Google радить користувачам замінювати паролі на ключі доступу. Що про це думаєте?

Вітаємо, спільното!

Корпорація Google повідомила, що відтепер ключі доступу стають стандартним методом входу для усіх користувачів. Вони мають замінити не лише традиційні паролі, а й інші системи входу, наприклад, двоетапну автентифікацію чи вхід через код на SMS, про це пише видання TechCrunch.

У Google зазначають, що після запуску цього нововведення 64% користувачів відповіли, що вважають ключі доступу легшими у використанні, якщо порівнювати з традиційними методами — паролями й двофакторною автентифікацією. Компанія заохочує всіх користувачів почати використовувати ключі доступу як основний спосіб входу.

А як у вас? Чи замінюєте паролі на ключі доступу? Якщо ні, то чому?

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному1
LinkedIn

Найкращі коментарі пропустити

Відношусь негативно.
Єдиним власником пароля є людина, точніше її пам’ять і свідомість.

Будучи при пам’яті і свідомості тільки людина володіє правом доступу до своїх ресурсів і їй не потрібні інші допоміжні засоби, тобто, вона є незалежною.

Будь-які варіанти біометричних, криптографічних, хардверних і т.д. ключів вводять фактор залежності людини від девайсів.

У Google є рекомендації як відновити ключ, коли, наприклад, пристрій з ключем загублено. А от коли хтось заволодів вашим пристроєм і використовую ключі в своїх цілях — рекомендації не має.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Як побачив цю тему, то зробив собі ключі доступу на пробу.
Мені з ними зручніше ніж вводити пароль і потім 2FA особливо на iPhone mini.
Ключ доступу не є заміною паролю, це просто альтернативний спосіб входу.
Їх можна створити так багато як є пристроїв в користувача що відповідають вимогам.
Їх також можна видаляти з будь якого пристрою в будь який момент.
Якщо ви загубили телефон з ключем, то ним не так просто скористатися так як Гугл не дасть створити ключ якщо телефон не захищений паролем.

А в ключе доступа тоже должны быть маленькие и заглавные буквы, цифры, знаки препинания, день рождения мамы разработчика?

Це вже можна назвати «вхід в Інтернет по паспорту»?

Вход в интернет и так уже давно по паспорту, уже лет 10-15. На всех сервисах обязательно вытянут с тебя телефон, по которому однозначная идентификация.

1. Старий Nokia без GPS на OLX та сім карта з АТБ. Максимум що дізнаються у якій соті ти проживаєш, а якщо це якийсь спальний район із овер дофіга висоток це практично ні про що.
2. Сервіси аренди номерів телефонів де підвязувати свій номер не обов’язково

це проактивні дії. Для людей, що так діють зараз, якийсь глобальний passkey теж проблемою не буде.

2-3 реєстрації з «сімки з АТБ» і тебе так само причеплять до «основного» рекламного профілю. Телефон — це один з небагатьох засобів ідентифікації, радше захист від ботів.

ахаха
Операторы сотовой связи собирают статистику, и только через позиционирование сим знают решительно всё. Первым делом, определяются 3 точки, в которых практически любой телефон проводит 80% времени. Конечно через триангуляцию единичная точка видна с погрешностью метров 100, но при большом количестве собранных данных, скоррелируют до сантиметра. Итак, они знают где ты точно живёшь, где работаешь. И с кем, по тем точкам что с тобой тусят, даже если ты им не звонишь. Дальнейший анализ может выявить, сколько ты получаешь бабла, на чём ездишь и т.п.

Далее. Ты на этот телефон регистрируешь вайбер, вотсапп, скайп и т.п. Никто ничего «ломать» и расшифровывать не будет, могут просто отключить твой сим, получить смс, и включить. Но это в крайнем случае, а так вообще базы вайбера сливаются, и их читают все кому не лень.

Далее. Практически у всех все аккаунты как-то взаимосвязаны. И даже если ты какие-то акки регистрируешь на отдельное мыло/телефон, ведёшь другой круг контактов, всё равно со временем там связи с остальными твоими акками появляются. Короче говоря, интернет уже давно по паспорту, фотографии, и отпечаткам пальцев.

но при большом количестве собранных данных, скоррелируют до сантиметра.

Лол, нет. Даже GPS едва может давать метровую точность и это при всех затраченных усилиях.

Ты на этот телефон регистрируешь вайбер, вотсапп, скайп и т.п.

Можно зарегать скайп без номера.

Можно зарегать скайп без номера.

Ну зарегайте, удачи. Это будет либо на идентифицированное мыло, либо через 2 недели они пришлют письмо, что вы рассылаете спам. А если укажете телефон, то рассылка спама беспокоить их больше не будет.

Мені і так здається що в сучасному світі забагато зав’язано на мобілу. Воно то зручно проте пролюбив мобілку і привіт пригоди. Я правильно розумію що ці passkey це тупу як для ssh pub key?

(входить Білл Гейтс) Доброго вечора, у нас є для вас гарна новина! Ми знаємо як зробити так, що б мобілка або ж її аналог завжди була з вами! Давате сядемо зручніше, я все зараз розкажу...

Відношусь негативно.
Єдиним власником пароля є людина, точніше її пам’ять і свідомість.

Будучи при пам’яті і свідомості тільки людина володіє правом доступу до своїх ресурсів і їй не потрібні інші допоміжні засоби, тобто, вона є незалежною.

Будь-які варіанти біометричних, криптографічних, хардверних і т.д. ключів вводять фактор залежності людини від девайсів.

