密碼怕被盜?乾脆不需密碼的驗證方式反而更可靠? Passkeys 甩開帳密規則
ฝัง
- เผยแพร่เมื่อ 16 ก.ค. 2024
- 想和我們有更多互動嗎?加入會員 ► lihi1.com/BWeoe
00:00 永豐銀行盜刷事件
00:19 Passkeys 即將到來
00:45 Passkeys 是什麼?
02:30 公開金鑰密碼學是什麼?
03:22 非對稱密碼學登場
04:25 邏輯相反的「數位簽章」
05:02 免密碼驗證!
06:36 Passkeys 使用超簡單
07:29 跨裝置使用好便利
// 延伸閱讀 //
公開金鑰密碼:能在網路上安全的傳送密碼,要感謝神奇的質數? --《用數學的語言看世界》
pansci.asia/archives/128734
物聯網世代資安保護的熱門選擇--新型「加密金鑰」PUF 技術
pansci.asia/archives/341115
// 參考資料 //
udn.com/news/story/7239/6940025
noob.tw/pubkey-crypto/
• Passkeys in Action
// 製作團隊 //
主持:泛科知識 #鄭國威知識長
企劃:王喆宣
腳本:高偉家、吳忠憲
剪輯:許庭銘
特別感謝社團法人台灣駭客協會協助本集腳本審核 - วิทยาศาสตร์และเทคโนโลยี
我是工程師,雖然我覺得這影片解釋原理的部分對一般人應該還是有點硬,不過我可以理解這東西要解釋得清楚又要不失專業,確實很難XDDD
謝謝,我們繼續加油
剛讀完計算機概論沒多久的我完全知道在講的概念是什麼
而且比課本更好懂
讚讚
其實也不是什麼新技術,主要就是手機要有安全密鑰儲存區,其實也不是什麼新東西,其餘就是RSA, "找回密碼攻擊"一樣有效,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
複雜的密碼最後都變成同一組真的很有同感,自己都記不住的密碼根本沒意義呀
要有邏輯性的密碼。
有一定規則,但密碼不一樣
@@imguotingimking 對不少人來說,他們也會忘記他們當初設定的邏輯。(尤其是年紀比較大的,而一些網站他們每年只登入一次
不管是a用@,1用i、l或!,輸入時又增加難度,錯誤幾次就被鎖。
我以前在新加坡某中學工作時,一些老老師會寫在筆記本上,還有一些直接寫在post it貼在筆電。
@@imguotingimking 有個原則是所有的雜湊都只是延緩最終被碰撞回明文的手段,也就是說你要有密碼終有一天會被逆向回明文的理解
在這個前提下有規則可以推演的密碼制定策略是不安全的,因為只要目標有足夠多組服務的密碼被釋出,就有可能被歸納出來的邏輯推測出目標剩餘的密碼
這也是為什麼服務商除了不儲存明文密碼之外,連雜湊值都不應該保留,也不應該要求定期更改密碼
因為使用者的隨機性是有限的,經常更改密碼會快速地消耗使用者的隨機性,產生明顯的密碼習慣和規則
服務商如果保留了一個使用者長期多次的密碼歷史雜湊值,在這些雜湊值最終被逆向回明文的那天起,這位使用者的密碼習慣和邏輯就會受到威脅
這比單純外洩一個密碼更嚴重,是一個人完整的密碼邏輯都被洩漏
所以近期的資訊安全共識就是:讓使用者自行決定密碼這件事本身具有高度風險。
應該用一切可能的手段,例如密碼管理服務由機器完全隨機的產生密碼或者像這期影片提到的一樣完全避免使用者自行決定的密碼。
@@Zero2Ryu 確實如此,如果還要定期更換。只有慘
我之前改每年改密碼,到第三年就忘記。
看到QRcode那段就想到中間人攻擊,不愧是泛科學有想到要解釋這塊,使用藍牙連結來驗證真巧妙!(雖然小麻煩😅
B,密碼記太多,變成寫在紙上OR存在手機裡頭...有的智障網頁或程式還要求幾個月改次密碼,登入錯誤還會說我輸入的是之前的密碼,也不想想誰讓我一直改的,超奇妙...
