Google on ilmoittanut ottaneensa käyttöön Passkeys-kirjautumisen Google-tileille. Passkeys on FIDO Alliancen ajama salasanaton tietoturvallinen kirjautumistapa.
Google Accountsiin on lisätty tuki passkey-kirjautumiselle. Käytännössä ominaisuus mahdollistaa Apple ID:n ja Microsoft Hellon tapaan kirjautumisen salasanan sijasta biometrisillä tunnisteilla tai PIN-koodilla. Passkey-tuki ei korvaa vanhoja kirjautumistapoja vaan tulee yhdeksi vaihtoehdoksi niiden rinnalle.
Tuki ominaisuudelle on sikäli erityisen merkittävä, että suurimmalla osalla maailmaa on taskussa Android-puhelin, jossa käytetään Googlen tiliä. Android-laitteet luovat automaattisesti passkeyn, kun käyttäjä kirjautuu puhelimella Google-tilille, mutta itse ominaisuus on otettava erikseen käyttöön Googlen tiliasetuksista (g.co/passkeys).
Lähde: Google
Nooh onhan se ihan kiva että minun sähköpostitili on minun oma eikä kaikkien kanssa yhteinen, samoin vaikkapa tämä techBBS-tili. Vai oliko ideoita miten voidaan toteuttaa käyttäjätilitön sähköposti tai miten estetään kenen tahansa käyttävän sinun nimimerkkiä jos käyttäjätilejä ei olisi täällä?
Laiiteiden pääsykoodien suhteen pitää passkey’n tapauksessa olla paljon tarkempi, mutta tarkoituksena on, että käytetään päätelaitteiden biometriikkaa, ei pin-koodeja. Mutta sinänsä havaintosi on oikein: jos menetät laitteen ja sen käsiinsä saanut tietää pääsykoodisi, pystyy tämä tekemään paljon hankaluuksia.
Se on tietoturvan kääntöpuoli. Se on silti vähemmän huono tilanne kuin pelkkä tunnus/salasana -pari.
Tuo on sama tilanne kuin ei olisi koko sähköpostia lainkaan. Ei kun itse asiassa huonompi, koska joku saattaa yrittää tavoitella toisin kuin tilanteessa että koko mailia ei olisi olemassa. Kun tietoturvaratkaisuista tulee liian hankalia, niin niitä aletaan kiertämään tavoilla jotka ovat paljon tietourvattomampia kuin teknisesti tietoturvattomampi tapa käytettynä oikein
Itsellä todella vahva näkymys tähän asiaan Biometriaa ei kannata käyttää missään tapauksessa, niitähän nuo ns.Hakkerit/cräkkerit käyttää hyväksi, jos esim puhelimessa on kaikki pankki tunnukset yms.Se on vain totuus, että näihin ollaan menossa parempi kun ostaa vanhan nokian ei nettiä ei mitään :X
Itse olin eräs aamu unohtanut puhelimen kotiin ja piti hoitaa eräs asia sähköpostilla. Kirjauduin sitten työkoneella Gmailin sähköpostiin ja siihen tuli ilmoitus, että "kirjauduit tuntemattomasta laitteeta, vahvista kirjautuminen puhelimella" tms.
Kotona sitten otin puhelimen käteen ja siitä piti kuitata, että pääsi kirjautumaan koneella sähköpostiin joka oli tietysti jo myöhäistä siinä kohtaa.
Putosin kelkasta. Kumpi on todennäköisempi vaihtoehto: tunnuksesi päätyminen nettiin vapaasti käytettäväksi jonkin phishing-sivun jälkeen, vai yksittäisen hyväksymäsi fyysisen laitteen päätyminen vääriin käsiin sormenjälkiesi kanssa?
Ja sitten tuo NFC ei kannata käyttää.!
Tämähän ei ole missään määrin asia jonka sinä määrittelet.
Minä valitsen kyllä mielummin sen vaihtoehdon että joku ulkopuolinen pääsee mahdollisesti vs en itsekään pääse.
Jatkuvasti korkataan eri palveluita, jolloin se tunnus/salasana karkaa ja saattaa tulla ikäviä yllätyksiä.
