa-l scanezi cu telefonu, pui amprenta/face id si gata.
Ca un mic detaliu, daca telefonu nu e in apropierea calculatorului, nu functioneaza.
De ex, daca faci screenshot la QR code si il trimiti cuiva sa-l scaneze, nu merge.
Deci daca intri pe contul altcuiva, nu o sa primeasca notificari de autentificare (eventual notificari ca cineva incearca sa-i acceseze contul, cum e si acum)
Calin(Citează)
18/05/2023 la 11:11 AM
Acum n-am înțeles eu nimic din explicațiile voastre. Cred că s-a complicat și mai mult problema.
Ca mod de funcționare vorbind, nu ca explicație tehnică, este cum zici tu. Vrei să accesezi de pe PC serviciul Gmail. Google te va întreba pe telefon: “hei, PC-ul vrea să acceseze Gmail, îi dai voie?” Și tu dai acces din telefon, validând cu parola asta ca să confirmi că ești tu. În spate, telefonul și Gmail fac schimb de passkeys și PC-ul primește deci autorizație.
Atenție că nu vorbim însă de ecranul de lock screen. O să aibă Gmail o interfață separată de amprentă, așa cum au acum aplicațiile bancare, de exemplu (poate folosești una gen Homebank cu autentificare cu amprentă). Și în interfața aceea probabil vei avea opțiuni de “validează accesul cu amprenta mea” și de “nu cunosc acel PC, nu-i da acces”.
Pe termen mediu, însă, PC-ul va avea probabil un passkey al lui. Aproape toate laptopurile moderne au o metodă de autentificare cu amprentă sau cameră Windows Hello. Odată ce se trece masiv spre passkeys, toate dispozitivele vor suporta de fapt așa ceva, că hardware-ul nu mai este scump. Securitatea este însă mult mai mare pentru că presupune că tu ai fizic dispozitivul respectiv în mână sau în față.
nwradu(Citează)
18/05/2023 la 1:27 PM
@radu
Nu functioneaza asa. Nu e pe baza de notificari. E pe baza de QR code. Ai citit mesajul meu de mai sus? Inclusiv in link-ul de la google din articol este explicat destul de bine.
Si deja poti salva passkeys pe android, ios, windows, mac (nu stiu linux).
Calin(Citează)
18/05/2023 la 8:45 AM
La Binance au implementat treaba asta foarte fain.
eBogdan(Citează)
18/05/2023 la 8:56 AM
“Să zicem că Netflix vede că încerci să te loghezi pe un televizor și te va întreba pe telefonul mobil dacă ești de acord și va verifica passkey-ul de acolo.”
Cum voi incerca sa ma loghez? Cu user si parola, nu? Deci tot tb sa tin minte o parola.
Daca ma loghez doar cu user, oricine o va putea face si un procent din oameni vor da approve cand le vine pe telefon prompt-ul. Deci cred ca va fi user + parola.
La fel si cu stocarea in cloud. Pe ala tot cu parola il accesez, corect?
Marean(Citează)
18/05/2023 la 9:21 AM
E posibil sa fie ceva gen scaneaza QR-ul asta pe un dispozitiv de incredere ce contine cheia. Sau ca la youtube, daca vrei sa te loghezi pe tv mergi pe site-ul nostru pe un dispozitiv de incredere si baga codul 123plm din.
Pyro(Citează)
18/05/2023 la 10:11 AM
Nu primesti nicio notificare.
Daca incerci sa te loghezi pe alt dispozitiv decat cel pe care ai salvat passkey-ul iti apare un cod QR pe care trebuie sa-l scanezi cu telefonu. Ba mai mult, dispozitivele trebuie sa fie fizic apropiate (se verifica prin bluetooth/cablu) altfel nu merge. (asta in caz ca cineva incearca sa faca screenshot la QR code).
In cazul netflix/TV-uri, probabil o sa mearga ca si pana acum, cu un cod care iti apare pe tv si il bagi in aplicatie.
Calin(Citează)
18/05/2023 la 10:18 AM
Am inteles.
Mi-am facut passkey din asta, sa vedem ce si cum.
Oricum, ce este clar este ca se pare ca trendul este sa nu mai poti face nimic fara telefon, ceea ce nu stiu daca e grozav.