題外話,現在的 HTTPS 就是用公鑰加密對稱式金鑰,再用對稱式加密訊息,因為公鑰加密資料比對稱式加密慢了幾千幾萬倍
這也不完全對,目前TLS在做handshake的時候很多時候是透過Diffie-Hellman反而不是公私鑰,這主要為了forward secrecy。公私鑰在這個情況下應該只會被用作數位簽章
裝置遺失或忘記密碼時,需要用回「原本較不安全的驗證方式」,這也是駭客偷取資料的主要途徑
這倒是
樂觀其成,現在的密碼組成機制對於提升駭客盜取難度並沒有多大幫助,卻對使用者造成很嚴重的困擾
話說經常發生的 Google 帳號 / TH-cam 盜用事件的漏洞也不是密碼被破解,而是 cookie 有漏洞,換句話說就算密碼這關安全了,也還有其他方法能繞過驗證機制進行盜用
同意
而且還要連藍芽,這東西本身就有很大問題
曲博曾說過這個話題,簡單來說就是原本是輸入號密碼給雲端辨識再傳結果回終端(手機),現在改為終端辨識,少了傳輸過程就少了攔截破解的機會,但個人認為終端若是重後門程式一樣會被破解,且現在的生物辨識很不精確
你可以改用PIN
然後現在的實體安全其實都做的很不錯
真的擔心請買iPhone, Google Pixel或Samsung
提到iPhone,只能希望過去iCloud女星私密照外洩事件不再發生...
其實你可以研究看看FIDO標準,早在2016年就在台灣推廣了。
@@xlion 現在的實體裝置皆不安全,因為不是專門用於MFA的。
你應該有些誤解啦
還是會有傳輸給伺服器驗證的流程
只是把保護鑰匙的方式 從人腦換成相對更可靠的硬體安全晶片
印象深刻的數位鑰匙
第一次使用時根本手忙腳亂,基本原理顛覆傳統。
了解流程後是挺方便的
受害者之一來了,還好正在用手機馬上發現,12分鐘被刷了NTD 6.5W
我記得有看過類似的介紹公私鑰的文章,還是能暴力運算破解,只不過要付出的成本很高,大部分情況下不划算而已
推password manager
現在我在用的是unix pass,個人覺得很安全也很方便
讚,感謝科普
B. 終於可以不用記一堆密碼,輕鬆多了!😆
5:18 "所使用的密碼並不會被直接用明文來儲存"
很多魔幻公司:恩,有意思,下一位
笑死,我之前還看過帳密驗證寫在前端
看到這段我也笑了
有的網站的忘記密碼功能,直接寄信告訴你密碼是什麼XD
我的指紋辨識每過一段時間就要更新一次,舊的會漸漸辨識不出來。passkeys理論上會比較安全,但也可能會造成我新的困擾。如果重設新指紋的方式不夠安全,反倒會產生弱點,兩難啊。
好厲害的講解
雖然密碼被盜用的可能性已經很低了,但我認為這種方式被盜用的可能性低很多,又更有便利性(前提是辨識不會出錯)。
比安控廠商PM講的還容易懂,讚讚
這樣說來,以後也許不能再任意在外吃東西
如果有人在觀光區開了一個臨時飯館
沒有裝潢那種
然後只要有落單或是極少數的客人
將安眠藥加進去將所有人迷暈
就能將受害者的資產全部轉移
每作案一次換一個觀光區
听了那么多原理和metamask钱包大相径庭,基于区块链的技术打造passkey。便利性倒是挺诱人的❤
我一定馬上用,方便太多了!
A,因為我覺得不可能換。這相當於用指紋解鎖手機,然後用手機解鎖所有東西。這樣只要手機或任何一台驗證裝置被攻破了,就相當於所有東西都攻破了。而且手機丟失會非常非常麻煩。本人就有換手機後遇到各種麻煩問題的經歷(密碼記得都無法登陸,因為OTP收不到,他們又沒實體店,只能放棄帳號了)。本質上來講這個問題是無解的,因為一旦太複雜,就會有客戶自己都用不了的情況出現。
2:40 真的不管是誰介紹非對稱性加密 都會有Alice跟Bob XDDD
真的...