Onko teillä samat tunnukset kaikkialle, niin ei tarvii mukana pitää juurikin puhelinta, jossa password manageri, taikka helvatan hyvä muisti (kunhan ikää tulee, niin sekin alkaa vaikuttamaan).
En tietääkseni ole sellaista väittänytkään. Tarkoitin vain, että laitteeseen perustuva tunnistus on yleisesti ottaen turvallisempi kirjautumistapa kuin tunnus/salasana, eikä se ole mikään mielipidekysymys. Se ei tarkoita, etteikö siinä olisi myös miinuspuolia.
Saat toki toimia ihan miten haluat.
Maailma ympärillä kuitenkin muuttuu koko ajan ja jos ei ole valmis muuttumaan mukana, niin sitten voi olla, että jää palvelut käyttämättä. Perinteinen salasanakirjautuminen tulee melko varmasti jäämään jossakin vaiheessa pois käytöstä kaikista palveluista turvallisempien menetelmien yleistyessä. Tai no, mahdollisesti tunnus/salasana jää edelleen käyttöön, mutta rinnalle tulee muitakin menetelmiä, joita pitää käyttää samaan aikaan, eli pelkkää tunnusta/salasanaa ei sellaisenaan voi käyttää.
Mulla on tuosta kompromissi, koska se sormenjälki nyt helpottaa kummasti puhelimen peruskäyttöä. Sillä pääsee asioihin jotka voi viranomaiselle näyttää, mutta ei esim mobiilipankkiin pääse. Kaikki salassapidettävä tai muu materiaali on vain ja ainoastaan lokaalisti oikealla tietokoneella, salatulla levyllä tai kontainerissa johon tarvitaan hyvin pitkä ja kompleksinen salasana, jota ei ole mihinkään kirjoitettu, eli jos lyön pääni niin menetän ne datat itsekkin.
Vaan jos poliisi muka oikeasti yrittäisi pakottaa näyttämään luurille sormea, niin pistän kyllä niin ranttaliksi kuin vain voin. Ihan periaatteesta.
olet niin väärässä kuin väärässä voi olla. Salauksen peruskiviin kuuluu täydellinen salaus (perfect forward security) joka on käytännössä mahdotonta saavuttaa käyttäen laitetta varmenteena. Salasanan ja tunnuksen ongelmana ei ole sen teoreettinen heikkous vaan ihmiset ja niiden laiskuus/kykenemättömyys tehdä kunnollisia salasanoja sekä vaihtaa ne usein. Kaikki nykyiset tunnistusmenetelmät ovat teoreettisesti huonompia kuin avainparit mutta niiden parempi käytettävyys johtaa väestötasolla turvallisempaan palveluiden käyttöön.
Varmenteen juuren sitominen yhteen ainoaan laitteeseen on tie todelliseen katastrofiin. Mieti vaikkapa tilannetta jossa sinulla ei ole reissussa kuin sähköiset asiakirjat ja MFA ketjussa oleva puhelimesi rikkoontuu tai varastetaan. Toivottavasti olet silloin maassa jossa on suurlähetystö. Muuten olet todella kusessa. Harvempi varmaan tulee ajatelleeksi ennekin osuus omalle kohdalle.
ei kannata jenkkeihin kuvitella matkustavansa tuolla asenteella.
Jenkkeihin matkustetaan puhelin tyhjennettynä.
No niin se varmaan sitten on, kun sinä sen sanot. Laita ihmeessä viestiä Googlelle, että ette ressukat tiedä yhtään mitä teette.
Se minun pointti paremmasta turvallisuudesta oli siinä, että pelkkä tunnus/salasanapari voi päätyä vääriin käsiin monella eri tavalla ja hyvin helposti. Laite sen sijaan ei. En väittänyt, etteikö laitepohjaisessa varmennuksessa olisi ongelmia, päinvastoin sanoin että "Se ei tarkoita, etteikö siinä olisi myös miinuspuolia", mutta jätit oman agendan tuputtamisen nimissä tuon lauseen kokonaan pois.
Vaikka itsekin kannatan valinnanvapautta, niin taitaa käytännössä mennä niin, jotta palvelut yksipuolisesti sanelevat yksipuolisesti miten niitä käytetään ja vaihtoehdot on joko kumarrella tai olla käyttämättä.