La banca la care am conturile (strainatate) deja nu ma mai pot loga pe computer fara telefon, ca trebuie sa scanez QR sau sa aprob in aplicatie.
Pt platile pe internet la fel, tb sa scanez un QR.
La fel este si pt a accesa datele mele pe site-urile guvernamentale (taxe etc) si la fel este si la furnizori, ca tb sa primesc cod pe sms.
Marean(Citează)
18/05/2023 la 10:36 AM
@Marean,
Passkey-urile nu functioneaza chiar asa, nu este musai nevoie de telefon.
Poti avea un passkey salvat in telefon si un alt passkey salvat in calculator, pt acelasi site.
Daca vrei sa te loghezi de pe telefon, pui amprenta si gata.
Daca vrei sa te loghezi de pe calculator, la fel, pui amprenta sau windows hello sau ce protectie are calculatorul/laptopul respectiv (daca nu are, eventual atunci iti trebuie si telefonul)
Calin(Citează)
18/05/2023 la 11:13 AM
Asta mă deranja și pe mine. Nu aveam telefonul lângă mine, dar trebuie să introduc la login un cod primit prin SMS sau mai nou să validez din aplicație.
În practică, însă, passkey-urile doresc să crească nivelul de securitate. Sunt sigur că vor fi și opțiuni de parolă clasică în continuare, pentru cei ce vor comoditate și acceptă riscurile de rigoare. În anumite cazuri, gen bănci, este posibil să nu ai însă de ales tocmai pentru că vorbim de bani, nu de pierdut contul de TikTok.
nwradu(Citează)
18/05/2023 la 11:56 AM
De acord cu Marean aici, este foarte stresant ca nu mai poti face nimic daca nu ai acces la telefon. Mi se pare ca te poti lovi de diverse probleme in care, daca ai pierdut telefonul, automat esti blocat si nu mai poti accesa niciunul dintre conturile tale.
Exemplu de situatie:
– imi pierd telefonul, dar vreau sa accesez agenda salvata in Google ca sa sun pe cineva sa vina sa ma ia din locul unde sunt izolat;
– gasesc pe cineva dispus sa ma ajute, dar nu pot accesa agenda din Google pentru ca am nevoie sa confirm pe telefon ca sunt eu.
Andrei G(Citează)
19/05/2023 la 6:08 AM
Nu e. Chiar deloc.
Peredhil(Citează)
18/05/2023 la 9:17 AM
Apropos de accesul la telefon si protectia biometrica:
https://www.wsj.com/video/series/joanna-stern-personal-technology/apples-iphone-passcode-problem-how-thieves-can-take-over-in-minutes/967C3B74-90D3-45EA-BAA4-4ECDBB24715D
vladutz(Citează)
18/05/2023 la 9:25 AM
Pare o problema de logica la Apple acolo cu passcode-ul ala.
Si faptul ca folosesc PIN-uri usor de memorat in loc de amprenta de exemplu.
Pyro(Citează)
18/05/2023 la 9:48 AM
Nu fa confuzie intre passcode (un pin de 6 cifre) si un passkey (sir de caractere aleatorii de 256 biti, echivalentul a 64 de caractere).
De asta mi se pare incredibil ca ING foloseste passcode pentru autenticare, in loc de o parola banala. Pascode + 2FA prin SMS adica cea mai proasta combinatie. 🤦♂️
etk(Citează)
18/05/2023 la 11:18 AM
Asta le-am zis și eu, dar cei de la ING mi-au spus că în spate au niște algoritmi mai complecși. Se uită la poziția telefonului tău, la ce încerci să faci etc. Dacă pare ceva suspicios (accesezi din Londra de pe PC, dar telefonul tău pare a fi în București), se activează alte niveluri de securitate.
Tot ei mi-au zis cândva că pentru anumite plăti cer securitate scăzută pentru că nu este nevoie de mai mult. Un hacker nu o să plătească factura Enel folosind aplicația ta bancară și cardul tău. Dacă însă încearcă să transfere toți banii în alt cont, banca cere mai multe verificări.
