Intanto passo a lasciare un like sulla fiducia, poi appena finisco di lavorare me lo guardo con calma. Argomento sicuramente interessantissimo. Grazie TheMiddle.
Video davvero interessante! Molto chiaro sull'argomento che puo' essere in parte un po' tricky 😅 provero' a sperimentare questo metodo di autenticazione sulla mia webapp di chatrooms per autenticare l'admin delle room private 😃
spero che vengano implementati dei servizi per migrare e backuppare le passkey quando si cambia smartphone non solo usando google ma anche per gli utenti privacy focused
vero! per ora Google Cloud e iCloud Apple sembrano essere le soluzioni papabili. Ma se non erro le nuove versioni di android avranno la possibilità di far scegliere dove storare le passkey. Lascio questo link per chi volesse approfondire developers.google.com/identity/passkeys/faq?hl=it
Da profano ho un dubbio, se in uno smartphone vengono registrate 2 impronte digitali affinché possa essere usato da due persone diverse, se una di questa accede a un servizio con passkey, l’altra persona può accedere allo stesso servizio utilizzando la propria impronta. Cioè la chiave privata che si trova sullo smartphone è legata ad entrambe le impronte?
Attualmente, l'energia solare contribuisce solo al 3-4% della produzione totale di elettricità in Svizzera.L'energia idroelettrica è la principale fonte di energia rinnovabile in Svizzera. Circa il 60% dell'elettricità totale prodotta nel paese proviene da centrali idroelettriche 🤔Non mi risulta che ci siano paesi europei in grado di esportare importanti percentuali della loro energia solare verso la Svizzera.I conti non tornano. Sospetto 40% greenwashing attraverso l'acquisto di certificati energetici: L'azienda potrebbe acquistare certificati di energia rinnovabile (RECS o GO - Garanzie d'Origine), che le permettono di dichiarare l'uso di energia solare anche se l'energia che effettivamente utilizza proviene da altre fonti.
Qual è effettivamente il problema nell'usare una password/passphrase? Se queste vengono usate adeguatamente sono comunque un sistema sicuro come WebAuthn e Passkey? Immagino che sia, come fai notare anche tu, un modo per semplificare la vita all'utente, al posto di avere (si spera) password diverse per ogni servizio; ma ne vale la pena? Probabilmente aggiunge un fattore di sicurezza in più rispetto alla semplice password per l'utente medio, che notoriamente non le sa usare adeguatamente, a costo però (come fanno notare altri commenti) di rendersi ancora più dipendenti dal cellulare. Non voglio dilungarmi troppo, anche perchè non mi sento un esperto, ma sarebbe anche da considerare le superfici di attacco di uno (password) e dell'altro sistema (WebAuthn), immagino. Approfondirò meglio Comunque grazie per il video, molto interessante, devo ancora vedere gli ultimi due capitoli
Grazie a te! Credo che gestire una chiave pubblica per un sito sia meno impegnativo che gestire un database di password (se pur hashed). Credo che un'autenticazione basata su chiave pubblica/privata possa avere il duplice vantaggio di eliminare il problema delle password per l'utente ma anche per lo sviluppatore. Sono sicuro che la risposta la avremo tra non molto 🙂
Ciao TheMiddle grazie per il video! Una domanda: la "randomStringFromServer" è quindi generata dal server? Come la posso poi riusare/associare per la verifica successiva (devo salvarmi un nuovo storage per le challenge? Andrà implementata un'altra API per richiederne il valore? Grazie ancora
Ciao! esatto generata lato server. La cosa importante è che sia (come dice lo standard) "An unpredictable challenge" in modo tale che si possa essere sicuri che la challenge sia la stessa di quella generata durante la richiesta. Questo per evitare replay attack. Immagino qualcosa di simile a un hash sha-256 di una stringa tipo "-----" o qualcosa del genere insomma. Si nell'esempio io scrivo le public key su file, ma non penso sia una cosa furba da fare. Molto probabilmente un database relazionale avrebbe più senso in questo caso (non ci ho ancora riflettuto molto). Secondo me conviene NON implementare una API per richiedere il valore della challenge, ma far generare il javascript server side (sia per la registrazione che per l'auth). Così su due piedi mi sembra più sicuro che esporre un metodo per rispondere con una challenge valida, anche se poi sarebbe difficile da usare in un processo di auth ex novo, ma non mi renderebbe tranquillo averlo.
@@rev3rsesecurity quindi diciamo sarebbe preferibile una pagina generata in SSR (Server Side Rendering) , ma le informazioni che indichi per creare l'hash sono informazioni aggiunte dall'input dell'utente e dal browser (user agent e email), devo studiare meglio anche io :)
Vero, Passkey dovrà sistemare il discorso Sync tra device e sicuramente dovremo imparare a fare design di un nuovo flusso di recupero credenziali. Ma le dinamiche sono sempre le stesse IMO
Io di lasciare il controllo dei miei accessi ad altri non ci penso nemmeno. Specialmente dopo il lancio della funzione recall fatta dalla Microsoft e poi ritirata che considero un lapsus froidiano. Di sicuro fare più attenzione a tutte quelle comunicazioni di ingegneria sociale atte a carpire informazioni o addirittura credenziali di accesso aiuterebbe tantissimo.
Per usufruire di questo servizio devi avere un app che lo gestisce, questa app ha ovviamente l'accesso a tutte le chiavi. Di fatto questa app ha il controllo totale su quelle chiavi e di conseguenza sui siti per i quali usi questo tipo di accesso. Al di là di come lo pubblicizzano di fatto il proprietario dell'app ha il controllo completo sui tuoi accessi. Io sinceramente non ho molta fiducia in queste società tipo Google, Microsoft visto i trascorsi e preferisco avere la mia autonomia. Poi se vogliamo guardare queste società non sono certo filantrope e il loro guadagno è l'acquisizioni dati e un ulteriore controllo, se questo metodo dovesse prendere piede anche i siti coinvolti che saranno vincolati. Poi con le ultime news tra il recall di Microsoft che anche se l'hanno ritirato mette in evidenza la politica societaria e il l'ascolto delle chiamate di Google ci manca pure che controllano e poi anche decidano a quali siti si accede. Non mi piace per niente la piega che sta prendendo il digitale e questo sarà sempre più evidente con il passare del tempo.
Sarebbe un bel problema, sì. La comodità di utilizzo fa sì che diventi sempre più un asset critico e indispensabile (calcolando che ha cambiato anche i pagamenti, con le carte di credito nel wallet o app come satispay, non ho più un portafoglio)
