Mam nadzieję, że materiał Wam się podobał i dowiedzieliście z niego czegoś interesującego. Więcej informacji o Secfense znajdziecie na ich stronie, pod adresem secfense.com/ oraz w ich social media. Zresztą w tajemnicy zdradzę Wam, że szykują pod koniec marca webinar z Andrew Shikiarem, czyli twarzą stowarzyszenia FIDO, a moderowany przez Adama z Zaufanej Trzeciej Strony. Jeżeli chcecie wziąć w nim udział, to śledźcie uważnie sociale Secfense! Smacznej kawusi!
taka wygoda też jest niebezpieczna bo jeśli wyjdą urządzenia wszystko w 1 i ty sobie takim robisz wszystko to jak będzie atak hakerski ... nom to problem. dużo jest teori spiskowych na ten temat a zdaje się dużo sprawdzać ;)
Mateuszu, dzięki za ten film, jak i wiele innych materiałów edukacyjnych! Są na bardzo wysokim poziomie - zarówno pod kątem merytorycznym, jak i... stylu wypowiedzi. Korzystając z dobrodziejstw komunikacyjnych YT chciałem się Ciebie zapytać o to w jaki sposób przygotowujesz się do każdego nagrania? Masz wzorową dykcję, czy korzystałeś z kursów lub szkoleń z tego obszaru? Nie widać też żebyś czytał z promtera, a każde Twoje zdanie jest doskonale ułożone w sensowną i logiczną całość, nawet pod kątem interpunkcji za pomocą krótkich przerw. Będę Ci bardzo wdzięczny za wszelkie sugestie. Niewątpliwie jest to jeden z moich najtrudniejszych celów do osiągnięcia i na Twoim przykładzie chciałbym podążyć podobną ścieżka dającą tak rewelacyjne rezultaty!
@@adrianpeska9187 U2F/FIDO2 to nie RSA (ci od brelokow, nie ci od krypto) - tu nikt seedow nie trzyma w centralnej bazie :) Wszystko ladnie rozproszone, bez powiazania wygenerowanych kluczy, a sam klucz fizyczny zazwyczaj nawet nie zapisuje ani grama informacji (moze z wyjatkiem licznika uzycia)
@@mszary co? U2F i FIDO2 korzysta z kryptografii asymetrycznej w tym rsa (lub algorytmy opracte na krzywych eliptycznych) i to nie jest minus tylko plus. Nw o co ci chodzi z tym krypto. Ale masz rację że te klucze (przynajmiej nie muszą) przechowywać dużo informacji poza samym zaszyfrowanym kluczem prywatnym
Kiedyś podczas biegania rozkminiałem jak zabezpieczyć kluczowe urządzenia inteligentnego domu jak np. zamek drzwi wejściowych i wpadłem dokładnie na taki pomysł. Jeden klucz publiczny na urządzeniu końcowym i drugi klucz prywatny na serwerze schowanym głęboko w murach. Każda prośba o odblokowanie drzwi będzie zawierała inne dane, więc żadne zewnętrzne nasłuchiwanie nie pomoże. Do tego jakiś alarm i blokada czasowa w przypadku próby bombardowania zamka metodą brute force.
Dla małych stron [roblemem z wdrożeniem tego typu rozwiązań jest powszechność wśród użytkowników. Mały sklep nie może sobie pozwolić na wymuszenie tego typu uwierzytelniania. Ryzykuje, że klienci uznają, że to przesada wymagać instalowania dodatkowej aplikacji. Oczywiście możnaby to zrobić jako opcja i tylko zachęcać do skorzytania. Problemem może być też rozdrobnienie. Jeśli każda większa firma technologiczna opracowałąby własne rozwiązanie tego typu to mogłoby to zniechęcić użytkowników, bo musieliby mieć klika aplikacji tego typu. Myślę, że aby zwiększyć szansę na szerokie użycie wśród ludzi musiałaby powstać organizacja non-profit wspierana przez tech gigantów, która wprowadziłaby takie rozwiązanie na rynek.
Pytanie co z faktem ze klucze powiazane są z urządzeniem? "Zaletą" klasycznych haseł jest to że mamy je ze sobą, w głowie. Natomiast przy fido co gdy zgubimy telefon?
Cześć Mateusz, widzę, że już hasło DORA pojawia się w Twoich filmikach, a to temat rzeka, który fajnie jak będzie pojawiać się coraz częściej. tym bardziej, że do DORA powstanie jeszcze dużo rrs-ów... nowe i stare wymogi dla IT, bezpieczeństwa, pytanie co zrobią ostatecznie z cyberustawą, dostawcy usług, co będą mieć niezłe wyzwanie, pełno audytów, wewnętrznych, zewnętrznych, ach będzie się działo, będzie "zabwa";)
Jest już tak wiele tych metod i protokołów uwierzytelniania, że integracja kolejnej cudownej i bezpiecznej metody uwierzytelniania w aplikacji śni się programistom po nocach. Potem do tych "jednolitych" standardów przychodzą jeszcze różne implementacje, programistę głowa boli, użytkownicy mają dość, złodzieje nadal znajdują sposoby by kraść, a wynalazcy tych cudownych standardów zacierają łapki, bo zawsze można zarobić na certyfikacji, oprogramowaniu czy sprzedaży fizycznych kluczy, czytników biometrycznych etc.
