Wspomniane linki daję też tu: 📖 ebook od @secfense Czym są passkeys i jak skutecznie wdrożyć logowanie bez hasła w organizacji? secfense.com/pl/passkey 🔥 Live we wtorek 28.05.2024 ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-Jzidve3w6tY.html 💬 Kontakt do @secfense aby umówić się na spotkanie secfense.com/pl/kontakt/
Mateusz, bardzo lubię Twoje materiały i ten też jest bardzo interesujący ALE: Mówicie, że chcecie popularyzować temat do osób spoza IT a mówicie językiem i w sposób, który ludziom spoza IT i pewnie też połowie ludzi z IT nie pozwoli na zrozumienie tematu i raczej ich tylko zrazi do tematu.
Dlatego liczymy między inny mi na Ciebie :) Ty zrozumiesz nas i możesz ewangelizować dalej. Moja mama na przykład za chiny ludowe tego filmu nie obejrzy - nawet gdyby nam AI podłożyła głosy z M jak Miłość. Ale moja w tym robota, aby przejąć jej telefon, zrobić co trzeba i oddać mając poczucie, że jej cyfrowe życie jest choć odrobinę bezpieczniejsze. Idź i głoś! :)
31:00 Wyjątkiem jest tutaj bitwarden który przy eksporcie uwzględnia passkeys. O ile może nie jest to zgodne ze standardem tak po prostu jest co potrafi być wygodne
Trzy pytania: 1. Które polskie banki wspieraja passkeys? Jest jakaś lista? 2. Co w sytuacji gdy musimy oddać smartfona do serwisu i Pan serwisant prosi o odblokowanie urządzenia do celów serwisowych? 3. Co w sytuacji gdy smartfon nam padnie definitywnie (np całkowite zniszczenie)?
No właśnie przydał by się jakiś pokaz jak z tego korzystać. Jakieś pierwsze odpalenie telefonu i komputera, no Windows i iPhone. Pokazać jak to ze sobą synchronizować, jak zalogować się na jakimś nie naszym komputerze, jak udostępnić komuś poświadczenia do zalogowania się w naszej usłudze. Potem zmiana telefonu i komputera np. na coś na Androidzie i inny komputer z Windows albo iMac. Takie zwykłe życiowe zadania.
Uwaga errata: PGP (Pretty Good Privacy) to jest technologia szyfrowania danych. GPG (GNU Privacy Guard) to jest Aplikacja, która wykorzystuje PGP do szyfrowania danych. Tak wnioskując z między zdań mam wrażenie, że prowadzący mylą. Ale bez obaw. Przed kamerą i dodatkowo w miłej atmosferze, którą zapewnia Mateusz, nikt się nie spina i nie waży słów. Tak że takie przejęzyczenia potrafią się pojawiać. Tak tylko erratę chciałem zgłosić. PS. dobry wywiad.
Mylisz się. PGP to aplikacja do szyfrowania i podpisywania tekstu i plików, wykorzystująca technologię kluczy asymetrycznych RSA (chociaż do szyfrowania można też użyć kluczy symetrycznych). Program PGP powstał w 1991 r., a jego autorem jest Phil Zimmermann. GnuPG jest oprogramowaniem, które też wykorzystuje metodę kluczy asymetrycznych, ale spełnia standard OpenPGP i jest wolnym oprogramowaniem na licencji GPL.
17:55 "uwierzytelnianie to gdy weryfikujemy czy możemy wejsc, a autoryzacja to do czego" Mnie uczono (za Azura to było) że AuthN (authentication, uwierzytelnianie) służy do weryfikacji tożsamość - czyli że jestem (mam) tym Identity za która się podaje. Z kolei AuthZ daje dostęp do czegokolwiek. Przykładowo mogę zostać poprawnie zweryfikowany przez Identity Provider'a, ale nie mieć nigdzie dostępu - bo np conditional access mi zabrania.
Puk puk (sending request) - Kto tam (start uwierzytelniania) - Odczyt gazu Patrzę przez kuklok, weryfikuje że gość ma plakietkę ze spółdzielni (2FA) czy co tam teraz noszą gazomajstrzy (weryfikacja pomyślna) - Słucham? (Kontynuuje komunikację) - Czy mogę wejść, chcę sprawdzić czy Pan nie wybuchnie. (Request o autoryzację, prawo do wejścia do mieszkania) - No dobra, tylko założę majtki (przygotowanie Landing zony xD) To są dwa różne procesy - w przykładzie z gazem i majtkami (hehe) Identity Provider i Zasob do którego jest Request (moje mieszkanie i kuchenka) były w jednym miejscu. Ale często jest tak, ze AuthN prowadzi jeden provider (Azure, Facebook, Google), a AuthZ jest po stronie innego serwisu.