Am văzut cândva un studiu care spune că nu este foarte eficient să ceri o parolă foarte complexă pentru că oamenii ajung sa o folosească pe aceeași peste tot. Dacă ceri majuscule, caractere și numere, câte parole de acest tip poate reține cineva? Așa că un passcode de 5 caractere nu este de fapt foarte diferit de o parolă clasică. Riscul mai mare este doar la “ți se uită cineva peste umăr”.
nwradu(Citează)
18/05/2023 la 11:59 AM
Exact asta am spus si eu mereu. Desi in teorie parolele complexe sunt mult mai sigure, in practica majoritatea vor folosi maxim 2-3 parola pe toate site-urile. Si automat o bresa de securitate pe un site ii da hackerului acces la jumatate din conturile tale.
Andrei G(Citează)
18/05/2023 la 9:28 AM
Pe scurt, recomand 1Password, nu rahaturi inglobate in browsere.
Si nu Lastpass care a tot fost hackuit.
Ah, si 1Password inca nu a implementat passkeys, ci abia prin iulie.
Pyro(Citează)
18/05/2023 la 11:18 AM
De ce?
nwradu(Citează)
18/05/2023 la 7:39 PM
De ce ce?
Pyro(Citează)
19/05/2023 la 2:20 AM
Pe scurt daca tot recomanzi ceva password manager sigur, macar recomanda un password manager care este open source si care eventual lucreaza exclusiv local sau are abilitatea de a fi self hosted, ceva care sa nu depinda de serverele unui 3rd party, managere de genu Keypass sau Bitwarden. Nu este mare stiinta sa iti salvezi in cloud backup-urile daca doresti cloud sync pe mai multe device-uri, dealtfel cu un cloud self hosted, asa detii control 100%.
Alex(Citează)
18/05/2023 la 10:35 AM
Fac de treaba asta de niste vreme buna pe iphone si pe mac si thanks god am scapat de memorat parole, plus ca mai e si safe. Nu stiam ca optiunea nu exista si pe android
Marius(Citează)
18/05/2023 la 10:43 AM
Functioneaza demult si pe android
Problema e ca inca sunt putine site-uri care suporta passkey-uri. Dar o sa adauge suport toate, in timp.
Calin(Citează)
18/05/2023 la 11:20 AM
Cred că depinde și de cât de mult folosești opțiunile de “login with Apple ID” și restul, nu?
nwradu(Citează)
18/05/2023 la 11:05 AM
Auditurile de securitate americane încă recomanda parolele. De ce? Pentru că cineva rău intenționat poate accesa telefonul tau (la aeroport de exemplu) și să îți pună degetul pe amprenta pentru a-l debloca. Dar vei fi mai greu de convins să le spui parola.
Totodată o gagica geloasa ți-l poate debloca noaptea când dormi, la fel cu degetul.
Nu e nici pe departe un sistem perfect. Plus că nu am încredere în sistemul google de a tine parolele, prefer bitwarden sau orice cu zero knowledge.
Tano(Citează)
18/05/2023 la 11:20 AM
Mă îndoiesc. Cât de des apare situația în care cineva te forțează să pui degetul pe telefon față de situația în care “site-ul X a fost hăcuit, hackerii au fugit cu baza de date cu parolele în ea” sau “mama nu a știut să identifice un email de phishing”?
De curiozitate, de ce ai mai multă încredere în Bitwarden decât în Google?
nwradu(Citează)
19/05/2023 la 2:53 AM
Foarte bine punctat, cine este pasionat de Cyber Sec sau lucreaza in domeniu, ar spune fix ce ai spus tu. Este greu sa le explici oamenilor de ce este important x si y cand ei nu inteleg conceptele de baza … apoi cand se trezesc cu, conturile sutite sau au probleme cu EX posesivi care le fac stalking sau mai stiu eu ce furt de date, se mira ca de ce ei … si cum … industria Cyber Sec este in criza de experti pe segmentul asta si companiile se bat pe specialisti si oamenii inca nu realizeaza cat de serioasa este treaba asta cu securitatea si ce implica, si nu doar financiar cat si social. It’s all fun and games till someone loses an eye … si ca sa ii raspund lui Radu, Bitwarden este open source, stii exact ce este in cod si audit-urile sunt transparente. Doar pentru ca Google este o companie mare nu inseamna ca este si ceea mai sigura sau serioasa pe partea de privacy sau securitate, si zic asta in sensul in care pe PlayStore inca sunt probleme cu aplicatii malitioase urcate pe store, lafel si cu extensiile pentru Chrome unde se misca ca melcii sa scoata aplicatii malware, dupa multe report-uri si review-uri de la comunitate, aplicatii care ar fi trebui verificate la sange inainte de a fi lasate pe platforma lor, si aici nu ma refer la chestii sideloaded ci la alea urcate oficial pe platforma … am de 1000 de ori mai multa incredere intr-o aplicatie ” vetted si verificata ” de comunitatea open source unde este verificat fiecare cod in parte decat in ceva closed source unde depind si de bunavointa serverelor unei companii care poate fi atacata ddos si literalmente sa nu imi pot accesa datele locale pentru ca trebuie sa fac sync de passkey cu serverul lor.