У вас один пароль на всі сервіси? Якщо так, то можливо власників пароля вже більше. Якщо ні, то паролі від 50+ сервісів не запамʼятаєш, все одно доводиться зберігати в якомусь менеджері.

Але біометрія теж не дуже, бо порушує приватність. Краще вже якийсь ubikey

Не треба запамʼятовувати всі 50 паролів від 50 сервісів. Треба запамʼятовувати алгоритм створення пароля. Наприклад вигадати пісеньку та правило яке на основі назви сервіса та пісеньки буде створювати пароль. І кожні 30 днів змінювати або пісеньку, або правило.

А коли ви встигаєте жити?

Ахах, це не так багато часу займає. Якось у відпустці замислився над складністю паролів і вигадав собі певні правила. Просидів десь пів вечора та тепер у мене ще на наступні років 10 є комбінації. Єдине, що займає час — це позмінювати паролі в усіх сервісах. Можна спробувати й це оптимізувати але мені ліньки.

Зараз подивився, в мене акаунти — на 550 сайтах, на деяких — більше одного акка.
Нє, якщо у вас їх всього 10 — тоді все можливо :)
Якщо ж ви, кожен раз заходячи на сайт, проводите складні розрахунки в голові і генеруєте пароль, який має бути на саме цьому сайті, — ви мій герой.
Тільки поясніть, навіщо?

Насправді нічого складного. Треба тільки запам’ятати формулу і «словник» на 10-20 позицій.

Придумати просте слово, яке використовувати в кожному паролі. Наприклад «Кіт».
Придумати якесь число, яке буде використовуватись в кожному паролі.
Три букви назви ресурсу. Rozetka — Roz, Dou — Dou (:D), Google — Goo
І якийсь спец символ

І далі зробити свою формулу:
— 123Cat?ROZ
— ?DouCat456
— Cat?LIN789
— Cat10GIT?

Навіщо? Не використовувати один пароль для всього, якась «унікальність» для різних сервісів, а також для 90% ресурсів всі правила валідації виконуються.

Унікальність для всіх ресурсів досягається використання автозгенерованих і автозбережених Хромом паролів :)
Для кожного сайту — свій.
І не треба кожен раз згадувати пароль :)

Скільки? Я мабуть стільки сайтів по памʼяті не назву)

Всього в мене близько 50 акаунтів на різних сайтах, але я ж не вводжу паролі при кожному вході, бо є збереження сесії.

Навіщо? Бо в житті бувають ситуації, коли ви можете втратити свої пристрої. І збереження паролів у голові безпечніше, ніж у хмарі.

Так хмари для цього і потрібні, щоб звільнити голову :)

Ну, втрачу я пристрій. Беру інший, ставлю хром, логінюсь ОДНИМ надійним паролем в нього і він підтягає всі паролі, закладки, плагіни, які й були до того.

Все.

І все це я маю на будь-якому моєму пристрої, куди встане хром, а він є на всі мої пристрої — телефони, лаптопи, сервери, що завгодно :)

До речі, так вже бувало :)

І новий телефон при логіні в свій акк підтягне всі контакти, телефони, тощо. А деякі месенджери мають функцію бекапу переписок, і на новому телефоні не треба навіть сінхронізувати із старим пристроєм — зашифрований бекап сам підтягнеться із хмари.

Це називається — технології.

Я так і не зміг перебороти недовіру до хмарних менеджерів паролей. Тому — pass, gpg, master password, і власний бекап. Це також технології, але є нюанс

Проблема в хмарах у тому, що ви зосереджуєте всі різні паролі в одному місці, чим наближаєтесь до стану «один пароль на всі сервіси». Тому, якщо зловмисник отримає доступ до хмари, то отримає доступ до усіх ваших акаунтів.

Саме тому там не зберігаються паролі на справді важливі сервіси :)
І цих сервісів всьго лише 5-10 зазвичай.

Як Ви вирішуєте **учу проблему з вимогами до паролів і їх примусовими ротаціями?

Ентропія двох цифр більша за ентропію одного символа з всім можливим набором, і мені зручніше запам’ятати 20 цифр, ніж 10 символів. Але ж практично всім кортить то великих букв, то малих, то спецсимволів, то якісь паролі обробляє голий скрипт на шеллі чи ще якісь проблеми, через які деякі спецсимволи теж не проходять. В результаті, реально запам’ятати я можу тільки паролі на свої власні девайси і менеджер паролів, а решта — автозгенерована.

Дуже просто. Для прикладу вигадаємо такий діалог: «Ти як? Зловив 8 хробаків!» та правило, за яким залишаємо перші літери з кожного слова, знаки та цифри. Таким чином виходить пароль: Тя?З8х! А в випадках, коли якийсь символ не може бути застосований через правила сервіса, то вигадую правило яке замінює символи на щось підходяще.

Ну, виходить, що когнітивна складність просто переноситься на етап

вигадую правило яке замінює символи на щось підходяще.

Це особливо відчутно, якщо потрібно примусово періодично змінювати паролі, навіть якщо мнемонік придумано багато, важко засоціювати де яку використати.

Ну і так, число креденшлів у мене близько тисячі, і це не виглядає чимось дивним — Ви просто подумайте реалістично, скільки потрібно всього, щоб, наприклад, захостити примітивний сайт: купівля домену, хостінгу, рут від серверу, юзерський акаунт, пароль на БД, креденшли до поштового релея і інших сторонніх сервісів, адмінський акаунт для модерації...

Не менше їх буде і від всіх можливих магазинів і сервісів для закупівлі деталей і замовлення виготовлення заліза для ембеддерських пет-проектів.