Nie wiem czy mogę tu promować - ale jakie cuda można na tym obdrapanym stoliczku w William Rabbit & Co postawić to jest dopiero niewiarygodne. Polecam :)
Jesli mam unikatowe skomplikowane wygenerowane długie hasło to różnica miedzy nim a passkey to już bardziej filozofia niż realne bezpieczeństwo. Dalej clue problemu to zarzadzanie tym, czyli znowu potrzebny jakiś bitwarden czy coś takiego. Hasło może mieć zaletę. Dodatkowo nie mam wplywu kto zaimplementuje passkey wiec i tak ostatecznie będę miał i hasła i passkey do zarządzania. Bitwarden ogarnia oba wiec znow to bitwarden jest kluczowy a nie jaką formę sekretu wybrałem
Zwróć uwagę na to, że FIDO2 i passkeys odpowiadają na podstawową wadę haseł. Nawet jeżeli są długie, skomplikowane i unikatowe to wciąż są współdzielonym sekretem. Kryptografia asymetryczna jest z zasady bezpieczniejsza w temacie uwierzytelniania. Z pozostałymi tezami zgadzam się w stu procentach - hasła i passkeye pożyją sobie jeszcze obok siebie przez pewien czas.
Super materiał, dasz się namówić na materiał o portfelach sprzętowych kryptowalutowych? Jest ich coraz więcej, krypto influ reklamują te, z którymi mają współpracę… a jestem ciekaw jak to wygląda od strony bezpieczeństwa 😎
Wszystko, fajne i pięknie, a gdy ktoś jest politycznie niepoprawny i jest w niejawnym zainteresowaniu służb specjalnych czy innego wywiadu, to czasem dla tych służb nie jest uruchomiony "backdoor" w postaci "8h jednorazowej karty zdrapki, a może nieograniczony dostęp do bazy w chmurze"??
Rozumiem, że odnosisz się do ewentualnej możliwości obejścia silnego uwierzytelniania za pomocą kodów jednorazowych - spieszę z wyjaśnieniem. Możliwość zastosowania takich kodów nie jest w żaden sposób wbudowana w standard FIDO2 (w FIDO U2F też nie). To ewentualna decyzja administratora serwisu, czy chce taki sposób "ułatwienia" zamontować u siebie, jego decyzją będzie też czy taka "zdrapka" będzie dostępna dla służb.
A co rebranding'iem strony? Ostatni duży przykład przykład twitter -> X. Czy passkey w takim wypadku nie zablokuje takiej możliwości, bo zmusi wszystkich użytkowników do ponownego wygenerowania nowego passkey. Pewnie jakiś mechanizm "redirect" będzie rozwiązaniem.
Dokladnie tak, jak piszesz. Czasowe utrzymanie starej domeny, ktora bedzie + kampania informacyjna o dorejestrowaniu nowego passkeya (juz w nowej domenie)
Pozwolę sobie odpowiedzieć - tworzy złe nawyki, użytkownicy często tworzą potworki w stylu hasło+miesiąc a na takie patterny "łamacze haseł" są szczególnie uwrażliwione. Generalnie zależy nam na tym aby użytkownicy byli jak najmniej kreatywni ;)
No to dobry standard shakowanie to praktycznie nie możliwe póki co a przede wszystkim mało kiedy coś powstaje do ochrony głupich mam na myśli że ludzie sami dają się wszelaki sposób okraść a tutaj to jak prywatny ochroniarz.
Po ostatniej ogromnej wpadce Apple z pojawianiem się naszych skasowanych zdjęć nawet u innych, komu sprzedaliśmy urządzenie - tak to można pominąć. To takie nic. Można zaufać. Jak osoba zajmująca się uwierzytelnianiem tak mówi po tym incydencie to raczej średnio mówi o tym, że można im zaufać. Serio, mnie to zwyczajnie 'zdziwiło'. Nie ma tu nic wspólnego z paranoją - tu po prostu wiadaomo, że nie można tej chmurze zaufać. Jak można powiedzieć, ze to jest okej?
