Ricercatori di sicurezza informatica scoprono un set di dati contenente 26 miliardi di record trapelati – Professionisti IT – Notizie

Footlock ha scritto:

Qual è la situazione attuale con le passkey?

Sta andando lentamente, per diversi motivi (mi vengono in mente rapidamente):

1) I siti Web che non supportano WebAuthn per le chiavi hardware FIDO2 avranno molto lavoro da implementare e testare.

2) I problemi iniziali non sono stati ancora risolti. Non è difficile eliminare tutte le passkey memorizzate in Google Password Manager su uno smartphone Android in una volta sola, senza bisogno di un backup successivo. Posso riprodurre che puoi sabotare la sincronizzazione con un altro dispositivo (solitamente nuovo) (ho scoperto come ciò sia possibile dopo che mi è successo per sbaglio durante i test).

3) Solo se tutti i principali gestori di password supportano le passkey, si spera di non rimanere bloccati da un fastidioso blocco del fornitore. Si spera che tu possa anche eseguire tu stesso il backup delle chiavi private per le tue passkey, ma questo in realtà va contro la tua filosofia te stesso Non dovrebbe essere possibile accedere.

4) Ciò che ho scritto ai punti 2 e 3 significa che chiudere il conto non è falso. Proprio per questo motivo è necessario disporre comunque di un metodo di accesso alternativo Appena Resistente al phishing (ad es. codice di ripristino).

5). Non esiste ancora uno standard stabile per l’autenticazione web, inoltre ci sono possibili differenze di interpretazione che esistono anche nella pratica, come ad esempio l’opzione (a mio stupido parere) “preferita” per alcuni parametri.

Apple nega che si tratti di un bug, ma se imposti l'impostazione “Compilazione automatica password” nelle impostazioni del tuo iPhone/iPad in “Touch ID e passcode” Al di fuoriSpostarsi (in questo caso Sempre Se non usi Touch ID e magari anche se non usi Face ID), posso farlo su alcuni siti web Accedi con passkey senza dati biometrici e senza passcodeattivando il campo di input per l'ID utente (questo si chiama Interfaccia utente WebAuthn condizionale” situazione).

Questo vale almeno per molti siti demo https://webauthn.io E https://passkeys-demo.appspot.com (In entrambi devi prima creare un account falso).

La ragione di ciò, secondo Apple, è che questi siti utilizzano l'impostazione “preferita” predefinita per la verifica dell'utente (in webauthn.io posso impostarla su “richiesto” e funziona ancora, non so perché).

Non posso farlo su GitHub, ma non so se GitHub risolverà in qualche modo questo problema.

5) Enfasi eccessiva sull'utilizzo Crittografia asimmetrica; La cosa più importante delle passkey è che il software verifica il nome di dominio del sito Web, il che rende molto difficile il phishing (anche i buoni gestori di password fanno lo stesso).

6) Raramente è rilevante, ma succede che i siti falsi utilizzino un nome di dominio noto e abbiano ottenuto (erroneamente) un certificato per esso. In questo caso, Passkeys e FIDO2 forniscono le chiavi hardware NO protezione.

Footlock ha scritto:

Ciò impedisce tali violazioni/fughe di dati?

La prevenzione non è certamente possibile e il tuo segreto di accesso non dovrebbe essere la prima cosa di cui preoccuparti dopo una fuga di notizie.

Se la chiave pubblica di una passkey finisce per strada, in teoria ciò è meno rischioso rispetto alla derivazione forzata di una password forte e unica.

In pratica, un utente malintenzionato potrebbe aver sostituito la tua passkey pubblica con la propria o aggiunto una chiave aggiuntiva, quindi questa pratica è più difficile.

Footlock ha scritto:

Penso che al giorno d'oggi poche persone cambino la propria password (regolarmente), anche se sempre più persone sono consapevoli dei rischi.

Ciò non è affatto necessario se utilizzi password complesse e uniche (cosa quasi impossibile senza un gestore di password).

Addendum 23:44: il bug Apple che hai menzionato non è stato ancora risolto in iOS 17.3.

[Reactie gewijzigd door ErikvanStraten op 22 januari 2024 23:44]