Туди ж всі можливі месенджери, соцмережі і все таке — може комусь це здається безумством, але скажімо креденшли для ICQ я так і не викинув як пам’ять, хоча ще років 10 тому воно було абсолютно мертве. Помножити десятки років на число всіляких сервісів типу доставки води — і теж легко уявити список на сотні акаунтів.

Ну, виходить, що когнітивна складність просто переноситься на етап

Саме так.

Це особливо відчутно, якщо потрібно примусово періодично змінювати паролі, навіть якщо мнемонік придумано багато, важко засоціювати де яку використати.

На практиці вийшло так, що до спец символів претензії були лише в трьох сервісів, тому в мене лише одне правило для тих трьох сервісів.

Ну і так, число креденшлів у мене близько тисячі, і це не виглядає чимось дивним — Ви просто подумайте реалістично, скільки потрібно всього, щоб, наприклад, захостити примітивний сайт: купівля домену, хостінгу, рут від серверу, юзерський акаунт, пароль на БД, креденшли до поштового релея і інших сторонніх сервісів, адмінський акаунт для модерації...

Якщо ви про робочі процеси, то для роботи я генерую паролі, а після завершення роботи над проєктом знищую створені акаунти.

Не менше їх буде і від всіх можливих магазинів і сервісів для закупівлі деталей і замовлення виготовлення заліза для ембеддерських пет-проектів.

Якщо я не планую постійно користуватись послугами якогось магазину чи сервісу, то не створюю там акаунти. Добре, що більшість магазинів дозволяють замовляти без акаунта.

Здається, розумію до чого ви хилите: важко запамʼятати всі правила до всіх сервісів. Насправді правил декілька та вони однакові на всі сервіси. Та повертаючись до вашого питання зі спец символами, я не памʼятаю чи є правило на спец символи в конкретного сервіса чи ні. А йду від просто: при вході, створенні чи заміні пароля використовую правила без заміни спец символів і лише тоді, коли сервіс мені каже, що такі спец символи неможливі, то використовую правило з заміни спец символів. Все, я не тримаю в своїй голові купу інформації.

На практиці вийшло так, що до спец символів претензії були лише в трьох сервісів, тому в мене лише одне правило для тих трьох сервісів.

Я про те, що скажімо, є акаунт, у якому потрібно і спецсимволи, цифри і різний регістр, і ротацію паролів у різних комбінаціях, і достатньо наворочена евристика, щоб поточна дата і її прості варіації не прокатили. Все, є проблема як це запам’ятати, точніше, як запам’ятати останній актуальний пароль, а не один із кількох попередніх. Кілька разів наривався на блокування акаунтів, скажімо, після виходу з відпустки забувши, правильна остання, чи передостання модифікація і проваливши число спроб введення паролю.

Якщо ви про робочі процеси,

Я не веб-девелопер, мав на увазі суто пет-проекти. Але для роботи це б теж якось дуже дивно виглядало, тримати креденшли прямо у текстовику на робочому столі чи ще десь не у сек’юрному стореджі.

Насправді правил декілька та вони однакові на всі сервіси.

Не боїтесь, що при текучості сучасних баз різних сервісів, можуть пробувати пошук не тільки по номеру телефону чи емейлу, а і по співпадаючим паролям? Просте префікшування назвою сервісу мабуть не допоможе, а інші методи видозмін під сервіс не виглядають універсальними.

Все, є проблема як це запам’ятати, точніше, як запам’ятати останній актуальний пароль, а не один із кількох попередніх.

Цікаве питання. Навіть не знаю як на нього відповісти. Я памʼятаю тільки наявний алгоритм та той, який був до нього. Як тільки створюється новий алгоритм, я намагаюсь замінити всі паролі під новий алгоритм.

Не боїтесь, що при текучості сучасних баз різних сервісів, можуть пробувати пошук не тільки по номеру телефону чи емейлу, а і по співпадаючим паролям?

Є таке. Поки не знаю що робити, але сподіваюсь, що на майбутні 10 років я не буду цікавим таким шукачам пригод :D

А на 30 років в ІТ починаєтся творча криза. І довбане запамятовування словників, яке не дає повторювати паролі, вже ніяку пісню не пропускає як пароль (

За біометрію топлять здебільшого ті хто ніколи не пробував розблокувати смартфон ліктем, з усіх сил катаючись на велосипеді (коли пальці занадто мокрі щоб на них екран реагував)

;D

З тих самих причин негативно ставлюся до модних сенсорних інтерфейсів в фотокамерах.

таке собі, не впливає на безпеку (якщо «ваш аккаунт» нікому не потрібен, то він залишається нікому не потрібним ))), надає додатковий спосіб юзабліті.

Прийшла така ідея біометрії, але походу заліза для такого ще немає/дуже дороге/неприйнятно інвазивне.

Суть так: система показує юзеру набір зображень (або комбінацію зображень+звуків), і паралельно знімає певні показники мозкових хвиль, виділяючі повторювані індивідуальні паттерни, і в подальшому юзатиме їх ± аналогічно до знімку відбитків чи сітківки.

Плюси: таке фіг підробиш(мабуть);
Мінуси: в теорії прийом психоделіків може зробити метод авторизації тимчасово недоступним (ну і бажано уникати травм головного мозку та всіляких «увєраваннь», які можуть ввести в змінений стан свідомості);

Ще у змінений стан свідомості вводять наприклад стреси та більш критичні психологічні розлади. І так у житті усе кепсько, а тут ще телефон не можеш розблокувати.