Małe wyjaśnienie - materiał był nagrany przed wpadką apple. Passkeys dopasowują się do osób z nefofobią :) Można mieć lokalne uwierzytelniacze. Ja trzymam passkeys w kilku miejscach - jak uznam, że te chmurowe przestają być dla nie w jakikolwiek sposób użyteczne, to je po prostu usunę.
@@bartoszc6157 no spoko... tylko to zwyczajnie pokazuje, że chmura nie jest miejscem, której można zaufać i fakt, że rozmówca zajmujący się uwierzytelnianiem i generalnie bezpieczeństwem mówiący, że jej ufa to tak jakoś traci u mnie wiarygodność. Podkreślam - u mnie. Może komuś to nie przeszkadza. Jednak fakt, że MOJE zdjęcia pojawiają się u kogoś innego - na moim starym sprzęcie pokazuje, że implementacja szyfrowania to jakiś żart bo go w zasadzie nie ma (skoro widzi ktoś inny z innymi poświadczeniami, skąd ma klucze do odszyfrowania MOJEJ zawartości) ORAZ kasowanie zdjęć niczego faktycznie nie kasuje bo Apple nadal je ma. To bardzo mocno podważa wiarygodność Apple i generalnie chmury. To tylko przykład co się potencjalnie może stać i ja - niezajmujący się takimi rzeczami na codzień mam ogromy dystans do chmury i na pewno bym jej nie zaufał przecieram oczy gdy osoba, która obcuje z tym na codzień, mówi, ze to jest okej. Także tak średnio bym powiedział.
Pisałem o tym wcześniej - co rusz jakiś dostawca narusza moje zaufanie. Moją decyzją jest to czy będę dalej z niego korzystać czy nie. Akurat passkeys pozwalają na dowolny wybór uwierzytelniacza. A że chmura to tylko jeden z wątków rozmowy, to mam nadzieję, że w reszcie wypocin jednak zauważysz trochę sensu :)
Jak na razie im więcej wiem o tych FIZYCZNYCH kluczykach tym mniej mam ochotę się w to bawić. Zwłaszcza kwestie braku backupów i problemy przy zgubach mnie odstraszają
FIDO2 niejako "uwolniło pojęcie" uwierzytelniacza. Przy FIDO U2F to był właśnie ten klucz, którego nie lubisz. Przy FIDO 2 to może być Twój komputer, telefon, keepass, chmura, 3rd party software., a nawet... klucz fizyczny ;)
Mowiliscie o tym ze chcecie zeby normalny Kowalski tez byl w temacie passkeys ale samo sciagniecie pdf wiaze sie zpowiazaniem z firma. Juz po raz drugi sie spotkalem z tym na tym kanale. Pierwszy raz gdy byl odcinek z sandbbox. Ja jako zwykly pracownik magazynowy nie posiadam firmy czy tez chociaz jak w sand box email-a firmowego. Jak mam to obejsc? Z gory dziękuję za pomoc
Proszę o wyjaśnienie jednaj sprawy... np Google oferuje logowanie do siebie na konto przez passkey i fajnie... Mam to już aktywne. Lecz tak jak i u nich tak na innych stronach poza aktywnym passkey jest dalej aktywne logowanie "starą" metodą, czyli login i hasło. Czy passkey nie powinno zastąpić takiej metody? Bo co mi po tym, że mam passkey włączone i czuje się "bezpieczny" skoro ktoś będzie np chciał włamać się do mnie na konto przez user i pass, czyli starą metodę.
Może takie filmiki z prezentacjami jak to się robi? Np. mam Bitwardena i co dalej? Nie mam, ale mogę zainstalować Keypassa do backupu. I co dalej? To wszystko jest zbyt niekonkretne i póki nie wiadomo jak to działa w praktyce, to na dane rozwiązanie się nie przejdzie.
Hej a jak ma sie kwestia skonfigurowania i uzywania MFA przez pracownikow niepelnosprawnych (np. bez konczyn, niewidomych, z trudnosciami ruchowymi itd)? Jest jakies podejscie ktore byloby wskazane dla takich osob?