Fajny odcinek, ale małe sprostowanie - biometria w urządzeniach mobilnych jest traktowana jako element posiadany, bo techniczne jedynie uwalnia zachowane klucze, a same dane biometryczne są przetwarzane wyłącznie wewnątrz urządzenia.
Nie do końca. Klucze są szyfrowane algorytmem hmac. Urządzenie samo z siebie nie jest w stanie pokazać klucza gdy chce. Gdy użytkownik da odcisk palca przechodzi on przez algorytm do postaci która jest w stanie odszyfrować magazyn sekretu
@@BxOxSxS hmac nie sluzy do szyfrowania :) bezpiecznik biometryczny jest na poziomie OSa, wiec potencjalna luka tamze moze spowodowac wyciek materialu prywatnego. Mechanizm, niestety, nie korzysta z tzw. secure enclave, aby mozna bylo migrowac "klucze" pomiedzy urzadzeniami i to jest potencjalna slabosc. Ergo - mechazm biometryczny, podobnie jak PIN jest wylacznie kontrola dostepu do uwolnienia materialu prywatnego.
Nie ma bardziej wkurzających stron niż te rządowe i od dostawców np energii. Gdzie chcesz zapłacić tylko rachunek ale oczywiście albo musisz hasło zmienić bo wymyślili, ze tak będzie bezpiecznie po czym za miesiąc już nie pamiętasz tej zmiany. Albo aplikacja jest tak wymyślona jak by ktoś chciał Zrobić pozłości.
Mógłbym zaakceptować go, ale.. Jeśli dało by się skopiować klucze prywatne tak jak secret key w 2FA. Tak aby w przypadku utraty urządzenia zgrać je z backupu. Zabezpieczyć klucze hasłem, bo piny i biometria to słabe zabezpieczenie. Jak będzie to otwarty projekt to powstanie masa aplikacji z różnymi implementacjami może któraś mi przypasuję.
@@mszary Na przykład ciekawski znajomy, lub partner może przyłożyć nasz palec, zeskanować twarz w trakcje snu. A w przypadku pinów to 4 liczby są łatwe do złamania, bez zabezpieczenia antybrutalforce.
@@_shy_fox_ jak ktos Ci odblokuje telefon to i tak jest game over (dostep do konta email zazwyczaj konczy/zaczyna zabawe - w zaleznosci od punktu siedzenia). Ad PINu w FIDO - jest odporny na bruteforce dokladnie tak, jak chip w Twojej karcie platniczej. Argument masz dobry, ale nie celujacy w te konkretna metode. A kopiowanie kluczy jest rzeczwiscie problemem, ale passkeys go rozwiazuje (klucze migruja np. w ramach iCloud)
Hasło do google też może zostać utracone. No i co będzie jak nagle google zawiesi ci konto, będą mieli awarię, albo wydarzy się coś innego co sprawi że utracisz dostęp do wszystkich swoich usług na które logowałeś się używając obcego systemu?
Uwierzytelnianie to weryfikacja tożsamości czyli odpowiedź na pytanie kim jesteś. Autoryacja zaś ma zagwarantować pewne uprawnienia. W przypadku banków gwarantujesz na przykład transkacje poprzez autoryzację mobilną.
Jeżeli programiści opracowali szyfratory, to adekwatnie i możliwość deszyfratory. Wystarczy, że któryś ze zwolnionych pracowników firmy, nagle przestanie być lojalny. To prawidłowość stara jak świat, niczym rakiety i antyrakiety. Wojna trwa nadal.
idealny przykład dlaczego zabrakło wyjaśnienia kryptografii asymetrycznej. Jest bezpieczny bo właśnie nie da się go przejąć. Klucz prywatny nigdy nie opuszcza urządzenia przesyłamy tylko klucz publiczny i weryfikację że go posiadamy. To nie jest hasło działa kompletnie inaczej. Ciężko to szybko wytłumaczyć więc jak chcesz dokładnie wiedzieć sprawdz jak działa kryptografia asymetryczna pod względem logicznym i/lub matematycznym (np RSA)
@@BxOxSxS Złamać można, bo jest z plastiku. Przejąć też można, tak samo jak każdą inną fizyczną rzecz. Jeśli podejdzie do ciebie miły człowiek z nożem lub kijem w ręku, to sam oddasz.
@@szmonszmon nawet jak mu dasz to klucze prywatne są zaszyfrowane i bez pinu nie odblokuje go. No wiadomo jak będzie odpowiednio niemiły i znał się to też może zdobyć ale to nie jest problem technologiczny
Autoryzacja operacji w mBanku wygląda tak, że po zapoznaniu się w aplikacji co autoryzuję muszę wklepać pin. Jeszcze jak jestem w domu to luz, ale jeśli jestem w miejscu publicznym to zawsze rozglądam się czy w okolicy nie ma kamer i kombinuję jak zasłonić co wpisuję. W takich właśnie przypadkach z pomocą powinien przyjść kluczyk.