主流教科書都是寫Alice跟Bob,當然就沿用囉~
本來想換成更在地一點的稱呼,但...
不用alice bob全身不對勁XDD
資安教科書都是用這兩位
我一直想要清楚定義所謂的無密碼到底是做到哪裡
1. 是登入的時候不需使用密碼?還是用遠都用不到密碼了?
2. 首次使用需要註冊行動裝置,是不是仍需要使用密碼來驗身?
3. 以Windows AD為例,登入Win時使用Passkeys做無密碼驗證,那使用不同身分以RDP, Samba等協定存取遠端電腦建議如何驗證
4. 如需符合資安規範,密碼需定期更換,是否使用Passkeys之後就不必變更了?或者根本不具備密碼這欄位了
Key登入是個好東西
之前設定GOOGLE兩階段時就有看到無密碼的選項,然而當時不了解這甚麼東西就沒理他。了解後有意替換成Passkey登入,但由於是生物驗證身分,等到換新手機在說吧,i6s指紋有點不放心。
C.簡單一句話
道高一尺,魔高一丈
這告訴我們,要用特別的那一支當其中一個指紋XD
還有一個問題
如果私鑰是放在手機
那也就是只要駭客有讀取我手機資料權限
那就可能繞過限制查看私鑰
尤其大部分的程式 都會要求這個權限
而且這個權限是一開全開
只要開放了就能全部都看
而不是只能在某個資料夾或是某個硬碟區塊裡面運作…
當然這個私鑰可能也有某種預防破解的辦法啦
👍passkeys方便多了,不必再记这么多的密码了。
就結構來說是挺安全又粉方便,但...並不是所有行動裝置都有支援指紋辨識或其他的生物辨識,再加上跨平台...PC上沒有指紋辨識器丫(高階或商用NB部份有)😅😅😅
PIN可以取代生物辨識啊
@@xlion PIN也算是密碼的一種吧
當然是選擇選開源的專案
自架密碼管理Server+Passkeys support
私鑰跟密碼還是要自己保管 不想給雲服務商
如果有時間弄的話QQ
我也是覺得密碼自己存最安心
自架,到底有多少人能做到
這很像古代,公章跟私章
雖然很心動,可是生物認證真的超不方便,有更簡單準確的方法就更棒了
生物驗證就是最好的驗證裝置
簡單來說就是用手機生物驗證功能來確定是不是本人。
一開始先設定好讓手機知道這個人是我,然後開放給企業刷卡用,只要手機確定是我企業就會讓我刷卡或登入。
這種機制不錯,不會被盜用生物資料
反正先試試看吧,希望未來連公務單位都可以省去身分證健保卡
生物驗證的一大弱點是你沒有辦法去更改
萬一生物驗證的algorithm或者是data被盜取破解了,你沒辦法換另一個指紋或者faceid或者瞳孔😅
現階段被破解的都是直接繞過
根本沒人再硬剛了
更多時候駭客會直接攻擊網站伺服器,根本不會直接對使用者進行攻擊
更甚至握有個資的私人企業或政府部門毫不在意資安,任由個資外洩
iRent個資外洩就是超級誇張的例子
至少可以確定三大巨頭的資安是可信的
如果三大巨頭被攻擊成功,那是世界等級的資訊犯罪,足以稱作黑天鵝事件了
@@henrylin4667 律師函警告⚠️
不過像 Google 這種伺服器安全強度就很適合用生物驗證,反正我是沒聽過有人駭進去他的伺服器,都是用釣魚、遠端或 cookies 駭 client 端,生物驗證+裝置連藍芽掃 QRcode 至少能擋掉釣魚和遠端
其實多數網路的危險都在於公司的爛系統,而非使用者這一端。
不管是要求複雜密碼、等同於不加密的伺服端、還是根本沒在系統維護的老闆,應該立法只要公司行號的網路出現危險,公司董事長總經理主管等階級,通通用詐欺、公共危害、殺人等刑法罪嫌起訴,保證整個數位安全還擊會大改善。
最有名的爛網路安全就是台灣銀行
看過一部電影還是美劇,不記得名字了,只記得有一幕中,主角把手機螢幕去照一個屍體的臉,然後用他的手指登入手機。防不勝防。
未來登入失敗請使用「找回我的拇指」服務
XD
講半天好像沒有講到Passkeys和Authenticator app有什麼不同?前者會比後者安全嗎?
