Passkeys - budoucnost bez hesel (nejen) podle Apple
ฝัง
- เผยแพร่เมื่อ 7 ก.พ. 2025
- Kde objednat Apple produkty? istyle.cz
#WWDC #passkeys #biometrika
🔥 Odběr kanálu
/ @petrmara
☝🏼 Doporučené aplikace, služby a gadgety, které používám, včetně slev ☝🏼
👉🏼 kit.co/petrmara 👈🏼
Odebírej můj newsletter
👉🏼 www.petrmara.c... 👈🏼
Více:
Merch - mementomori.pm
/ petrmara
petrmara.com
virtualnikomuni...
/ petrmara.page
/ petrmara
Kamera & Střih: Marek Vaňourek
Hudba: Artlist - artlist.io/Pet...
![Jak funguje Apple Klíčenka? [4K]](http://i.ytimg.com/vi/ASIICT4N3xA/mqdefault.jpg)
Žádná seriózní služba nezná heslo uživatele, pouze hash.
Bohužel část služeb používá k hashování hesel stále staré standarty jako je MD5.
Implementace Passkeys může vyřešit spoustu bezpečnostních hrozeb od útoků Man in the middle až po techniky sociálního inženýrství.
kéž by...
@@tomas35101 Tak pokud se nepletu, Man in the middle to z principu vyřešit nemůže, přinejmenším pro přístup do té jedné služby (pochopitelně pak to "heslo" nebude použitelné jinde, protože tam bude vygenerované jiné... ale generování náhodných hesel se dá dělat i bez biometriky). Nepřijde mi, že by to přinášelo něco extrémně revolučního oproti současnému stavu, kdy si člověk generuje náhodné heslo pro každou službu a to následně zadává z password manageru své volby.
@@Santuaa přidává to jednoduchost pro běžné uživatele.
@@tomas35101 Nikdo už snad nikde nepouživá MD5. Ale asymetrické šifrování je spíš důležité kvůli phishingu nebo man-in-the-midle.
Já bych se jen děsil toho, že se budou přes iCloud synchronizovat privátní klíče tím způsobem, že při ztrátě hlavního hesla půjdou obnovit. To pak vše padá na tom jestli iCloud zůstane bezpečný.
Skvělé shrnutí a vysvětlení celé této metody, díky za to 👍
Jinak třeba Microsoft jede passwordless už asi rok. A je super, že se přidávají další.
Mě by teď zajímala jedna věc. Budu používat passkeys například pro email. Na apple produktech to bude fungovat v pohodě to chápu, ale co když se budu potřebovat přihlásit na jiném zařízení kde nebude k dispozici biometrika?? Třeba PC v práci?? Jak bych se přihlásil?? Kdyby standartním způsobem, tak by Passkeys trochu postrádalo smysl ne??
4:00 od toho jsou šperháky :D navíc vrtačka a kladivo to jistí, cihla taky funguje
ahoj, prosim te co rikas v 1:25 je blbost, heslo k tve sluzbe vis ty, ale ne ta sluzba (pokud teda neni spatne napsana), NIKDO neuklada ve sve DB tvoje heslo, uklada se jen hash tveho hesla, princip je nasledujici:
1. pri registraci zadas heslo, web spocita hash tveho hesla a ten si ulozi do db
2. pri loginu napises name & heslo, spocita se hash zadaneho hesla a ten se porovna s hashem v db co ma sluzba ulozene v db a pokud sedi pusti te dovnitr
mimochodem proto kdyz nekdo chce hacknout tvuj account, jeho jedina sance je postavit web ktery vypada stejne jako login form co znas, nebo nejak cist tvoji klavesnici, protoze NIKDO nezna tvoje heslo, jen ty
Bude to skvělá metoda. Přesně to se používá prostě při SSH komunikaci na gh třeba kdekoliv. Ten otisk private key je asi nejjednodušší možný způsob ochrany.
Normálně při SSH komunikaci si uživatel pro danou službu (nebo skupinu služeb) SÁM vygeneruje pár soukromý/veřejný klíč a službě poskytne jen veřejný klíč. Soukromý si drží doma v bezpečí a zcela určitě si ho nezálohuje na servery stejné společnosti (např. Apple / iCloud), které dal ten klíč veřejný.
Navíc pokud se chce hlásit někam jinam, tak si snadno udělá úplně jiný pár soukromý/veřejný klíč a pro používání té jiné služby používá ten jiný pár. (tady si jako vyměním obličej, nebo co?)