Standard jest otwarty. W tym przypadku wspieńcie tych firm daje tylko plusy w postaci adopcji i rozwoju. Podobnie jak z wolnym oprogramowaniem jak linux. Te firmy mają w tym interes ale użytkownicy tylko na tym zyskają. Zawsze powtarzam nie ufasz patrz w kod jeśli potrafisz, jeśli nie otwarty kod daje większą szanse że ktoś kto się zna go zweryfikuje. Nitrokey ma zarówno otwarty firmware jak i cały projekt hardwaru swoich kluczy
@@BxOxSxS moim zdaniem przystapily do tego projektu aby miec znaczacy wplyw na jego finalne uksztaltowanie sie i zasady dzialania. Jesli ms i google wloza najwiecej kasy w rozwoj systemu to tak na prawde do nich bedzie nalezec ostatnie slowo na jakich warunkach bedzie dzialal system autoryzacji
@@firststrikez9840 trochę tak ale nad wszystkim dalej czuwają niezależni eksperci. I tak jak mówiłem wszystko jest otwarte i wygląda to naprawdę solidnie. Zawsze na takie rzeczy trzeba uważnie patrzeć i tu się zgadzam ale samo skreślenie pomysłu bo te firmy się tym zainteresowały jest nieopłacalne dla użytkowników
@@firststrikez9840 w tym wypadku to naprawde bardzo dobrze. Bez wsparcia najwiekszych (w tym wypadku IMO najwiecej popychaja Google, Apple oraz Microsoft) masowa adopcja moglaby nie nastapic. Dopoki standard jest otwarty, ja bede spal spokojnie. MS np. bardzo wspiera popularyzacje rozszerzenie do FIDO2 (hmac-secret), dzieki ktoremu klucze nie tylko umieja podpisywac, ale tez szyfrowac. Potrzebne to bylo MSowi, a skorzystamy wszyscy :)
najważniejsze aby społeczność zawsze miała nadzór nad technologiami korporacji, gdyż Nie wyciska tylko to co zawsze jest publicznie kontrolowane. Czyste dane biometryczne na zawsze powinny być święte
Menadżery haseł wciąż bazują na hasłach, czyli na współdzielonym sekrecie. PIN jest o tyle lepszy, że jest przypisany do urządzenia, wiec choć kilku znakowy, to nie jest przechowywany w żadnych bazach, które można wykraść. FIDO to kolejny krok. Tożsamość zabezpieczana jest kryptograficznie i zapisywana tylko na twoim urządzeniu. Nie ma więc możliwości, że zostanie ona wykradziona z jakiejś bazy (jak hasło).
A czy da się tanim kosztem mieć uwierzytelnianie biometryczne na komputerze stacjonarnym? Jakiś czytnik odcisków palca na USB, czy coś? Chętnie bym się w takie coś zaopatrzył, a jak sobie pomyślę o komputerach przyszłości, gdzie logowanie warunkuje położenie dłoni na myszce z czytnikiem w lewym klawiszu, to jakoś mi się cieplutko na serduszku robi.
mnie się kiedyś chciało, Novel, kilkudziesięciu użytkowników, hasłą nie były ciekawe, tylko jedno brzydkie słowo mnie obowiązywało coś więcej niż tajemnica spowiedzi - przyzwoitość
ja bym chciał zaszyfrować dysk zewnętrzny ssd bez bitlockera i na systemie bez modułu tpm [więc też odpada]. a testowałem wiele i nic nie działa jak trzeba :D
Zawsze jest hasło od sprawdzonego veracrypt lub luksa. Luks wspiera odblokowanie poprzez standardy fido. Bitlockerowi i windowsowi nie ufałbym do jakichkolwiek poważnych rzeczy chociaż lepsze to niż nic
@@BxOxSxS hmm, luks wydaje się świetny. No ale mam tylko windowsa wszędzie... Poczytam o tym, dzięki wielkie! Vera Crypt próbowałem, ale oni z teog co pamiętam mieli darmowy trial, a potem już płatne. Nie chciałbym płacić za odblokowanie własnych danych po czasie kiedy się kończy okres próbny.
@@MateuszChrobok Dobra po dwóch dniach prób poddaję się. Sprawdziłem kilknaście sztucznych inteligencji do debluru wykrywania tekstu itp. I oczywiście z oka. Te ostatnie litery są za mało widoczne przez kontrast oraz za mało pixeli (720p jpg nie oddaje) Jak się komuś uda to będę pod wrażeniem bo w żadnym z modeli których używałem nie było aż tak trudnych przykładów
Tyle że jest problem: klucz sprzętowy można ukraść (albo zgubić), odcisk palca podrobić np na podstawie tego co ktoś dotykał. Obecnie dodatkowym zabezpieczeniem było hasło właśnie. Innym wariantem jest klucz sprzętowy wymagał PINu (mają one takie funkcje), ale znowu: PIN to też rodzaj hasła.