設備丟了,找回密碼機制一樣需要記得當初設定的一些問題和答案,也很麻煩
要不就是個人的生物特征會儲存在對方的服務器上,那就更不安全了
問題在普及速度
生物特徵是不錯!但......因為工作性質,導致生物特徵無法被辨識的狀況還是有的,有一段時期因工作內容導致,我無法用此方式登入我的裝置,最後還是需要依靠密碼登入
最大問題是如果裝置只有一台,遺失就沒了,或是使用FACEID臉部卻因事故毀容、使用指紋卻因事故失去手等等。
C.道高一尺魔高一丈,還是會被找出弱點
這就是技術進步的動力
讲到这个话题,
就想到上海世博会时候到工商银行开了一个账号。
那时候给了一个小机器,像计算机,想网路汇款就需要输入一个验证码,这个机器就是产生验证码的。必须在一定时间内输入。转账才会成功。意思跟现在台湾一些银行,支付系统用的OTP 意思差不多。视频主现在说的用指纹解锁什么的,意思都跟银行保险箱必须有兩支钥匙同时打开才行功能差不多。
逻辑思考模式其实没有多大的改变,能够做到的防止被盗用的作用,
碰到行家/骇客就相当于开放钱包让他们自取。
现在那一个密码机10几年没用,
已经没电,
想用可能需要大陆的银行跑一趟,
可以说劳师动众,不是一般的麻烦。
不要说银行等与金钱相關的网站需要你定时换密码,
但是自己有超过50个网站密码,ID。。。需要记忆,
怎么可能定时变更。
保密工作,想做的大家都会做,
网路小偷就不会做吗?
有时候最简单的方法,
也许就是最好的方法。
其實信箱OTP沒問題
有問題的是信箱的安全
因為基本你的google有用F2A(2FA)
手機線上二步驗證
就不會被盜刷
其實也不一定,現在很多惡意的APP擁有超高權限,光是可以讀取你手機通知訊息,就可以輕易拿到傳到你信箱、簡訊的otp密碼了
三星也有類似的功能,Samsung pass
C. 我是資安人員,總覺得似乎還有哪裡不對勁
萬一舊手機突然壞掉了,感覺會很麻煩?
這只是在做身分辨識,私鑰沒了就沒了,重新產生一組公私鑰、更新公鑰即可,不至於有太大的災難。
另外驗證私鑰也不一定只能用生物辨識,比方說符合FIDO標準的KEY也能當認證私鑰。
不知道公司團隊的共享密碼的方案?我目前是用TOPT
那手機就身分. 目標就是盜取手機做為網路身分.你不在是你.你手機才是你~
要指紋或掃臉阿..只有手機也沒用
想起以前流行的用采取指纹来验证的方法……
手机表面必然拥有主人的指纹所以……
如果还要“理论定位”+提问+“立体扫脸”也许能提防?
我希望有『批准者、申请者、使用者』记录。
如大马手机号码要登记,但柜台服务员人可能偷备份……
某些部门申请没有安程序标准,会被盗用者滥用身份……
@@dog840810
只要想想把公鑰貼在臉上, 手指是公鑰印章. 然後你整天曬公鑰臉或隨處按公鑰印章~
我的指導教授就是主攻密碼學的,不得不說這門學科喔.....
真的超無聊的 😅 (全部都是數學
我能畢業只能說是僥倖.....
賀
8:17 這個很危險,不管是哪個作業系統平台都不值得你給予這麼大的信任
一個鎖能被許多鑰匙簡單打開,稱為爛鎖
但一個鑰匙能打開各種鎖,我們卻將之稱為萬能鑰匙?
嗯⋯我在說啥啊⋯
裝置壞了會很麻煩...