A kdykoli má dojem, že by mohlo dojít k nějaké kompromitaci, tak si vygeneruje zcela jiný pár a tím stávající nahradí. Přičemž stačí nahradit (nebo zrušit) jen tam, kde to je potřeba (třeba odcházím ze služby, z firmy, měním telefón ... tak stačí změnit/smazat klíče pro danou službu/firmu/telefón a nemusím měnit všechny dalšé, které kde používám)
Tak tohle není žádný nový objev. Klasické ssh klíčce se používají už dlouhou dobu, třeba na GitHubu je to standard. V tomhle případě jde jenom o hezké uživatelsky přívětivé řešení, což je hlavní doména Apple. Docela bych ocenil, kdyby k tomu svému řešení přidali i možnost používat místo biometriky nějaké master password s tím, že na pozadí to bude probíhat stejně.
Skvěle shrnuto a vysvětleno 👏🏼
Hezké video, díky.. akorát sem zvědavej jak se vyřeší podpora kompů s windlema, pro někoho je obtíž i zapojit myš do USBčka... dále když se teda budu chtít připojit na netfflix na televizi, tak pujdu metr k televizi, kdemě nasnímá nějaká kamerka za 2000 Kč kterou si budu muset dokoupit...? co v autem, budeme si přidělávat mini kameru na volant a zapojovat ji kabelem abychom nastartovali? spíš se těším na dobu kdy už tyhle otázky budou vyřešený, až si budu chtít zahrát call of duty na kompu s windowsem/TV, tak ať se třeba podívam do telefonu (kterej už tu kamerku má) a pustí mě to do hry.
Ta mikina to je novej merch Metr Párna?
Výborné a srozumitelné video jako vždy děkuji.
Doufám, že se to posune co nejdál, jako telefon už má prakticky každý a nosí ho furt. Takže bylo by super mít telefon a přes to naprosto všechno odemykat (jak na internetu, tak fyzicky dveře, auta) platit, státní služby jako ID, řidičáky, atd..., pak to posunout do hodinek a brýlí. Další fáze čip v ruce a kontaktní čočky co umí promítat informace, no a nakonec augmentace fyzického těla. Stejně to tak dopadne, pokud se teda všichni nevyvraždíme 😊 Peace ✌
Uz davno mame hw tokeny, synchronizovane passkeys lepsi nez obyc heslo, to asi ano
Takže v podstatě něco jako Windows hello, díky kterému se můžu přihlašovat do různých apliakcí a podporovaných webů (např MS účet, Bitwarden atd.). Chápu to správně?
Nemyslím to špatně, i kdyby to fungovalo naprosto totožně (což pravděpodobě nebude) tak je to super krok. Protože čím více firem/zařízení to bude podporovat, tím více webů/aplikací to bude využívat.
A co budu dělat kdys se budu u hosta a budu 😂se chtít přihlasit na seznam na počitači jinem❤❤❤
Super vysvětlení 👌🏻
Už 10 let webové služby si neuchovávaji hesla. Pouze hash. Hesla tedy již ukrást nelze... Z hashe heslo zrekonstruovat nelze. Pouze lze spočítat hash z hesla...
Když se použije špatný druh hashe, tak to jde docela lehce hrubou silou. A podle mě dost serverů bude požívat něco jako SHA místo třeba Bcrypt, protože spousta firem bere IT security jako něco, co se dělá jen okrajově.
zajímaví koncept, určitě v tom vidím budoucnost víc než ve jménech a heslech
Supr a velmi zajímavé video!
1:35 takhle se ze serveru heslo nedá dostat. Správně implementovaný přihlašování neumožní získat heslo ani hubou silou, když je delší než ±9 znaků.
Zalezi na matlacich na strane serveru;)
U BTC platí, že pro správnou bezpečnost, nesmí být privátní klíče online, stejně tak seed, což jsou v podstatě privátní klíče.... Proč by v Apple produktu mělo být OK, mít privátní klíče online...? Není zrovna tohle díra v tom systému...? to už je lepší znát to heslo a nikam gho neukládat + mít 2FA
Díky..
Dobrá služba nezná heslo uživatele a z útoku na danou službu není možné heslo uživatele zjistit...
Ale tady se mluví o Apple, takže soukromé heslo se uloží na jeho iCloudu, ale ty ho znát nebudeš.