Jak zawsze wspaniały odcinek. Zastanawia mnie to z jakiego powodu Miśki od komputerów tak często są obłożeni tkanką tłuszczową ? Nie rozumiem 70% tego co mówi łysy.
Passkeys to najwieksza dziura bezpieczeństwa jaka może być - BEZPIECZENSTWO TO ZAWSZE CO MASZ I CO WIESZ. I jeśli ktoś twierdzi inaczej to jest porostu ignorantem ( co sną zasadzie my nie jesteśmy fizykami- fizyki zostawmy fizykom my robimy. technologie - AUTENTYCZNY TEXT KTORY USLYSZALEM- ten batyskaf na pewno się zanurzy - ale juz się nie wynurzył ) Wyobraźmy sobie sytuacje - pracujesz wca worku - i poszedłeś na chwile zrobić kawę - przecież to tylko 2 stoliki stad - ( TO SA MOJE AUTENTYCZNE OBSERWACJE) i zaczynasz gadać 30. minut a komputer nie zablokowany - nie trzeba mieć. dużej wyobraźni. aby wpaść na to ze przestępcy działający parami - jeden zagaduje a drugi kradnie komouteri cyście wam konta - prawda ???
No prawda… ale nie do końca rozumiem analogię z Passkeys… Możesz sobie wyobrazić sytuację, że tankujesz auto, zostawiasz kluczyki w stacyjce i idziesz zapłacić za paliwo. A przestępca kradnie Ci auto. Kluczyki samochodowe to największa dziura bezpieczeństwa jaka może być!!! A tak na serio - passkeys spełniają standardy MFA - coś co masz to Twój uwierzytelniacz, który jeszcze musisz odblokować czymś co wiesz (pin) lub czymś czym jesteś (biometria). W Twoim scenariuszu przestępca nie zaloguje się na konta zabezpieczone passkeyem nawet na odblokowanym kompie. A jeszcze abstrahując od tego - nie zostawiajmy odblokowanych sprzętów w miejscach publicznych. Bo sposoby uwierzytelniania będą wtedy najmniejszym problemem jaki może nas spotkać…
@@bartoszc6157 Cóż niektórzy nigdy się nie naucza :-) Passkeys został stworzony do rozwiązania problemu głównie wykradania. passwd i i ch słabości - w miejsce tego zaserwował nam inne problemy . Jako osoba Kotra jakby pracowała w służbach by się baaaardzo cieszyła z tego jakbyś używał passkeys 🙂 Dlaczego - ano dlatego ze wziasc twój telefon i zmusić cie aby przyłożyć palec czy w przypadku apple nawet cie nie dotykać porostu zaprezentować. twoja twarz :-)( uprzedzając komentarze pseudo prawników -- tak zaprezentowanie telefonu przesłuchiwanemu( to twój telefon - ooo odblokował się ) nie jest. przestępstwem ani tortura w polskim prawie i może byc legalnie stosowane ) i mieć dostęp do wszystkich. twoich sekretów :-) praca stanie się dużo prostsza :-) .Nie wspomnę o zaletach zero day :-) i dostępu do. twojego telefony zdalnie 🙂 Nie wspomnę o pijanych ( każdemu się kiedyż zdarzyło ) itp Co do. twojego komentarza ze w moim scenariusz bym sie nie zalogował - to byś się zdziwił :-) - juz logowałem się nie raz i nie dwa :-) - wiec ufajmy paykess A na poważnie chcesz czas się w miarę bezpiecznie to kup bio yubi key
Wtyczki wydane przez producentów menadżerów haseł - można za ich pomocą stworzyć passkey'a w tych rozwiązaniach. Klucza sprzętowego nie potrzebujesz - uwierzytelniaczem może być równie dobrze Windows Hello jeżeli korzystasz z produktów MS, albo google password manager czy wspomniany w filmie iCloud. Do wyboru do koloru
W sumie wolę autoryzacje bankowe akurat robić na telefonie w apce dodatkowo, wiec jak dla mnie spoko. To, co mnie, leniwego człowieka o przeciętnym stopniu paranoi interesowało to taki rodzaj spętowego uwierzytelniacza, który wpinam do portu USB i mam w czterech literach i po prostu się loguję do wszystkiego, do czego potrzebuję w szybki i wygodny sposób. Żadnych anydesków nie instaluję,w iec generalnie, aby się gdzieś w moim imieniu zalogować, przestępca musiałby się włamać do mojego mieszkania i fizycznie skorzystać z mojego komputera, czy tak to działa, cza za bardzo upraszczam?