PIN to zupelnie inna para kaloszy :) Uzywany lokalnie, podlegajacy mechanizmom antybruteforce'owym, przede wszystkim niewspoldzielony "na zewnatrz". Na zgubione/skradzione klucze rozwiazaniem sa Passkeys (w skrocie obiekty FIDO2 migrujace pomiedzy zaufanymi urzadzeniami, np. via iCloud)
klucze prywatne są zaszyfrowane w środku właśnie pinem więc jeśli po stracie po prostu go usuniemy z serwisów to jesteśmy bezpieczni. Samo złamanie takiego pinu wymaga dość sporo czasu (w obecnych czasach). Wiadomo nie ma idealnego rozwiązania szczególnie jak się go źle używa ale to zdecydowanie jest bezpieczniejsze
@@mszary Mechanizmy brutforcowe w takim wypadku nie są realne bo można skopiować zaszyfrowaną pamięć i lokalnie próbować złamać. Ale daje to kosztowna operacja
@@BxOxSxS nope, w zadnym wariancie FIDO nie jest PIN uzywany do szyfrowania informacji (za mala entropia). Klucze szyfrowane/derywowane sa wylacznie przez jeden "secret", unikatowy dla danego egzemplarza, a PIN jest wylacznie mechanizem kontroli dostepu.
Czy zacząłeś używać AI do obróbki dźwięku? Uważam, że brzmi to nienaturalnie i znacznie gorzej, niż dobrze nagrane audio które zwykle oferowałeś. Jak dla mnie AI jest świetną opcją, gdy trzeba naprawić nagrane audio którego nagrania nie można lub nie chce się z powodów dowolnych powtórzyć, a trzeba znaleźć jakieś ewentualne rozwiązanie.
Mam nadzieję, że materiał Wam się podobał i dowiedzieliście z niego czegoś interesującego. Więcej informacji o Secfense znajdziecie na ich stronie, pod adresem secfense.com/ oraz w ich social media.
Zresztą w tajemnicy zdradzę Wam, że szykują pod koniec marca webinar z Andrew Shikiarem, czyli twarzą stowarzyszenia FIDO, a moderowany przez Adama z Zaufanej Trzeciej Strony. Jeżeli chcecie wziąć w nim udział, to śledźcie uważnie sociale Secfense!
Smacznej kawusi!
taka wygoda też jest niebezpieczna bo jeśli wyjdą urządzenia wszystko w 1 i ty sobie takim robisz wszystko to jak będzie atak hakerski ... nom to problem. dużo jest teori spiskowych na ten temat a zdaje się dużo sprawdzać ;)
@@adrianpeska9187 twój komentarz be like: pokaż mi że nie obejrzałeś odcinku i nie znasz się na temacie bez stwierdzenia tego
Mateuszu, dzięki za ten film, jak i wiele innych materiałów edukacyjnych! Są na bardzo wysokim poziomie - zarówno pod kątem merytorycznym, jak i... stylu wypowiedzi. Korzystając z dobrodziejstw komunikacyjnych YT chciałem się Ciebie zapytać o to w jaki sposób przygotowujesz się do każdego nagrania? Masz wzorową dykcję, czy korzystałeś z kursów lub szkoleń z tego obszaru? Nie widać też żebyś czytał z promtera, a każde Twoje zdanie jest doskonale ułożone w sensowną i logiczną całość, nawet pod kątem interpunkcji za pomocą krótkich przerw. Będę Ci bardzo wdzięczny za wszelkie sugestie. Niewątpliwie jest to jeden z moich najtrudniejszych celów do osiągnięcia i na Twoim przykładzie chciałbym podążyć podobną ścieżka dającą tak rewelacyjne rezultaty!
@@adrianpeska9187 U2F/FIDO2 to nie RSA (ci od brelokow, nie ci od krypto) - tu nikt seedow nie trzyma w centralnej bazie :) Wszystko ladnie rozproszone, bez powiazania wygenerowanych kluczy, a sam klucz fizyczny zazwyczaj nawet nie zapisuje ani grama informacji (moze z wyjatkiem licznika uzycia)
@@mszary co? U2F i FIDO2 korzysta z kryptografii asymetrycznej w tym rsa (lub algorytmy opracte na krzywych eliptycznych) i to nie jest minus tylko plus. Nw o co ci chodzi z tym krypto. Ale masz rację że te klucze (przynajmiej nie muszą) przechowywać dużo informacji poza samym zaszyfrowanym kluczem prywatnym
Bardzo dziękujemy za zaproszenie do odcinka i za świetną współpracę!
Nie ma sprawy 😊
Fajnie jakby inne banki śladem ING też zapowiedziały wprowadzenie kluczy jako opcję do logowania się.