Sluzba by nemela znat heslo, ale pouze jeho hash, coz je jen jakysi otisk hesla. Pokud sluzba pouziva spravnou hashovaci funkci, tak by nemel tolik vadit i pripadny unik techto otisku, protoze z toho otisku to heslo uz “nikdo” a “nikdy” nedostane.
Uzivatel sluzby nema nikde garantovane to, ze poskytovatel naozaj heslo neuklada ako plaintext. Moze len verit, ze to poskytovatel nerobi a prave to je to riziko.
@@marekpukaj9529 Proto pisu “nemela”. :)
Ja by som bol veľmi rád. Vyzerá to veľmi zaujímavo. Len ja stále na prácu používam Windows PC a neviem ako sa budem prihlasovať do služieb, keď tam nič také na otlačok alebo tvár nebude
Apple to prezentoval že použiješ kameru na iPhone - naskenuješ QR nw Windows a FaceID ťa overí alebo niečo na tento spôsob.
@@marekd2733 a co když ztratím, rozbiju Iphone - řekněmě, že týden budu bez telefonu a pak se budu muset přihlásit někam na PC třeba. 🤔😀 to jsem v prdeli co? 😀
Microsoft už 1-2 roky nabízí přihlašování bez hesla, kdy vám přijde jenom notifikace a tu přes biometriku potvrdíte + vyberete jedno ze 3 čísel které vidíte na té přihlašovací stránce. Chtějí tento způsob preferovat, zatím je pouze dobrovolný. Záleží jenom pak na firmách jestli si přidají podporu pro tento způsob, je to vlastně oAuth, který už normálně běží, akorát není potřeba hesla. To co je popisováno ve videu, je další možnost, která je podobná principu FIDO klíče, akorát tady se využije přímo pro přihlášení a né jako další faktor ochrany.
ten web jako seznam nemusi a v idealnim pripade NEZNA heslo :) zna jen jeho hash... coz je rozdil :) takto receno si mohou mnozi myslet, ze velke a zodpovedne firmy uchovavaji hesla v plaintextu :)
Zdravím, mám otázočku. Keby som si kúpil Macbook v USA a doviezol na Slovensko, bol by nejaký problém s aktualizáciami, jazykom klávesnice/systému alebo niečo iné?
Vše v SW je v pohodě, jen potisk klávesnice zůstane. :-)
Passkeys v podání Applu trošku smrdí vendor lockem. :)
Jediný problém mám s tím když mám ověřovací aplikaci. A když třeba ztratím ověřovací zařízení... Pak už mi zbývá jen záložní hesla ale to je něco co musím mít někde uloženo/je s tím práce. Ale myšlenka mít všechno na otisk/biometrii je zajímavá. Vyděl jsem že se dá udělat falešný prst z otisku např. na sklenici kterou nechám někde v restauraci Takže nevím no... Jestli je to výhra.
Ale k tomu falesnymu prstu potrebujes i to zarizeni, ktere chces odemknout. Takze vlastne je to hodne podobne dvoufaktorovemu overovani :D - potrebujes prst toho dotycneho + telefon. Pokud lidi pouzivaji face id, tak by jsi potreboval udelat odlitek oblicej coz je uz komplikovanejsi nez otisk prstu a urcite casem se to face id bude zlepsovat, nekde jsem cetl, ze budoucnost je i ve snimani oci - tak si dovedu predstavit, ze face id ti bude snimat oblicej, oci a k tomu treba se prida i otisk prstu a neco takoveho oblbnout uz bude dost problematicke. Uvidime :)
@@Daidalos66 Aha díky za info.
Chápu to správně, že si mě Apple vyfotí, z toho nějak odvodí soukromý a veřejný klíč (které mi ale neprozradí), veřejný odešle do Applu, aby se tam dalo nahlásit a soukromý tam pošle taky, aby se dal obnovit ztracený iPhone, takže ve výsledku má celý pár Apple a já nemám nic, takže Apple, nebo kdokoli ho hackne, tak se za mě může vydávat? To mi nepřijde zrovna bezpečné ...
Nemluvě o tom, že jestli to chtějí pokaždé generovat z aktuální fotky, takže když se nalíčím jinak, vezmu si čočky jiné barvy, změním účes, nebo barvu vlasů, tak se to se mnou už nebude bavit? A až trochu zestárnu, tak se to bude bavit jen s mojí mladší ségrou, o který už teď všichni tvrdí, že na mých starších fotkách je ona, nikoli já?