Alex(Citează)
18/05/2023 la 12:38 PM
Nu e vreo confuzie, e vorba doar de faptul ca prezenta telefonului la tine impruena cu blocarea lui prin passcode nu tine cont de faptul ca poti fi targetat pentru passcode stealth (prin filmare de ex) si apoi targetat pentru device theft. Clipul arata ca daca te organizezi ca thief, poti sa exploatezi destul de bine.
Odata ce cineva are telefonul si passcode, el are tot si tu esti out.
vladutz(Citează)
18/05/2023 la 7:16 PM
E ceva ce visez de cativa ani.
La unele aplicatii sau site-uri daca se deconecteaza schimb parola, ca aia veche o uit.
alexul(Citează)
19/05/2023 la 2:33 AM
On paper suna a ceva minune, din pacate este o alta caramida pusa la adresa invaziei de privacy. Date biometrice, corelare de date intre device-uri … chit ca tu poate nu ai aceleasi conturi logate pe mobil si pe pc … de ce as da companiilor mai multe informatii despre mine cand pot lejer sa imi hostez si singur un password manager cu parole lungi si complexe care literalmente nu pot fi sparte nici in 1000 de ani … si asta cu problema retinutul parolelor are un fix major se numesc password managere, cine 2023 nu foloseste asa ceva si un 2FA trebuie sa isi asume. Asta mai lipsea sa stau si cu grija datelor biometrice care apropo pot fi furate foarte usor, vine unu iti da una in cap iti pune mobilu in fata si iti face unlock la telefon cat esti lesinat pe jos, sau iti ia degetul si il pune pe display … omu face iti face paguba chiar daca banezi tu contul remote, pentru ca el a avut deja access la datele tale … asa ca parola e sfanta. Apropo serviciile de informatii iti pot folosi legal datele biometrice si sa iti deschida telefonul cu un mandat. O parola iti da dreptul de a nu zice nimic. Nu zic ca ar face cineva ceva shady cu telefoanele lor, doar explic ca este foarte usor de spart. Passkey este lafel … gg. Macar daca iti este furat device-ul literalmente iti poti baga telefon in carantina dupa incercari esuate de logare fara autorizatie. Singurul dar absolut singurul upgrade la parole cel putin momentan, ar fi un token fizic 2fa. Pana nu se vine cu o solutie care sa fie sigura si privacy friendly nu bagati de seama balariile astea gen date biometrice si passkey-uri …
Alex(Citează)
19/05/2023 la 1:55 PM
Sa inteleg ca daca imi da cineva in cap si imi ia telefonul poate sa goleasca tot, de la conturile de banca pana la caracterele din wow doar cu degetul meu taiat, si cumva asta e impinsa ca o idee excelenta.
Adica sunt convins ca daca ma strange unul cu patentul de oua o sa ii recit cele 200 de parole posibile, dar totusi tot nu imi suna bine sa depind doar de un dispozitiv. Am o urgenta in depalsare, nu am baterie, mi-a scapat in wc, a trecut o masina peste el samd se duce pe pix tot. Astia de la banca au refuzat sa mai imi dea un token fizic, facem totul pe telefon. Nu e ok.
Same shit cu cu fortele de ordine. Nu am nimic de ascuns, dar nu vreau daca pun mana pe telefon sa aiba acces la absolut tot ce privat in viata mea, ca e deblocata cu o amprenta.
O sa folosesc parole pana nu e total obligatorie trecerea la prostia asta.
Baltha Zerus(Citează)