Ви розумієте, чому біометрія принципово не може потіснити собою всі інші способи авторизації, незважаючи на наявність у людини «з коробки»?

Так і є, пароль за своєю суттю вразлива система. У величезної купи народу стандартні як то password або querty, імена, дати народження тощо. Коючи доступу та біометричні механізми значно кращі з усіх точок зору ніж архаїчний механізм паролів.

У Web3 топ течія — перейти від тих довбаних ключів до паролей (різні MPC wallets і т/д).
А у Web2 світі навпаки виходить?
Ну ну

Чим вони довбані ? Пароль змушена тема на архаїчних системах, де багато людей користувалось одним комп’ютером. Тепер ситуація прямо протилежна в однієї людини більше одного девайсу. Багато з них обладнані пристроями біометричного сканування тощо. Паролі в цілому дуже не зручна і вразлива, та не надійна система захисту. Єдина її перевага — вона проста в реалізації. Якщо елементарно змінити систему паролів в більшості комп’ютерних систем масового обслуговування, наприклад інтернет магазинів на біометрію, чи ті самі ключі від когось, той самий електронний підпис це зменшить кількість проблем як з безпекою так в з утічками данних кардинально. Єдиний недолік, вона же і перевага — про анонімність можна буде забути.

Тепер ситуація прямо протилежна в однієї людини більше одного девайсу

Это не отменяет факта, что одним устройством может пользоваться несколько человек, биометрия часто неудобна именно тем, что нельзя быстро дать доступ к устройству, особенно если устройство не находится рядом с владельцем, а пароль достаточно передать любым безопасным способом связи

С какой стати делать 80% пользователей неудобно и проблемы себе, ради 20% пользователей ? Ну кроме если эти 20% пользователей генерируют 80% прибыли ? Я скажу что лично долго противился установке хреновой тучи мобилных приложений от разного бизнеса, как раз мотивируюя это как раз безопасностью. Потом пришлось ибо льготный период прошел, на деле так значительно удобнее выходит чем скажем привселюдно за диктовывать свой номер телефона громко и отчетливо перед оператором службы доставки и всей очередью, вместо банального скана штрих кода с экрана телефона что существенно безопаснее и быстрее. Да, некоторыми сервисами до сих пор не пользуюсь, пока что они мне просто физически не нужны — понадобится воспользуюсь.

Досить називати те лайно «Web3». Ніякий це не веб 3

О як подгорає. Як усі називають так і я буду називати.
Будуть називати лайном — буду називати лайном.
Головне щоб платили

Маркетинговое название просто. Можно не признавать крипто валюту, но факт остается фактом она с нами, как минимум технология, хоть и стала во многом МММ и методом получения спекуляционной прибыли, ровно как и валютный и фондовый рынки. При нормальной регуляции и четких правилах, технология будет и дальше отвоевывать свое. В первую очередь тем что она значительно удобнее нежели предыдущие методы международной торговли.

Ну тобто повернулись у середньовіччя з фізичними ключами, хто володіє ключем той і володар? І в чому прикол? Яку саме проблему це вирішує?

Перше — пароль вразливий сам по собі. Друге можна плодили акаунти, які потім будуть обслуговуватися системою часто пусті, для компанії яка надає «безкоштовні» сервіси це насправді коштує дуже дорого, і ще дорожче процедури по почисці таких данних, крім того вони ризиковані. Для Google акаунта ліміти до 15 гігабайт, можете уявити що такий акаунт просто є в системі займає її ресурси, але жодного прибутку не приносить, активності нема реклами та закупівель з нього нема тощо. То то на пустому місці генерується збиток. Я в одній з тем писав як ми відкрили цю тему для одного з наших клієнтів — британського інтернет магазину великого. Їм банально треба було за висновком аудиту перехешувати паролі з MD5 на HMAC. Та виявилось що в системі акаунтів в троє більше ніж взагалі людей у великий Британії і саме резервування щайме 3.5 місяці безперервної роботи системи лише на те щоб рехешувати паролі. Ми робили досліди і прийшли висновку, що більшість тих акаунтів — просто зомбі записи. Але вони дуже уповільнювали систему та при цьому просто по об’єму данних, які вони займали коштували клієнту $300 000 на рік (власне для фірми може воно і не так дорого, та на ці гроші можна було взяти команду програмістів та робити реплатформінг легасі). Можу собі уявити скільки це коштувало Google, коли вони нещодавно відключали старі не активні акаунти. І єдина причина існування такої текучки данних, криється в тому що єдиний механізм захисту — пароль. При бажанні можна було зробити простий алгоритм який би порівнював акаунти та пов’язував реальних людей з ними, через ім’я фамілію, адресу тощо і об’єднував усе в один. Проблема тільки в тому — що такий алгоритм завантажив би ресурси усієї системи на три роки безперервної роботи при цьому заблокувавши весь бізнес. Коротше кажучи — паролі гімно і напевно годяться тільки як резервна система якась. Ключі вже значно краща ідея. Біометрія напевно була би чудовою ідеєю, якщо вірно регулювати юридичні питання. Ну тобто по суті як каже GDPR людина має мати право видалити себе з системи і не надавати компанії право слідкувати за нею через цифровий слід, з комерційною або будь якими іншими цілями.

Ага, прям мечта для большого брата: связать биометрию напрямую с действиями аккаунта в сети. Так и до мыслепреступления недалеко.

так від паролю до мюсліпрєступлєнія так само недалеко.