Nevím, jak teda eliminuje tato funkcionalita MITM attack, když záškodníkovi podepíšu libovolnou challenge a pošlu mu ji, prostě se s ní přihlásí do mojí služby. Ale obecně je tohle krok k lepší UX, to rozhodně.
Nebude to implementovaný spíš jako autorizace k serveru Applu on-line. Tam MITM funguvat nebude, ale je potřeba připojení k internetu.
Jestli to je jen nadstavba nad WebAuthn, které je v prohlížečích už delší dobu, tak by to mělo být v pohodě. Passkeys mi připadá že jen budou synchronizovat přes iCloud ty privátní klíče.
7:00 kromě všech policií všech zemí a států, interpolu, CIA, FBI,NSA,MOSADu,...
A co si myslíš o variantě využití pro přihlášení přes blockchain? Například XRP Ledger. XUMM aktuálně takovou možnost nabízí (Sign In přes OAuth2). Funguje pak jako identity provider. Je to rychlé a bezpečné. Ve spojení s tangem kartou pak velmi bezpečné. Žádné hesla ani klíče nejsou v telefonu uloženy. Jsou na externí kartě.
Tvrdil jsem že mi nezajímá a kouknu jen jakou si měl při natáčení vnitřní náladu 😇😀 ale je dobrý to vědět tedy srozumitelná a jasná informace kam nas Matrix Tlačí 😇😂 koupit si biometrickou předraženou placku ..... Žádná veřejná knihovna s internetem již nebude odemčená přihlášením se po staru😀 my dolnich 9 milionů to opláčeme
čtečka otisku prstu stojí doslova pár korun
@@cukrman1 no biometrická obličeje trošku více jen jsem zlobil i to zlevní pro dolních milion co brání se proudu času
Ten spatnej color grading v 0:16 je teda hodne do oci bojici :/
😀
Do dneška nechápu, proč někdo nosí brýle, když je nepotřebuje. 🤷♂️ Byl bych šťastný bez nich.
Vo videu ste to rozobrali rozumne s trochu komplexnejším pochopením. Moja spätná väzba je ako pozitívna tak negatívna. Pozitívna zo stránky efektívnosti a praktičnosti čo sú pre mňa veľmi zásadne veci do budúcnosti. Negatívna stránka je v celom tom pochopení ako by to malo fungovať. Je strašne veľa otázok ktoré ešte nie sú zodpovedané ohľadom registrácií takých účtov a samotné spravovanie. Pokiaľ sa do budúcnosti dočkáme praktických ukážok všetkých funkcií, tak sa na niečo takéto veľmi teším. (Samozrejme so zachovaním aj starších spôsob prihlasovania a registrovania pre užívateľov ktorím by to nevyhovovalo.)
Princip PGP 1998 nez to zazdil Mikrosoft ...
YubiKey ;)
Nedokážu si představit mít soukromé klíče mimo svoji kontrolu... Rovněž by mě nikdy nenapadlo dávat privátní data na icloud, google disk a další... Fakt ne a striktně nikdy. To je tak maximálně na hudbu a filmy... ;)
Už, aby to fungovalo všude ... :)
😇😇😇💜💜💜
Takže v podstatě PGP
ve skutečnosti WebAuthn + icloud keychain
Díky za pobavení k večeru... synchronizace soukromých klíčů do cloudu, uzavřený systém, předpokládám, že časem i placený... No, prostě pokrok jako prase. Typický Apple. Transparentní tím, že je uzavřený...
servery nemaji ulozeny hesla ale jen jejich hashe
ok
Tohle je fakt dobrý. Ale já třeba nerozumím tomu že samsung to už má dávno... ale jak to tedka dal appel tak najednou vaaau bomba to je to tady ještě nebylo!... tomuhle nerozumím
Samsung užívám už léta, ale že by měl něco na tomto principu nevím.
@@MnemonicQuest no má samsung Pass není to úplně stejný ale velmi podobné.
@@petan7391 To je něco úplně jiného, jde jen o automatické vyplnění loginu a hesla pomocí hesla (myšleno do Samsung účtu) či biometriky Samsungu, v podstatě jde o to, že používáte jeden přístup na vše, ale Samsung jen vyplní heslo za Vás, stejnou funkci má i Apple nebo Google v Chromu, s tím, že Vám při zakládání nového přístupu někam vygeneruje silné heslo, které si rovnou uloží.
Vůbec jsem to nepochopil 🤷🏻♂️