Tak to właśnie działa... W sumie user experience jest taki jak opowiadasz w przypadku apki bankowej - API przerzuca Cię do systemu, gdzie potwierdzasz swoją tożsamość (twarzą, palcem, pinem) dzięki czemu odblokowujesz token, który wpuszcza Cię do banku. Flow w przypadku passkeys jest identyczny
@@bartoszc6157 no nie do końca o to by mi chodziło. Myślałem bardziej o czyms takim, że ja raz aktywuję jakieś sprzętowe coś, wpięte do portu w moim komputerze, co odblokowuje menagera haseł/autoryzację bez haseł i po prostu bez robienia czegokolwiek magia dzieje się w tle i moje konta w serwisach się jakby same zalogowują na tym komputerze. To by było user experience, którego bym oczekiwał. Jestem, w pewnie niemałej, grupie tych osób, które nienawidzą upierdliwości, jaka wiąże się z wpisywaniem tych cholernych kodów z google autenthicator w drugim etapie uwierzytelniania, ale traktuję to jako mniejsze zło, bo braku dwuetapowego uwierzytelniania lub jakichś kodów sms to nie zniosę. Psychika mi nei pozwoli. I dlatego mocno myślę nad YubiKey. W czym PassKeys jest lepszy?
Brak wsparcia na Linuxach (albo szczątkowe wsparcie) nie oznacza, że nie można na tych systemach korzystać z passkey'ów. Wciąż masz możliwość używania uwierzytelniaczy 3rd party jak chociażby Keepass, czy SaaSowe managery haseł. Ten brak wsparcia dotyczy natywnej możliwości tworzenia passkey'ów na platformie.
Zastanawiam się, czy google keypass jest przy tym dobrym rozwiązaniem? Zabrałem się za temat i widzę że założenia są dobre a wykonanie jak zwykle. Chcesz zrezygnować z hasła w Outlook? Jasne ale musisz ściągnąć MS auth. Chcesz zrezygnować z hasła na protonie? Pewnie ale musisz ściągnąć proton pass. Przecież to idiotyzm? Do każdego skasowanego konta apka od wlasciela serwisu osobna na wszelki wypadek?
Hej - w outlooku bez problemu zarejetrujesz passkey i możesz nie korzystać z Microsoft Authenticator. Co nawet mocno polecam, bo to rozwiązanie jest podatne na phishing. Google pozwala bez problemu zarejestrować passkeye - ich implementacja jest o tyle dziwna, że przy logowaniu każą podać email - co w ogóle nie powinno być potrzebne. Potwierdzanie tożsamości (na przykład przy linkowaniu apek zewnętrznych) już jest password- i usernameless. Proton mail - nie korzystam, nie wiem czy można tylko z passkeyów z proton pass korzystać, czy również z innych uwierzytelniaczy.
@@bartoszc6157 no właśnie wczoraj ogarniałem Outlook/konto microsoft. Wymuszało zeskanowanie kodu QR w Ms auth, bez tego absolutnie nie pozwoliło utworzyć klucza i usunąć hasła. Może gdzieś niezuwazylem opcji pominięcia tego ale próbowałem kilka razy 🤔
Bo ludzie są przewidywalni i często jeżeli nie korzystają z losowych haseł z menadżerów dodają miesiąc albo mają system. Duża część popularnych łamaczy haseł ma specjalne opcje by szybciej łamać np. miesiące znaki specjalne na końcu i inne rzeczy, które jako ludzie robimy bo jest nam wygodniej.
Czy jeśli stworzymy passkey i zostanie on zapisany w jakiejś lokacji/urządzeniu, to czy można go przenieść albo zduplikować? Np. powiedzmy, że mam passkey zapisany w chmurze Bitwardena i np. chcę go przenieść do KeePassXC na kompie, albo stworzyć kopię zapasową tego keypassa. Albo chcę go przenieść na inną chmurę lub usługę, lub przenieść na Yubikey, jeśli okaże się, że Bitwarden zawiedzie na Androidzie, itp. Z hasłami sprawa jest prosta i mamy nad tym kontrolę, z keypassami nic nie wiadomo i nic nie jest oczywiste. Kolejne pytania: - Czy jeśli utworzy się keypassa do danej usługi, to czy logowanie z hasłem będzie niedostępne? - Czy da się logowanie keypassem wyłączyć? Z tego co widziałem, najczęściej jak już się włączy to nie da się cofnąć. - Jak keypass jest zapisany w bitwardenie w chmurze, a potem chcę użyć na komórce, to czy będzie to możliwe? Ze starych komentarzy wynikało, że taka opcja nie była dostępna, a ponieważ to nie hasło więc nie można sobie od tak skopiować i wkleić, usługa może nie działać?