Moim zdaniem to krok w dobrą stronę. W końcu 😎👍
Realizujesz bardzo merytoryczne i fajne odcinki, aż chce się słuchać!
nie sądziłem że w kawiarni można sobie na spokojnie ponagrywać :3
a tak serio to fajny film
Green screen?
@@CHOMIKSA. Na pewno xD
Dzięki za ciekawy materiał.
😁
Kiedyś podczas biegania rozkminiałem jak zabezpieczyć kluczowe urządzenia inteligentnego domu jak np. zamek drzwi wejściowych i wpadłem dokładnie na taki pomysł. Jeden klucz publiczny na urządzeniu końcowym i drugi klucz prywatny na serwerze schowanym głęboko w murach. Każda prośba o odblokowanie drzwi będzie zawierała inne dane, więc żadne zewnętrzne nasłuchiwanie nie pomoże. Do tego jakiś alarm i blokada czasowa w przypadku próby bombardowania zamka metodą brute force.
Super pozdrawiam
Może odcinek o tym co wie o nas nasz dostawca internetu? :)
To się bardziej na shorta nadaje
Fajny materiał. Smacznego.
Jak się domyśliłeś?
@@MateuszChrobok Na kanałach pisali 😉
Dla małych stron [roblemem z wdrożeniem tego typu rozwiązań jest powszechność wśród użytkowników. Mały sklep nie może sobie pozwolić na wymuszenie tego typu uwierzytelniania. Ryzykuje, że klienci uznają, że to przesada wymagać instalowania dodatkowej aplikacji. Oczywiście możnaby to zrobić jako opcja i tylko zachęcać do skorzytania.
Problemem może być też rozdrobnienie. Jeśli każda większa firma technologiczna opracowałąby własne rozwiązanie tego typu to mogłoby to zniechęcić użytkowników, bo musieliby mieć klika aplikacji tego typu. Myślę, że aby zwiększyć szansę na szerokie użycie wśród ludzi musiałaby powstać organizacja non-profit wspierana przez tech gigantów, która wprowadziłaby takie rozwiązanie na rynek.
I tą organizacją jest właśnie FIDO Alliance, która opracowała otwarty standard uwierzytelniania w sieci. Jedyny koszt to wdrożenie go.
Idealna długość materiału, co do samego produktu to nie powalił podczas prezentacji, pozostaje przy keycloaku.
Pytanie co z faktem ze klucze powiazane są z urządzeniem? "Zaletą" klasycznych haseł jest to że mamy je ze sobą, w głowie. Natomiast przy fido co gdy zgubimy telefon?
Od niedawna juz nie sa (nie musza byc) - passkeys. Dla jednych to wada, dla innych zaleta, ze klucze migruja pomiedzy zaufanymi urzadzeniami
Cześć Mateusz, widzę, że już hasło DORA pojawia się w Twoich filmikach, a to temat rzeka, który fajnie jak będzie pojawiać się coraz częściej. tym bardziej, że do DORA powstanie jeszcze dużo rrs-ów... nowe i stare wymogi dla IT, bezpieczeństwa, pytanie co zrobią ostatecznie z cyberustawą, dostawcy usług, co będą mieć niezłe wyzwanie, pełno audytów, wewnętrznych, zewnętrznych, ach będzie się działo, będzie "zabwa";)
Jest już tak wiele tych metod i protokołów uwierzytelniania, że integracja kolejnej cudownej i bezpiecznej metody uwierzytelniania w aplikacji śni się programistom po nocach. Potem do tych "jednolitych" standardów przychodzą jeszcze różne implementacje, programistę głowa boli, użytkownicy mają dość, złodzieje nadal znajdują sposoby by kraść, a wynalazcy tych cudownych standardów zacierają łapki, bo zawsze można zarobić na certyfikacji, oprogramowaniu czy sprzedaży fizycznych kluczy, czytników biometrycznych etc.
Fajny odcinek, ale małe sprostowanie - biometria w urządzeniach mobilnych jest traktowana jako element posiadany, bo techniczne jedynie uwalnia zachowane klucze, a same dane biometryczne są przetwarzane wyłącznie wewnątrz urządzenia.
Bardzo ciekawe spostrzezenie 👍
Nie do końca. Klucze są szyfrowane algorytmem hmac. Urządzenie samo z siebie nie jest w stanie pokazać klucza gdy chce. Gdy użytkownik da odcisk palca przechodzi on przez algorytm do postaci która jest w stanie odszyfrować magazyn sekretu
@@BxOxSxS hmac nie sluzy do szyfrowania :) bezpiecznik biometryczny jest na poziomie OSa, wiec potencjalna luka tamze moze spowodowac wyciek materialu prywatnego. Mechanizm, niestety, nie korzysta z tzw. secure enclave, aby mozna bylo migrowac "klucze" pomiedzy urzadzeniami i to jest potencjalna slabosc. Ergo - mechazm biometryczny, podobnie jak PIN jest wylacznie kontrola dostepu do uwolnienia materialu prywatnego.
W świecie Tora logowanie kluczami od lat już jest wykorzystywane, a jak coś tam jest, to znak że jest to całkiem bezpieczne.