Пароль никак не связан с личностью. Аккаунт типа sdfm sdfm с Васей Пупкиным связать крайне тяжело и стоит оч дорого. Поэтому повсеместно не используется. А вот уникальный ключ или биометрию связать с Васей — нефиг делать, после чего у товарища майора на Васю будет автогенерённое досье

та хоч десять автогенерованих профілів. потрапляння профілів у досьє товаріщя майора і існування профілів в принципі — це ортогональні речі і перше не може логічно випливати з другого. Ба, навіть інування профілю у товаріщя майора жодним чином не наближає мислєпрєступлєніє. За бажання інкримінувати уявний потенційний злочин можна будь кому — бо всі мають знаряддя для здійснення злочину.

ну і «іваіваіа іваіваіва» так само прив’язується до профілю, як і ключ, зроблений спеціально для авторизації на всякому скамі.

Наверное, Вы не в контексте.
Мыслепреступление — это вот
ru.m.wikipedia.org/wiki/Мыслепреступление

як це пов’язано з існуванням профілю?
Існування мислєпрєступлєній — проблема соціуму і влади. Глобальне досьє тут стане в нагоді, проте геть не є обов’язковим — цілком достатньо сексотів і штазі.
Існування глобального профілю — річ технологічна, а зловживання даними з цього профілю — злочин.
це різні речі.
Бо тоді існування вебок набагато ближче наближає мислєзлочини, ніж то робить глобальний профіль.

Мыслепреступление — это подсудные намерения по сути.
То есть, Вас арестуют и осудят не за то, что Вы сделали, а за то, что Вы могли бы / хотели сделать. И как раз для этого профиль, привязанный к паспорту — отлично подходит. Абсолютно несложно, например, проанализировать профайлы тех, кто вышел на демонстрацию против действий власти и через фильтры найти профайлы тех, кто тоже мог бы пойти / выйдет в следующий раз. И посадить их превентивно.

а зловживання даними з цього профілю — злочин

Что такое преступление? Это нарушение закона.
Кто пишет закон? Текущая власть.
Какая цель любой власти? Удержаться максимальное количество времени, затем передать правление преемнику.
Как Вы думаете, будет ли нарушением закона анализ профайла на благо власти? Я думаю, ответ очевиден, не так ли?

Какая цель любой власти? Удержаться максимальное количество времени, затем передать правление преемнику.

а як же приховування факту існування рептилоїдів? я вважаю що саме оце — першочергове, а вказане вами то вже другорядна задача.

Как Вы думаете, будет ли нарушением закона анализ профайла на благо власти? Я думаю, ответ очевиден, не так ли?

А чи буде порушенням закону аналіз профайлу на законному підґрунті для здійснення законних дій?

А чи буде порушенням закону аналіз профайлу на законному підґрунті для здійснення законних дій?

Конечно, нет. В том-то и прикол. Если написать закон про то, что демонстрация против действий власти — незаконна, а слежка за собственными гражданами — законна, то будет профит. Примеры: Китай, рашка.

і лишився невеличкий крок — вибрати, хто ж буде більше наближати «мислєзлочин» — глобальний профіль, чи невміння і небажання електорату в політику.
Я переконаний, що наближають «мислєзлочини» політики з дозволу виборців.
А глобальний профіль до цього жодним боком. Це просто технологічна штука, що може використовуватися не во благо.
«на розетці продаються вебкамери. Так і до мислєзлочину недалеко», «самсунг блокує свої телевізори дистанційно? так і до мислєзлочину недалеко».

чи невміння і небажання електорату в політику

Не имеет никакого значение, умеет электорат в политику или нет. Власть всегда защищает себя, где-то явно, если электорат совсем туп, как в рашке, где-то неявно, добавляя определённым структурам типа АНБ и ЦРУ неафишируемые привилегии и бюджеты, как в США.

«на розетці продаються вебкамери. Так і до мислєзлочину недалеко», «самсунг блокує свої телевізори дистанційно? так і до мислєзлочину недалеко»

Вы опять уходите из контекста. См. выше: мыслепреступление — это преступные намерения.
Намерение можно опознать тем точнее, чем больше и полнее статистическая выборка. Могу заванговать первые попытки имплементации закона о мыслепреступлении лет через 5..10 в недемократических технологически развитых странах типа Китая. Я думаю, мощности по обработке данных как раз выйдут на необходимый уровень.

Вы опять уходите из контекста. См. выше: мыслепреступление — это преступные намерения.
Намерение можно опознать тем точнее, чем больше и полнее статистическая выборка

ілі чєм качєствєннєє і дєшевлє відєокамєри.

вышел на демонстрацию против действий власти

На самом деле идиотский и не эффективный метод достижения результата. Есть все шансы вместо результата получить черную ленточку и в случае победы фотографию на стене героев, в худшем обелиск над братской могилой с надписью «жертвы революции». При всех прочих результатами пассионарии сами не пользуются равно как и их родственники, побратимы или даже просто этнической группы. Значительно разумнее понять систему, ее образующие, слабые и уязвимые стороны и «взломать» ее изнутри. СССР был развален изнутри, без ядерной войны и прочих суицидальных методов. И систему с танками, самолетами, ракетами турбинами и т.д. разломали : радиоведущий с рок музыкой, жвачка, джинсы и японская електроника и прочий ширпотреб который попадал в качестве приманки в ограниченном дефицитном количестве. После чего пошла в народ идея «все отечественное чтобы не это не было — плохое и не качественное, соответственно система и правительство не правильное когда она будет рушится, вот и замечательно». Замете сработали примитивные вещи, бытовуха и мода — не разговоры об отсутствии свободы воли и совести, нарушении прав и свобод граждан, когда с этим Сахарова в ссылку отправляли, а иных диссидентов кого куда например в дурку, никаких особенных протестов то и не было. Ну пенит и пенит — придурок он и есть придурок. А если конфлик не избежен, самое глупое это вступать в него я явном виде, ожидано и безоружным — по морде и получишь.