對有富貴手的人,不管指紋解鎖有多方便都無感🥲
可以用PIN
用蘋果😏
這告訴我們,可以用最自豪的那支當其中一個指紋XD (joke)
👍🏻
所以最後那段的安全,才是黑客常用的做法,
直接HACK 安卓手機或JB的IPHONE,
或扮成供應商用遺失需用OTP的方法盜取帳戶
台灣金融業還在用帳號密碼登入方式才是需要令人擔心。既古老又容易釣魚的登入方式。
但駭客只要不攻擊伺服器轉攻擊使用者帳戶就一樣可以破解,而在資安意識低落的台灣,這容易很多。
看到有案例使用備援信箱向Google 請求找回原帳號,卻連備援信箱都被盜走的悲劇。
這會不會要讓一個人最多19個小帳?
會吧,總筆記一堆高難度密碼,很累,還常常忘記
會
這樣的話
其實只要攻破大公司防線
這樣不就拿到所有私鑰
會不會造成大公司壟斷之類的
而且如果指紋發生變化就很麻煩
我手機指紋辨識就是,手磨到毛毛的就會辨識不了
只有你的手機握有私鑰,所以並不會公司取得私鑰問題,假如有表示該公司並非使用標準規則
這告訴我們,要用最自豪的的那一支當其中一個多指紋驗證XD
8:15 駭客:我知道該在什麼地方下手了
我看到這也是覺得問題很大
道高一尺魔高一丈,現在或許可以,很快就會被駭客找到突破口
目前駭客的突破口都不是在加密上. 所以能夠減少突破口的OTP 就相當於加強防禦了.
在這些之前,台灣許多公司還停留在明碼……
駭客就要改找到生物驗證的破解法
這東東 加密貨幣產業早就在用了 最好趕快習慣
後半段才是密碼被盜取風險:服務器儲存private passkey 以便用戶還原至另一個手機。。。
帳戶「本身」的安全有別種技術來保護,設計這個的並不是傻子
@@xlion passkey 設計是很好,至於備份private key 在服務器並不在設計初衷。希望如你所說風險已經考慮下去
一提到public key / private key, 很多人就難理解個中原理
我家我跟我媽手機指紋都按不太出來,桃機的自動通關也採不到指紋,只能用人臉單一辨識,用手機支付時很不方便
好特殊
這跟區塊鏈怎麼有點類似
所以原理上和使用網上的密碼管理器,或者使用瀏覽器幫你生成的隨機密碼好像不差太多🤔
感覺主要加強的安全性應該是在綁裝置這個部份?
還有我記得以前上課的時候聽說過生物認證類的密碼Entropy並不高,如果有人拿到你的裝置嘗試暴力破解的話,說不定比現在使用密碼的方式還簡單
蠻不一樣的,私鑰的位元會多很多,而且會檢查網站
新漏洞被發現利用速度遠比漏洞修補還要快 通訊技術發展近年來非常快速 但未考慮資安的問題就先搶先上市 內部測試時間與項目不足 現況是發現漏洞後才開始漏洞修補 然後請消費者儘速更新...... 消費者只是拿來當成白老鼠 新技術帶來方便也帶來更多漏洞可攻擊
比特幣有個實體的電子錢包大概就是這個
會,我就懶
我有個問題,很常時候駭客並不是透過帳號密碼這種方式駭入帳號的,且能繞過2次驗證,在此前提下,往後的駭客是否也能直接盜取私鑰資訊,如同原使用者同步雲端的方式駭入?
因為還有物理距離限制,加上加密,所以不是不可能,但是很不容易,如果不是資料特別有價值,對駭客沒有吸引力
有個疑問,私鑰存在手機,那如果換手機時是做二手機賣掉,不就流出了嗎?
你會重置手機吧?
很多人不重置就賣就是個人問題😌
理論上, 轉賣後其他人應該無法登入, 只能重置手機.
雖然不同,但也有點類似去中心化的技術呢
其實去年開始我就在使用google提供的自動亂數密碼了
更早前就有這個服務,但不知為何以前經常有儲存跟套用的問題
但後來變得比較穩定後,我就很少在自訂密碼了
這是一個提升密碼複雜度的做法
保重...