02:27 "No i mamy pro8l3m." - Dobry smaczek :D
Nie ma bardziej wkurzających stron niż te rządowe i od dostawców np energii. Gdzie chcesz zapłacić tylko rachunek ale oczywiście albo musisz hasło zmienić bo wymyślili, ze tak będzie bezpiecznie po czym za miesiąc już nie pamiętasz tej zmiany. Albo aplikacja jest tak wymyślona jak by ktoś chciał Zrobić pozłości.
Czy to nie jest poprostu wariacja techniki znanej z kluczy SSH?
Mógłbym zaakceptować go, ale..
Jeśli dało by się skopiować klucze prywatne tak jak secret key w 2FA.
Tak aby w przypadku utraty urządzenia zgrać je z backupu.
Zabezpieczyć klucze hasłem, bo piny i biometria to słabe zabezpieczenie.
Jak będzie to otwarty projekt to powstanie masa aplikacji z różnymi implementacjami może któraś mi przypasuję.
Dlaczego PINy i biometia to slabe zabezpieczenia? Pytam serio. Jakiego typu ataku sie spodziewasz?
@@mszary Na przykład ciekawski znajomy, lub partner może przyłożyć nasz palec, zeskanować twarz w trakcje snu.
A w przypadku pinów to 4 liczby są łatwe do złamania, bez zabezpieczenia antybrutalforce.
@@_shy_fox_ jak ktos Ci odblokuje telefon to i tak jest game over (dostep do konta email zazwyczaj konczy/zaczyna zabawe - w zaleznosci od punktu siedzenia). Ad PINu w FIDO - jest odporny na bruteforce dokladnie tak, jak chip w Twojej karcie platniczej. Argument masz dobry, ale nie celujacy w te konkretna metode.
A kopiowanie kluczy jest rzeczwiscie problemem, ale passkeys go rozwiazuje (klucze migruja np. w ramach iCloud)
Szkoda, że prawie żaden serwis nie wspiera FIDO. Jak na razie tylko U2F i to też mniej niż bym oczekiwał.
Zabujany mistrz drugiego planu 🙊🙉🙈🐵
Czy jak w usłudze obsługujemy tylko logowanie przy użyciu konta Google które samo w sobie jest dobrze zabezpieczone to jest sens implementować 2fa?
Hasło do google też może zostać utracone. No i co będzie jak nagle google zawiesi ci konto, będą mieli awarię, albo wydarzy się coś innego co sprawi że utracisz dostęp do wszystkich swoich usług na które logowałeś się używając obcego systemu?
@@foobaz2387 Bardziej chodziło mi o zabezpieczenie użytkownika od strony prowadzenia aplikacji która umożliwia tego typu logowanie.
Mati co z tym TED-em o którym pisał Twój Twitter? Nie do końca wiem jak go szukać.
Jak takie uwierzytelnianie ma się do obecnej od dawna np. w bankach autoryzacji mobilnej?
Uwierzytelnianie to weryfikacja tożsamości czyli odpowiedź na pytanie kim jesteś.
Autoryacja zaś ma zagwarantować pewne uprawnienia. W przypadku banków gwarantujesz na przykład transkacje poprzez autoryzację mobilną.
Wlasnie brakuje aktualnie w U2F/FIDO2 mozliwosci autoryzacji transakcji (brak kontekstu - trudno cos wyswietlicz na kluczu). Ale sprawa moze ulec zmianie z pomoca Passkeys (tam juz dzis na upartego mozna wcisnac kontekst)
Jaka jest różnica między fido, a na przykład ssh-key?
Jeżeli programiści opracowali szyfratory, to adekwatnie i możliwość deszyfratory. Wystarczy, że któryś ze zwolnionych pracowników firmy, nagle przestanie być lojalny. To prawidłowość stara jak świat, niczym rakiety i antyrakiety. Wojna trwa nadal.
masz bdb dobre materiały
Niestety pierwszy raz minusuję Twój materiał - brak informacji co się dzieje w przypadku awarii/utraty urządzenia przechowującego klucze.
Czy klucz U2F jest bezpieczny i czy da sie go zlamac lub jakos przejac gdy uzywamy go do uwierzytelniania lub jako haslo
idealny przykład dlaczego zabrakło wyjaśnienia kryptografii asymetrycznej. Jest bezpieczny bo właśnie nie da się go przejąć. Klucz prywatny nigdy nie opuszcza urządzenia przesyłamy tylko klucz publiczny i weryfikację że go posiadamy. To nie jest hasło działa kompletnie inaczej. Ciężko to szybko wytłumaczyć więc jak chcesz dokładnie wiedzieć sprawdz jak działa kryptografia asymetryczna pod względem logicznym i/lub matematycznym (np RSA)
@@BxOxSxS Złamać można, bo jest z plastiku. Przejąć też można, tak samo jak każdą inną fizyczną rzecz. Jeśli podejdzie do ciebie miły człowiek z nożem lub kijem w ręku, to sam oddasz.