На самом деле идиотский и не эффективный метод достижения результата.

Не совсем. В демократических странах — работает, в диктатурах — не оч, там соглашусь с траурной ленточкой вместо результата.

СССР был развален изнутри

Да, но не тем, что вы думаете )))
Развалило совок:
1. Резкое падение цен на нефть, что привело к резкому скачку задолженности;
2. Попытка Горбачёва перестроить плановую экономику в рыночную, что не понравилось адептам совка модели 50-х и привело к путчу.
3. Туда же: его попытка «открутить гайки», чтобы избежать жесткача в виде бунтов. Перестарался с откручиванием :))

Рок и всё прочее можно вписать в п.3, но момент в том, что рок сам по себе не привёл бы к развалу аж ни разу. К развалу привела невозможность контролировать систему, у которой выбили объединяющую основу: в коммунизм на всей планете уже не верил никто в совке, да и в социализм, пожалуй, тоже. Оставался страх — но гайки открутили слишком сильно, страх ушёл.

Так в чем проблема, есть duck duck go. При желании модем открыть поисковик который будет работать по подписке , и давать гарантию пользователю в письменном виде что его данные не собираются, за его действиями никто не слкдит и никто ему не выдает рекламы и таргетированных результатов поиска за определенную суиму денег. Использовать можем только системы с свободным кодом, чтобы при желании можно было 200% доказать, что это правда. Вполне себе бизнес стратегия и не так уже и дорого должно быть реализовать, клиентов будет не особо много, мега сервера не нужны, и вообще это имеет смысл делать вместе с индексированием распределенным по принципу торрента.

О каких именно данных мы говорим? Есть немереное кол-во данных, которые объективно будут использоваться в любом случае.
Залайкал фоточку? Чтоб показать это автору — данные используются. Написал пост? Аналогично. И т.д. Реклама — это фигня. Гораздо интереснее это товарищу майору, а не рекламному боту. Сейчас связи между профайлом тут и профайлом там нет (точнее, она-то есть, но связать дорого и не 100% надёжно). Поэтому данные разрознены и анализировать их тяжело. Сделать единый профайл, ещё и привязанный к реальному человеку — прям мечта спецслужб, следящих за собственными гражданами.

Поэтому данные разрознены и анализировать их тяжело. Сделать единый профайл, ещё и привязанный к реальному человеку — прям мечта спецслужб, следящих за собственными гражданами.

Всё уже давно сделано, и отлично работает. Компании и софт по этой теме можете сами загуглить. Если например у двух аккаунтов в разных системах одинаковое публичное мыло — они увязываются. Если непубличное — вытягиваются. А ещё лучше телефон. И так по следам на всех более-менее крупных сервисах можно составить досье на кого угодно. Включая то, что вы даже сами о себе не знаете. Судя по всему вы ещё даже не представляете уровень развития подобных систем.

Я ж написал выше: можно, да. Но не даёт 100% гарантии и дорого. Связать 2 аккаунта — вааще не проблема. А если, скажем, в масштабах страны на 40 миллионов человек? А если надо не на 40 лямов, а на 500? А если больше? А если надо не только связать, но и отслеживать в реалтайме?
А вот уникальный сертификат решает задачу.

Проблема ботів то проблема компаній, не моя. Те що вони хочуть видавати свій Ідентифікаційний код та ще й фізичній говорить лише те що вони хочуть вирішити проблему анального трекінга раз і на завжди. не важливо скільки в тебе аккаунтів, девайсі і прочої чіпухи все буде прибито цвяхами до фіз ключа.
Особисто я проти цих ключів, бо я їх гублю, а ще значить це треба тепер окрім телефону постійно щей ключ мати бо там же сесуріті, а ще коли хтось свисне ключ то отримає все що в мене є, бо це ж знов сесуріті.
Більш ідіотської системи важче вигадати.

Так вас взагалі ніхто і нічого не заставляє, ставте Linux серчите через дак дак чи скажімо Yahoo, купляйте пристрої наприклад на Tizzen або Web OS і т.п. Drop Box, Raspberry Pi тощо. Інші поштові служби і т.д. т.п. Я вам більше скажу ви чудово можете існувати у світі без послуг FAANG взагалі, в у мене мобільний телефон з’явився власний в другій половині нульових, нічого не помер. Людина при бажанні може на залишати цифрового посліду, в вмодно користуватись компьютерамт та інтернетом якщо має таке бажання. Навіть в системах де усе глобально контролюється, скажімо великим китайським фаєрволом — народ просто перейшов на мобільні застосунки замість WWW і чудово ними користуються. Не замінність цілої купи сервісів це насправді не більше ніж міраж, рекламний трюк та чистої води маркетинг. Особисто мені частина сервісів дуже подобається я надаю перевагу саме їм, розуміючи, що за мною певні алгоритми слідкують інколи це слідкування навпаки покращує користувацький досвід. Пошук наприклад мені не дуже подобається останнім часом, шукає Google так собі агресивні рекламні оптимізації та різні фільтри часто роблять пошук не релевантним. Та насправді так завжди було, задавати запити гуглу особливо не англійською треба спеціально підготовленим чином, простіше формулювати, ключові слова тощо. Та це всеодно на голову краще ніж, наприклад пошук по текстам десь в Norton/Total Commander.