Eksportowanie passkey'ów to dość skomplikowany temat - z mojej najświeższej wiedzy wynika, że na ten moment jest to możliwe za pomocą airdropa z jednego urządzenia Apple na drugie w tym rezerwacie. W komentarzach @BxOxSxS wspomniał o takiej możliwości w Bitwardenie, ale ja osobiście tego nie próbowałem. Kopię zapasową keepassa oczywiście możesz stworzyć - Twoje passkeye wciąż będą w pliku .kdbx. Najpewniejszym sposobem (i raczej bardziej przyjaznym użytkownikowi od eksportowania baz danych) jest po prostu stworzenie passkey'a na kilku uwierzytelniaczach. Co do kontroli nad hasłami to masz tylko połowicznie rację - masz kontrolę nad tym gdzie je trzymasz. Druga strona komunikacji posiada to samo hasło (w końcu to wspólny sekret) zapisane u siebie - nad tym już kontroli nie masz. W przypadku FIDO2 druga strona ma tylko klucz publiczny - a ten bez tego prywatnego jest bezyżyteczny. Możliwość współistnienia passkey'ów i haseł to decyzja administratora serwisu. Google na przykład pozwala włączyć opcję "rezygnuj z hasła tam gdzie to możliwe". Microsoft pod formularzem na poświadczenia ma link "inne opcje logowania". Oba sposoby w jasny sposób wskazują na współistnienie. Zakładam, że w miarę jak passkeys będą zyskiwać na popularności będzie się pojawiać coraz więcej serwisów, które będą je wykorzystywały jako jedyny sposób uwierzytelnienia. I ostatnie pytanie - jak masz passkey zapisany w chmurze to skorzystasz z niego na każdym urządzeniu, które do tej chmury ma dostęp (i wspiera standard, ale tu akurat ilość urządzeń i systemów niewspierających FIDO2 jest pomijalna).
@@bartoszc6157 Dzięki. Czyli najlepiej tworzyć passkey per urządzenie/lokacja? Będę musiał wypróbować z Googlem, ale pół roku temu Bitwarden miał problemy z passkeyami na Androidzie, dlatego pytam. Jak stworzę na kompie, to czy Bitwarden będzie mi uwierzytelniał na komórce czy nie? Jeśli będzie problem, to muszę z kompa wygenerować kolejny passkey i zapisać go na komórce, zakładając, że taką opcję będę miał dostępną... Czyli przy zmianie urządzeń trzeba o tym pamiętać i generować nowe klucze. No i teraz pojawia się pytanie, jak będzie tysiące passkeyów to jak to ogarnąć? I tutaj jak w filmie powiedziano, nie ma problemu jeśli są one w chmurze (znowu - zakładam, że Bitwarden już to ogarnął i to działa na Androidzie) i pewnie to samo jeśli mamy Yubikey czy coś podobnego. A to ogranicza nas tylko do takich rozwiązań, mimo że w teorii można taki passkey zapisać gdziekolwiek. Jak ktoś będzie miał paranoję i nie będzie chciał chmury to sprawa się komplikuje. Chyba, że passkey będzie zapisany w KeePassie i wtedy trzeba pamiętać o przenoszeniu pliku czy jego backupie, bo systemy się czasem wywalają a dyski mogą ulec uszkodzeniu. No i już widzę tysiące użytkowników, którzy o to nie zadbali i musieli reinstalować system i stracili wszystkie passkey'e... To raczej nie jest rozwiązanie dla każdego i pewnie klucze fizyczne będą musiały się rozpowszechnić, żeby to działało dla szerszej grupy.