Tässä hommassa kovasti kyllä arveluttaa kun ajetaan käyttäjät korvaamaan ”jotain jonka tiedät”-salasanat ”jotain jota omistat”-puhelimella. Salasanan voi toki hukata tai unohtaa, mutta voi puhelimenkin, minkä lisäksi siitä puhelimesta ei käytännössä voi tehdä täydellistä varmuuskopiota, ja ilkeämielinen hakkeri puhelimen korkattuaan pääsee käsiksi kaikkeen mitä omistat. Aika harvassa on kuitenkin palvelu mihin ei olisi puhelimessa jo valmiiksi salasanaa tallennettuna tai ainakin salasanan nollaukseen tarvittavat työkalut valmiina.
Muuten viesti täysin asiaa, mutta jos salasana on vahva eikä ole vuotanut mistään (kuten ei tärkeään palveluun pitäisi voida olla, koska pitäisi olla uniikit salasanat jokaiseen) niin salasanaa ei ole mitään syytä vaihtaa välttämättä ikinä, koska siitä ei vaan ole mitään hyötyä.
Jenkkeihin matkustestetaan pakasta vedetyn idiootti puhelimen, prepaidin, tyhjän läppärin ja USB bootti Tails OS:n kanssa.
Tosin mulla ei ole mitään halua matkustaa sinne, niin ihan yksi ja sama.
Tuon tilalla voi käyttää myös Yubikey tikkuja missä private key on sillä tikulla, ja mitä ei pysty sieltä lukemaan ulos tai passumanagerissa esim. 1Password tai Applen Keychainilla.
Käsittääkseni tuo on sen verran vahva, että vois jättää MFA turhakkeet pois, ongelmana ehkä vielä se mitä sitten tehdään, kun käyttäjä hukkaa privaatti avaimensa.
Esimerkiksi Yubikey tikkuja ainakin apple haluaa vähintään kaksi, jotta on varajärjestelmä. Samaten passkey’tä voi olla joka laitteella oma jokaiseen palveluun. Tällöin yhden privaattiavaimen hukkuminen ei estä pääsyä. Samaten kadonneet/tyhjennetyt/myydyt/varastetut laitteet pystyy poistamaan omalta tililtä. Eli ei ole kaikki yhden laitteen varassa.
Microsoftkin on tuoreessa esityksessä ilmoittanut ottavansa käyttöön "jos se ei ole oletuksena päällä -> sitä ei ole olemassa"-menetelmän käyttöön, liittyen Windowsin tietoturvaominaisuuksiin. Toivottavasti muutkin muuttavat tapojaan tähän suuntaan.
Minulla puhelimen näyttö on lukittu pitkällä PIN-koodilla. Mutta sen jälkeen pää-sähköposti, verkkopankki ja muutama muu tärkeä sovellus kysyy sormenjäljen.
Se on koeponnistettu oikeudessa, oikeuden mielipide on että kun poliisi voi pakottaa antamaan sormenjäljen, niin se on myös oikeututtua painamaan se sormi siihen puhelimeen.
Se on sitten nauhahiomakonetta tai happoa sormiin jos tähän mennään
Minun salasanat saa helpoiten selville kun köyttää tuoliin ja alkaa kiskomaan hampaita irti.
Suurimmalla osalla ne 2FA molemmat tekniset faktorit on tallennettu joko luuriin tai passwordmanageriin johon luurista on pääsy, jolloin käytännössä ne tarvittavat faktorit ovat joko luuri joka sinulla on ja pin jonka tiedät TAI luuri joka sinulla on ja naama/sormenjälki mitä olet.
Mutta man-in-the-middle phishing sivu ei toimi passkey/FIDO2 kirjautumista käytettäessä. Ei se tietenkään kaikkea phishingiä lopeta, mutta tuon kyseisen kyllä.
Ja tietenkään passkey ei jos käytät sen sijasta salasanaa.
En pitäisi poliisia kauhean relevanttina uhkana itselleni, mutta jos pelkää että joku, oli se sitten poliisi tai joku muu, pakottaa käyttämään biometriaa niin ainakin ompuissa se on se muutama sekuntti kun FaceID/TouchID on kytketty väliaikaisesti pois käytöstä jos tarve vaatii, ja onnistuu vaikka sokkona taskussa (paina jompaa kumpaa volume nappia ja virtanappis 3s, eli käytännössä vaan purista puhelinta kunnes se värähtää). En tiedä onko Androideissa vastaavaa, mutta jos ei niin ei se ole biometrian vika.