Google 才有幹過儲存信用卡卡號在帳號內,同步到 Chrome 時卻不是安全方式儲存,導致在使用者電腦上被惡意讀取的狀況
@@bingluenzhuang 連你都知道的事情
你以為全世界前幾大的公司,會保留到這個漏洞多久?
生物辨識
指紋留存的圖樣 不會被盜嗎
如果要大規模犯案比較難
很多銀行的郵件傳輸根本沒加密 事先知道信箱 opt被拿走也不是不可能
還有這漏洞!
等於是把鑰匙放在大公司手裡,雖然是蠻方便的 哈哈
我想應該是指本人即是鑰匙,而不必傳遞鑰匙的概念吧?
@@user-xf7gm8dv5x 是啊 但是審核的能力是放在大公司手裡的 ,假如有需要不經別人同意就登入的話,那些公司是有能力做到的,只是法律上不允許,就跟一開始的帳號密碼的狀況是一樣的,只是現在除了源頭的公司跟你之外,其他的人就更難偷登入你帳號
便利是便利
然而一旦遺失手機,帳號就只好清空重來了
密碼加生物認證才是最安全的
只用指紋的話,當手機主人被挾持時就什麼也沒有了!
當然是B,可以擺脫一大堆密碼
沒有流行的真正原因是..... 電腦端專用指紋識別裝置那片玻璃是消耗品, 用久了就會感應不良, 手機沒用過不知道, 手機廠商會很高興, 繼電池之後又找到了可以讓使用者定期買手機的漏洞, 指紋感應不良~~~~ 🤑
不管是軟體還是硬體商都很努力鼓勵大家換手機
9:31 我的答案會是C,因為是新的,還不確定整體狀況~
感覺是更方便了,但好像沒有比較安全,
像是裝置遺失後的處理方式,跟之前沒有什麼差別,
而很多駭客是從這方面著手盜用的
找回遺失的裝置之後仍然要由本人來透過passkeys進行登入,就算駭客擁有手機和帳號密碼仍然無法通過passkeys登入,因為帳號密碼的功能並不是用來登入網站或應用程式,只是單純的恢復passkeys的使用。我剛剛也在思考這個問題,我的理解不知道對不對但給你參考看看
不過駭客要取得登入狀態確實可以直接繞過登入這個步驟,登入狀態只能透過登入這個動作來取得算是一個普遍的誤解,因此資料仍然無法保證完全的安全😢
@@yyyqq__ 這次的影片提到裝置遺失後用帳密重新"登入",
可以設定的只有"停用舊裝置"與"啟用新裝置",
也就是說依然需要保留帳密,帳密依然有被盜用的價值,
這並沒有達到所謂的"無帳密",所以不擁有無帳密帶來的安全,
你還是要費神去記帳密,而風險依舊存在。
有個東西叫實體金鑰
可以用來保護你的Google 跟蘋果帳號
@YQ L 錯,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
我怎麼覺得還是哪裡怪怪的~
如果今天我"指紋"的這個密碼被盜用怎麼辦呢?
指紋是手機的鑰匙;手機是銀行的鑰匙
除非指紋和手機一起被偷走
藍芽連結,用定位鎖定,再變更遠端位置到附近,再駭入,防得了嗎?
糟糕,想試試看
@@PanScitw 還好你看懂我說的
但RAS加密很慢,這也是為什麼近年才有
像WhatsApp 之類的加密其實只用RAS加密一半左右
通常都是一開始先用rsa加密交換aes的密鑰 然後之後都用aes加密了 這樣就可以保證安全和效能
密碼難記我覺得主要是安全的密碼是無規律的,而無規律正是和人類的記憶方式衝突,我想到的辦法是用符合人類記憶的方式寫出密碼,然後把符合人類記憶的密碼通過加密再生成一組無規律的密碼,加密的演算法可以每個人自定,這樣人類只要記住容易記的就行,無規律的密碼就交給自定的演算法
最大的問題還是session cookie 被盜用
現在已經不推薦使用session cookie了, 可以理解一下JWT