В большинстве случаев и двухфакторная авторизация — излишняя. Подавляющее большинство аккаунтов никто никогда не будет взламывать, либо их содержимое не представляет никакой ценности.

Это ты будешь объяснять адвокатам, когда систему взломают и на тебя подадут в суд. Допустим ты у тебя в системе продаются резиновые женщины, школьники решили приколоться, взломали систему и распространили информацию кто и куда с адресами, это все покупал и разве, потом выложили куда нибудь на ресурс типа пикабу. Вот тебе коллективный иск в суд от адвокатской конторы типа Соула Гудмана и ко. на суму дороже чем стоит твоя компания.

Какой ещё суд? Вы не сможете зарегистрироваться, не чекнув лицензионное соглашение. А оно целиком состоит из пунктов, по которым можно отшить любые ваши иски. У лицензионного соглашения нет никакой другой функции, помимо той, чтобы защитить задницу компании. Причём у крупных корпораций они большие и проработанные, ещё постоянно актуальные изменения вносят.

Важливість кібербезпеки взагалі перебільшена.

Взагалі хз чого зараз усі як усраті ліплять оту двухфакторку, драконівські паролі та інше...можна подумать що там щось важливе ппц, якщо немає можливості платити чи щось дійсно важливе типа документи, то уся оця хрінь тільки бісить.

Причому той же амазон не заморочується взагалі, там сессія днями жива і гроші мовчки списує аж бігом без усіляких підтверджень чи іншого.

Не варто так говорити, судячи по кількості випадків коли на людей оформляють кредити. Примітивний приклад, люди по замовчуванню зберігають зроблені фото у гугл фото. Роблять фото свого паспорта на телефон і забувають про це. Далі не думають про безпеку гугл аккаунта, результат очевидний.

Це не проблема існування фото документа десь в цифрі. Це проблема того, що кредити видають без відповідної перевірки документів в сіру (по факту — незаконно).

Головна проблема ключів у сховищах зберігання, втратив сховище, втратив і ключ. Пристрій немає доступу до сховища — користувач не має доступу до сервісу. Як на мене то двуфакторка через мобільний, універсальний пристрій, що є у всіх, цікавіше.

64% користувачів відповіли, що вважають ключі доступу легшими у використанні,

О так — це легше.

А як на мене біометрія, дактелоскопічні датчики вже розповсюджена річ. Та величезна кількість девайсів її має, мало не усі смартфони. А от FaceId виявився глючним.

Біометрія не вважається надійною.
По перше на різних девайсах датчики із різним ступенем захищеності. На дешевому китайському смарті може спрацьовувати іноді взагалі від будь-яких пальців. Стандартів тут нема значить сторонні сервіси не можуть бути впевненими у надійності такого методу.
По друге мабуть ще років так 15 тому назад бачив епізод MythBusters де легко підробили палець по відбитку за допомогою балістичного гелю і відкрили якийсь крутий супер захищений замок за овердофіга баксів. І щось мені підказує що навіть сучасні сенсори менш захищені за той замок який крім відбитку міряє ще температуру та пульс

Ну там дорогий замок обдурили взагалі найдешевшим методом — нанесли графітову пудру з на точеного олівця на відбиток на дзеркалі, зняли його скотчем і наклеїли на папір. Потім Адам просто приставив його на замок і той відкрився, хоча замок був дорогим. Хороший датчик до компьютера на цей метод не піддався, вони його обманювали дуже складним методом. По факту можна буде прописати в тому самому Android перелік протестованих датчиків та і по усьому, хто ставить лайно — буде користуватись якимось тізен, мегго і т.п. Безпечних на 100% систем захисту взагалі не існує, є тільки рівень захисту злам котрого коштуватиме дорожче ніж те що можна втратити, або об’єкт, який вони захищають взагалі буде знищено. Скажімо Бреніаки ламали сеїф однієї фірми довго, з 300 фунтами в середені. З рештою його вскрили пострілом під каліберного снаряда танка Челенджер 2. В результаті 300 фунтів в середені просто згоріли. Власне, сам снаряд та постріл, коштували в десятеро дорожче ніж гроші, що лежали в середені, а на загал дорожче за сам сеїф.

дуже складним методом

О точно вже згадав
Кожен хто хоч раз травив печатні плати добре знає що за «дуже складний метод» вони використали. Хоча вони його не показали.

Силіконовий палець виготовили, і вийшло далеко не з першого разу.

Травимо рельєфний малюнок на текстоліті, заливаємо силіконом — profit. Якщо набити руку буде виходити с першого разу. Нічого складного нема у тому, щоб підробити рельєфний малюнок. FaceID нормальний ввести в оману складніше

Мої діти з фейс айді спокійно розблоковують телефони одне одного, хоча на мій заангажований погляд вони не такі вже й схожі.

Користуюсь passkeys на деяких сайтах (наприклад GitHub), 1Password робить все за мене, дуже зручно. Випадає вікно з однією кнопкою.

І, до речі, принаймні в GitHub ніхто не відмовляється від альтернативних методів входу. А в разі крадіжки ключа можна побачити що в аккаунт був підозрілий доступ.

keepassxc робить те саме, повністю opensource. База паролів локально без сторонніх серверів.

Безпеки це протоколи, а не ключі, паролі, смс, чи двохфакторка. Усе може бути зламане чи забуте, загублене. Має бути встановлений алгоритм відновлення і швидкого реагування, разом з побудовою моделі загроз.

Безпека це, в першу чергу, дисципліна.