@@michadybczak4862 dokładnie z tymi samymi bolączkami się borykamy przy hasłach. Nie ma idealnych rozwiązań a truizm o backupach będzie zawsze mieć sens
@@bartoszc6157 Hasła łatwo zaimportować, wyeksportować czy to do pliku, chmury na urządzenie, menadżera haseł. Czyli np. przejście z LastPasa do Bitwardena to była pestka. Nie wiem czy tak samo łatwo dałoby się przenieść passkey'e. No nic, zrobiłem sobie passkeya na Googlu i zobaczymy jak to będzie działać. Nie lubię 2FA, bo to cholernie upierdliwe, szukać, sięgać po komórkę, odblokowywać ekran, klikać na apkę, potem przepisywać kod, a to już po autoryzacji hasłem. Jeśli można 2FA zastąpić passkeyami to chętnie to zrobię, ale mało który serwis jeszcze ma taką opcję a 2FA praktycznie wszystkie. Jak serwis mnie nie zmusi do 2FA to unikam, właśnie ze względu na niesamowicie upierdliwy proces logowania. Rozważałem kupno Yubikey'a czy coś podobnego, ale jakoś nie jestem pewny tego, bo to też jest mało wygodne i trzeba o tym pamiętać, podłączać, coś tam naciskać. W dzisiejszych czasach mamy setki jeśli nie tysiące kont, więc musi to być wygodne, inaczej nie przejdzie. Wiadomo, że wygoda jest wrogiem bezpieczeństwa, ale tak już jest, jakiś kompromis trzeba wypracować.
Nie trzeba być "fachowcem" - wystarczy mieć gorszy dzień. Dlatego warto promować standardy, które robią sporo w kierunku zdjęcia odrobiny odpowiedzialności za element między monitorem a krzesłem. Zawsze jedna płaszczyzna ataku mniej.
Tylko na pierwszy rzut oka. Technikalia rzeczywiście mają swój poziom skomplikowania, ale samo korzystanie z passkeys sprowadza się do tego co robisz na telefonie czy laptopie dziesiątki razy dziennie - potwierdzeniem się za pomocą biometrii czy innego PINu. Mógłbym Cię zaprosić na swojego lajva, ale tam planuje to skomplikować jeszcze bardziej :) Zamiast tego polecam materiał Kacpra Szurka o passkeys.
@@bartoszc6157 - dziękuję znam materiał "materiał Kacpra Szurka o passkeys" . Co mnie, że tak powiem kolokwialnie mówiąc przeraza, to to, że dużo z tego trafia do chmury. Wolał bym by pewne sekrety były schowana w moje szufladzie np jak wydruki z zapasowych QR code 2FA Google Authenticator :)
@@bartoszc6157 ojejku, przepraszam dla jasności powiem - ja się nie chcę czepiać absolutnie nic osobistego, tylko zwracam uwagę, że dla osób które nie znają Gościa odcinka na co dzień - zrozumienie wszystkiego co mówi może być kłopotliwe. Jednak z doświadczenia wiem, że: tym lepiej jesli grzecznie zwraca się na to uwagę, bo im częściej słyszy się takie komentarze, tym większą wagę będzie się przykładać do wyraźnej wypowiedzi i pracy nad dykcja. Często jest tak, że ludzie, którzy mają wiele do powiedzenia i potrafią budować/ kolejkowac sobie naprzód po 2 zdania w czasie wypowiedzi, chcąc wszystko zmieścić - często zapominają o estetyce wypowiedzi. [Spoilery] Spośród osób, które w ten sposób imponują, wyprzedzając myślą nie tylko słowa ale i całe zdania, mógłbym wymienić Stanisława Lema. Oglądałem kiedyś wywiady Grzegorza brauna zdaje się ze Stanisławem lemem i po prostu głowa mała mi się zrobiła, gdy zobaczyłem jak pan Lem dalece "wybiega naprzód" w czasie udzielania odpowiedzi; co prawda jemu dykcja nie sprawiała większego problemu ale to jest ten sam gatunek inteligentnego człowieka 😁[/spoiler]
Jprdl, przy tych passkeysach to popłynęliście tak, że możecie obaj pójść na rzecznika prasowego bo kilka dobrych minut sobie gadaliście niczego nie wyjaśniając
Był wcześniej cały odcinek o tym, czym są passkeysy. Ten odcinek miałbyć odpowiedzią na pytania pod rzeczonym odcinkiem (o czym zresztą Mateusz mówi na początku filmu). Polecam najpierw uważnie słuchać, a dopiero później krytykować