Jos tunnuslukua jatkuvasti naputtelee luurin avaamiseksi julkisella paikalla, niin se ei ainakaan paranna luurin turvallisuutta.
Sinulle ei ole ongelma antaa virkavallalle kaikkea sinun tietojasi?
miksi olisi, kun tiedot ovat saatavissa oikeusteitse tarvittaessa? Sen takia kansalaisten tietoja sisältäviä kantoja kutsutaan viranomaisrekistereiksi.
Onko tuo tarkistussummatyyppinen vai voiko Googlen sormenjälkitiedostosta selvittää henkilöllisyyden?
Olisi, mutta en pidä fyysisesti minua retuuttamalla määrättyjä poliiseja top 1000 listalle kuuluvana tietoturvauhksna.
Mutta kuten sanottu niin tarvittaessa pystyn helposti estämään myös biometrian käytön luurin avaamiseen, jos minun pitää se antaa mille tahansa taholle, jonka uskon yrittävän päästä luurin tietoihin käsiksi, mutta johon kuitenkin luotan sen verran ettei jakoavainmenetelmä ole vaihtoehto: Security.
Tuleeko useinkin tilanteita jossa tämä konkretisoituu?
Kun tallennat sormenjäljen puhelimen avaamista jne. varten, niin se skannerin sormenjäljestä muodostama data/tarkistussumma (se ei ole mikään kuva sormenjäljestä tai muukaan josta saisi rekonstruoitua sinun sormenjäljen jos sen datan saisikin jotenkin ongittua puhelimesta ulos) tallentuu paikallisesti puhelimen prosessorin kryptattuun "turvasaarekkeeseen" ja sieltä se ei lähde mihinkään eteenpäin. Kun puhelin tai sovellus sitten pyytää sormenjälkeä lukituksen avaamiseen, niin sormenjälkilukijan skannaamaa dataa verrataan siihen joka prosessorille on tallennettu (tämäkin prosessi tapahtuu siellä erillisessä "turvasaarekkeessa") ja prosessori ilmoittaa vain sovellukselle sallitaanko lukituksen avaaminen vai ei.
Näin ainakin Qualcommin mobiiliprosessoreilla. Qualcommin sivuilta löytyy tästä tiedonmurusia googlettamalla.
Tuossa pari linkkiä toiseen lankaan jossa tästä samasta jutusta oli puhetta:
Uusin Chromen päivitys mahdollistaa Android-laitteilla incognito-välilehtien lukitsemisen sormenjälkilukijalla
bbs.io-tech.fi
Uusin Chromen päivitys mahdollistaa Android-laitteilla incognito-välilehtien lukitsemisen sormenjälkilukijalla
bbs.io-tech.fi
Niin. Sillä mulla ne salassapidettävät datat vaikka eivät ole mitenkään kriminoivai ovat cryptatulla levyllä, joka ei ole mikään bitlocker tunkki ja johon ei ole mitään biometristä tunnistetta. Tarvittaessa jos puhelimessa jotain tuollaista olisi, niin sormenjälkeän antaiessa käsi nyrkkin ja näytöstä rystyset täysillä näyttöön. Kyllä se puhelin siitä uskoo, ettei datoja luovuteta. Halutessaan ämpyillä voi vaikka kuinka, mutta ehdottomasti paras on vaan pitää ne pinppikuvat, terrorismi suunnitelmat ja muut pois sieltä puhelimesta.
Aiemmin käytin TrueCryptiä, nyttemin VeraCryptiä. Haluan pitää yksityisyydestäni huolta.
FIDO2, WebAuthn, Passwordless ja Passkeys
bbs.io-tech.fi
Monethan meistä on käyttänyt avaimilla kirjautumista, eli samaa FIDO2 / WebAuthn:ia johon Passkeys pohjautuu, niin vuosi kausia jo.
Nyt Passkeys on myös Googlella oletuskirjautumis menetelmänä. Salasanat historiaan.