Нудна, не модна, банальна, і ще купка прикметників негативного значення, дисципліна.

А всі ті паролі, біометрії, х-факторки, ключі... Все це, з точки зору безпеки, нічого не варте, коли в дисципліні дірка.

Зате звучить гарно, інвесторів приваблює. Біометрія! Вувузела! Коллайдер! «Прогресивність», знов ж таки. Для айтішки це взагалі наче священна корова. Що завгодно можна продати під соусом «прогресивності». Це як bluetooth. Тільки більш круто :)

Але який сенс ставити на вході озброєну охорону, якщо двері відчиняються будь-кому в кого зайняті руки (кур’єр приніс піцу)?

А взагалі...

Якщо посадити клієнта поруч і пояснити, до чого призводить інформаційна небезпека, той лякався і нервував. Вимагав, щоб з цим що-небудь зробили. Доки йому не спадало на думку, що насправді буде означати для нього ефективна система безпеки. І чим для нього закінчиться. Ось тут виявлялося що захищені комп’ютери нікому не потрібні. Взагалі нікому.

© The Zenith Angle, Bruce Sterling

захищені комп’ютери нікому не потрібні

Воно і правда дуже не завжди потрібно, 90% сайтів що вимагають двофакторку та інший дрочь могли б обійтись і без цього, але зараз просто як усраті ліплять двофакторку, якісь постійні апки для двофакторки, драконівські паролі що ніхто в здоровому глузді не запамятає...

У Google є рекомендації як відновити ключ, коли, наприклад, пристрій з ключем загублено. А от коли хтось заволодів вашим пристроєм і використовую ключі в своїх цілях — рекомендації не має.

Можуть і просто пістолета до скроні приставити і вимагати увійти в електронну систему, наприклад ТЦК. Ми нещодавно бачили як воно робиться у Львові. Які тоді рекомендації ?

у львоваі тцк вимагали зайти в електронну систему?

Та нещодавно було два скандала. Перший спіймали ухилянта з Харкова на кордоні, потім катували в ТЦК 6 днів з використанням зброї. Другий випадок зовсім нещодавно, люди засняли як волосуть людину в ТЦК з бусіка як стреноженого барана і вже почали конкретно їм прямим текстом казати — що ви робите і взагалі хто ви такі щоб це робити ? В народі це прозвали «операція жовтий бусік». Насправді в Харкові чоловік з інвалідністю яку отримав в бою, не отримав документів де з нього питали хабаря в 4 тисяч доларів за відповідний висновок. Президент із Залужним вже змушені реагувати, звільнення усіх підряд та перевірки пішли, також НЗК та ДБР спустили з ціпку і вони багато чого знайшли. Хоча, це таке показове — те що віськомати, це ще рівнем корупції те саме, що і ДАІ усі чудово і без того знали завжди. В моєму ще давно воєнкома СБУ взяли на хабарі. Система сама по собі така, в ній можна скільки завгодно міняти людей, але вона залишиться такою як є. Сам факт рекрутингу на дурняк для держави є головною причиною як корупції так і дідівщини як методу реалізації корупції. В США це з’ясували під час В’єтнамскої війни і змінили систему за рахунок політичної волі, не дивлячись на те, що усі казали «ми ще не готові». Виявилось що на сам перед не готові були ті, кого такий стан справ матеріально забеспечує, причому не просто хлібом а з маслом та чорною ікрою.

і у цих випадках жертв примушували авторизуватися у своїх аккаунтах?

У першому так, той там дом не хотів кудись входити та проходити мед комісію. Я так розумію були би паперів, їх би просто сфабрикували та відправили. Саме через електронну систему довелось катувати.

Із паперами не так все просто і ризиковано
Катування та примус у щось війти складно довести якщо нема доказів, докази слідчі можуть збирати довго якщо взагалі будуть збирати
Із папером — подаємо в суд, проводимо графологічну еспертизу твого підпису. Доводемо що він підроблений
Хто його підробив то вже інше питання і з цим можуть розбиратись вічно, але це вже не твої проблеми.
Ось такий вік цифрових технологій

Покійник якого послали як чорного піхотинця камікадзе в м’ясний Банзай штурм, ні на кого нікуди не в суд не подасть, він просто мертвий щ розірваним артилерією тілом і усе. Сам розумієш, що той кого відловили на вулиці як собаку, власне ні нащо більше не придатний кадр, їх же не повезуть тренуватись F-16 керувати ? Нащо це треба, а якраз щоб породити страх — або ти платиш хабаря, або тобі смертна кара. Здирництво банальне, таким самим чином на сучасну зброю, професійну армію обучену та треновану, де солдати в необхідному віці та фізичній формі, тощо грошей у народу нема. А на корупцію птахофабриками, елітними авто, великою кількості нерухомості як в Україні так і за кордоном — є. Стосується людської природи, введіть таку систему будь в якій країні і результати будуть аналогічні.

А почему мы должны менять шило на мыло ?

support.google.com/...​co=GENIE.Platform=Desktop

Если вы потеряете к нему доступ или переустановите операционную систему, то не сможете восстановить ключи.
Если вы потеряете доступ к компьютеру или ваш профиль Chrome будет удален, то вы не сможете восстановить ключи.

Таким образом чтобы не потерять доступ к аккаунту после выхода из строя оборудования, кражи, пожара и любого другого форс-мажора ключи придется копировать на некий защищенный носитель, внешнее место (все должно быть как-то защищено) .... или опять же возвращаться к паролям, подтверждению через СМС и так далее.

Підписатись на коментарі