@@szmonszmon nawet jak mu dasz to klucze prywatne są zaszyfrowane i bez pinu nie odblokuje go. No wiadomo jak będzie odpowiednio niemiły i znał się to też może zdobyć ale to nie jest problem technologiczny
XKCD odcinek 538 :)
Autoryzacja operacji w mBanku wygląda tak, że po zapoznaniu się w aplikacji co autoryzuję muszę wklepać pin. Jeszcze jak jestem w domu to luz, ale jeśli jestem w miejscu publicznym to zawsze rozglądam się czy w okolicy nie ma kamer i kombinuję jak zasłonić co wpisuję. W takich właśnie przypadkach z pomocą powinien przyjść kluczyk.
mozesz tez wlaczyc autoryzacje lokalna biometria - jest opt-in.
@@mszary Faktycznie, miałem tylko włączone przy logowaniu. Dzięki.
Mała prośba, wrzucaj w piątki lub soboty. Niedziela do dzień przygnębienia, bo następny dzień ro poniedziałek.
Microsoft, alphabet.. jakos zaswiecila mi sie czerwona lampka
Standard jest otwarty. W tym przypadku wspieńcie tych firm daje tylko plusy w postaci adopcji i rozwoju. Podobnie jak z wolnym oprogramowaniem jak linux. Te firmy mają w tym interes ale użytkownicy tylko na tym zyskają. Zawsze powtarzam nie ufasz patrz w kod jeśli potrafisz, jeśli nie otwarty kod daje większą szanse że ktoś kto się zna go zweryfikuje. Nitrokey ma zarówno otwarty firmware jak i cały projekt hardwaru swoich kluczy
@@BxOxSxS moim zdaniem przystapily do tego projektu aby miec znaczacy wplyw na jego finalne uksztaltowanie sie i zasady dzialania. Jesli ms i google wloza najwiecej kasy w rozwoj systemu to tak na prawde do nich bedzie nalezec ostatnie slowo na jakich warunkach bedzie dzialal system autoryzacji
@@firststrikez9840 trochę tak ale nad wszystkim dalej czuwają niezależni eksperci. I tak jak mówiłem wszystko jest otwarte i wygląda to naprawdę solidnie. Zawsze na takie rzeczy trzeba uważnie patrzeć i tu się zgadzam ale samo skreślenie pomysłu bo te firmy się tym zainteresowały jest nieopłacalne dla użytkowników
@@firststrikez9840 w tym wypadku to naprawde bardzo dobrze. Bez wsparcia najwiekszych (w tym wypadku IMO najwiecej popychaja Google, Apple oraz Microsoft) masowa adopcja moglaby nie nastapic. Dopoki standard jest otwarty, ja bede spal spokojnie. MS np. bardzo wspiera popularyzacje rozszerzenie do FIDO2 (hmac-secret), dzieki ktoremu klucze nie tylko umieja podpisywac, ale tez szyfrowac. Potrzebne to bylo MSowi, a skorzystamy wszyscy :)
najważniejsze aby społeczność zawsze miała nadzór nad technologiami korporacji, gdyż Nie wyciska tylko to co zawsze jest publicznie kontrolowane.
Czyste dane biometryczne na zawsze powinny być święte
Amen :)
@@mszary amen :)
A co w przypadku utraty klucza prywatnego gdy telefon szlag trafi - kaplyca ?
Odcinek chyba był nagrywany latem bo tak wam ciepło xd
Rozwiazanie toporne - drugi klucz w sejfie. Rozwiazanie zgrabniejsze - Passkeys :)
Ja lubię toporne z czego klucze są malutkie więc wolę 3.
@@MateuszChrobok tez korzystam z wariantu topornego, ale wrzodem na tylku jest utrzymanie kluczy "in-sync" :)
❤❤❤
A jaki w porównaniu z FIDO jest poziom bezpieczeństwa menedżera haseł bitdefendera?
Menadżery haseł wciąż bazują na hasłach, czyli na współdzielonym sekrecie. PIN jest o tyle lepszy, że jest przypisany do urządzenia, wiec choć kilku znakowy, to nie jest przechowywany w żadnych bazach, które można wykraść. FIDO to kolejny krok. Tożsamość zabezpieczana jest kryptograficznie i zapisywana tylko na twoim urządzeniu. Nie ma więc możliwości, że zostanie ona wykradziona z jakiejś bazy (jak hasło).
Jestem zawiedziony. Nawet o szachach było a o FidoNecie nie było...
A czy da się tanim kosztem mieć uwierzytelnianie biometryczne na komputerze stacjonarnym? Jakiś czytnik odcisków palca na USB, czy coś? Chętnie bym się w takie coś zaopatrzył, a jak sobie pomyślę o komputerach przyszłości, gdzie logowanie warunkuje położenie dłoni na myszce z czytnikiem w lewym klawiszu, to jakoś mi się cieplutko na serduszku robi.
klucz u2f też da się ominąć na przykład złośliwym oprogramowaniem które skopiuje dane z przeglądarki do innej i cóż no lekka lipa
mnie się kiedyś chciało, Novel, kilkudziesięciu użytkowników, hasłą nie były ciekawe, tylko jedno brzydkie słowo
mnie obowiązywało coś więcej niż tajemnica spowiedzi - przyzwoitość
ja bym chciał zaszyfrować dysk zewnętrzny ssd bez bitlockera i na systemie bez modułu tpm [więc też odpada]. a testowałem wiele i nic nie działa jak trzeba :D
Veracrypt?
Zawsze jest hasło od sprawdzonego veracrypt lub luksa. Luks wspiera odblokowanie poprzez standardy fido. Bitlockerowi i windowsowi nie ufałbym do jakichkolwiek poważnych rzeczy chociaż lepsze to niż nic
@@BxOxSxS hmm, luks wydaje się świetny. No ale mam tylko windowsa wszędzie... Poczytam o tym, dzięki wielkie!
Vera Crypt próbowałem, ale oni z teog co pamiętam mieli darmowy trial, a potem już płatne. Nie chciałbym płacić za odblokowanie własnych danych po czasie kiedy się kończy okres próbny.
@@BaNuj Coś pomyliłeś bo veracrypt jest darmowy z otwartym kodem. Jeśli używasz Windowsa to najbezpieczniejsze rozwiązanie
@@BaNuj Veracrypt jest darmowy. To następca Truecrypta.
a czy FIDO to nie było kiedyś... niech ktoś przypomni
a bylo, bylo - BBSiki trzymajace sie za modemowe raczki :)
no i jak tam juz rozwiazano ta zagadke z odbiciem w okularach?
Jeszcze nikt do mnie nie napisał z poprawną odpowiedzią
@@MateuszChrobok to rzeczywiscie trudna sie wylosowała
Który to odcinek? Postaram się podjąć wyzwania. Miałem to w planach ale zapomniałem
@@BxOxSxS o odczytywaniu z okularów
@@MateuszChrobok Dobra po dwóch dniach prób poddaję się. Sprawdziłem kilknaście sztucznych inteligencji do debluru wykrywania tekstu itp. I oczywiście z oka. Te ostatnie litery są za mało widoczne przez kontrast oraz za mało pixeli (720p jpg nie oddaje) Jak się komuś uda to będę pod wrażeniem bo w żadnym z modeli których używałem nie było aż tak trudnych przykładów
🎉
Fido to był ludzik z 7upa ;)
Fido Dido rules 🤘🏼
@@AntoniAmericaLatina Dido to ta laska od emenemsa? ;)
szkoda ze nie pokazane jak to dziala na jakims przykladzie
Czesc
I czołem
Tyle że jest problem: klucz sprzętowy można ukraść (albo zgubić), odcisk palca podrobić np na podstawie tego co ktoś dotykał.
Obecnie dodatkowym zabezpieczeniem było hasło właśnie. Innym wariantem jest klucz sprzętowy wymagał PINu (mają one takie funkcje), ale znowu: PIN to też rodzaj hasła.
PIN to zupelnie inna para kaloszy :) Uzywany lokalnie, podlegajacy mechanizmom antybruteforce'owym, przede wszystkim niewspoldzielony "na zewnatrz". Na zgubione/skradzione klucze rozwiazaniem sa Passkeys (w skrocie obiekty FIDO2 migrujace pomiedzy zaufanymi urzadzeniami, np. via iCloud)
klucze prywatne są zaszyfrowane w środku właśnie pinem więc jeśli po stracie po prostu go usuniemy z serwisów to jesteśmy bezpieczni. Samo złamanie takiego pinu wymaga dość sporo czasu (w obecnych czasach). Wiadomo nie ma idealnego rozwiązania szczególnie jak się go źle używa ale to zdecydowanie jest bezpieczniejsze
@@mszary Mechanizmy brutforcowe w takim wypadku nie są realne bo można skopiować zaszyfrowaną pamięć i lokalnie próbować złamać. Ale daje to kosztowna operacja
@@BxOxSxS nope, w zadnym wariancie FIDO nie jest PIN uzywany do szyfrowania informacji (za mala entropia). Klucze szyfrowane/derywowane sa wylacznie przez jeden "secret", unikatowy dla danego egzemplarza, a PIN jest wylacznie mechanizem kontroli dostepu.
@@BxOxSxS ;)
Czy zacząłeś używać AI do obróbki dźwięku? Uważam, że brzmi to nienaturalnie i znacznie gorzej, niż dobrze nagrane audio które zwykle oferowałeś. Jak dla mnie AI jest świetną opcją, gdy trzeba naprawić nagrane audio którego nagrania nie można lub nie chce się z powodów dowolnych powtórzyć, a trzeba znaleźć jakieś ewentualne rozwiązanie.
Podoba mi sie dlugosc filmu - pewnie przypadek 😉
1337
Ok
Jakby się wszyscy zaszczepili to już by haseł nie było hehe
First :D
o/
StrikeZ ;)
mObywatel? = System Kredytu Społecznego niebawem.. od UE.
Sranie
1337