FIDO2, WebAuthn, Passwordless ja Passkeys

  • Keskustelun aloittaja Keskustelun aloittaja ztec
  • Aloitettu Aloitettu
Siinä paha missä mainittiin, nyt on Google Account limbossa kun on PassKeys käytössä, saas nähdä saako sitä ikinä palautettua. Ärsyttävintä tässä on vielä se, että se sotkettiin Googlen päästä, kun ne mutti käytäntöjään. Täydellinen esimerkki siitä, miten haitallisia tietoturvakäytännöt on, varsinkin kun ne toteutetaan väärin.

Palveluun voi kirjautua, mutta hallintaan ei pääse, kun sinne pitäisi kirjautua vaimella. Jota Google ei enää hyväksy. No joo, sattuuhan noita kämmejä amatööreille, mutta jokseenkin raivostuttavaa että Googlen kokoinen putka mokailee tuolla tavalla.

Saas nähdä saako palautusta tehtyä koskaan, arvaukseni on, että ei.
 
Viimeksi muokattu:
ztec sanoi:
Siinä paha missä mainittiin, nyt on Google Account Limbossa kun on PassKeys käytössä, saas nähdä saako sitä ikinä palautettua. Ärsyttävintä tässä on vielä se, että se sotkettiin Googlen päästä, kun ne mutti käytäntöjään. Täydellinen esimerkki siitä, miten haitallisia tietoturvakäytännöt on, varsinkin kun ne toteutetaan väärin.

Palveluun voi kirjautua, mutta hallintaan ei pääse, kun sinne pitäisi kirjautua vaimella. Jota Google ei enää hyväksy. No joo, sattuuhan noita kämmejä amatööreille, mutta jokseenkin raivostuttavaa että Googlen kokoinen putka mokailee tuolla tavalla.

Saas nähdä saako palautusta tehtyä koskaan, arvaukseni on, että ei.
Napsauta laajentaaksesi...
Mitenkäs ne muutti tuota käytäntöä?
 
Humanoid sanoi:
Mitenkäs ne muutti tuota käytäntöä?
Napsauta laajentaaksesi...
Siinä vaiheessa kun sekoilivat FIDO2 / Passkeys asioiden kanssa, niin onnistuivat rikkomaan kaikki avaimet, joka oli oikein kiva yllätys. No, on sitä ollut muillakin. Kuten joku tuossa just sanoi että Microsoftilla noi on ollut monta kertaa sotkussa, mutta ne sentään ei ole pysyvästi rikkoneet / muuttanee käytäntöjä, vaikka ovat välissä soossanneet. - Eniten mua vielä huivittaa tässä se, että mulla on kolme avainta rekisteröitynä, ja tietenkin kaikkien kanssa ihan sama tilanne. Kun ei se ole avaimesta kiinni, vaikka joku taas niin kuvittelisi heti. - Samat avaimet toki toimii, jos ne rekisteröi uudestaan, tuon muutoksen jälkeen. Mutta kun ei pääse rekisteröitymään, kun kaikki on rikottu.
 
Tarkennetaan vielä tuota, että noi avaimet on vielä kahdelta eri valmistajalta ja toiset avaimet on rekisteröity Linux / Firefox kombolla ja yksi avain eri valmistajalta on rekisteröity Windows / Edge kombolla. Kaikki kolme on rikki Googlen mielestä. Tietysti ne toimii kaikkiin muihin palveluihin. Eli nyt on aika marginaalinen tsäänssi, että olisin itse onnistunut hajottamaan nuo kaikki. Tai että ongelmat liittyisi edes käyttikseen / selaimeen. Linuxin kanssa rekisteröidyissä on myös firmis päivitykset ajettuna ja Windowssin kanssa käytössä oleva taas ei tue firmis päivityksiä, joten sitäkään ei saa niillä rikottua.
 
ztec sanoi:
Google:n turvallisuusavaimet (Titan) on nyt saatavissa myös Suomessa:
security.googleblog.com

Titan Security Keys now available in more countries

Posted by Christiaan Brand, Group Product Manager We’re excited to announce that starting today, Titan Security Keys are available for purc...
security.googleblog.com security.googleblog.com
Napsauta laajentaaksesi...
Screenshot 2025-03-27 at 17.31.47.png



:sgiggle:
 
Ikäväkseni täytyy todeta, että luotettavuus jatkaa edelleen sitä samaa rataa kuin aikaisemminkin, mistä valittelin. Nyt yht'äkkiä Microsoftin WebAuthn / Passwordless login onkin hajalla. Ai että, sanoo vaan että jokin meni vikaan. No voi voi, on ollut jo pitkään. Tämä siis Windows + Firefox plattarilla. Juuri tätähän jupisinkin aikaisemmin, että on niin hienoa tekkiä, että ei edes toimi.

Edit jatkot: Testasin Firefox + Linux -> Toimii, ai että, just parasta herkkua tämä. Miten normaali käyttäjä, jolla ei ole useita avaimia, eri selaimia ja useita eri käyttiksiä voisi sitten tietää mikä meni pieleen, kun ei ole helppoa tapaa haarukoida. Nami nami.
 
ztec sanoi:
Ikäväkseni täytyy todeta, että luotettavuus jatkaa edelleen sitä samaa rataa kuin aikaisemminkin, mistä valittelin. Nyt yht'äkkiä Microsoftin WebAuthn / Passwordless login onkin hajalla. Ai että, sanoo vaan että jokin meni vikaan. No voi voi, on ollut jo pitkään. Tämä siis Windows + Firefox plattarilla. Juuri tätähän jupisinkin aikaisemmin, että on niin hienoa tekkiä, että ei edes toimi.

Edit jatkot: Testasin Firefox + Linux -> Toimii, ai että, just parasta herkkua tämä. Miten normaali käyttäjä, jolla ei ole useita avaimia, eri selaimia ja useita eri käyttiksiä voisi sitten tietää mikä meni pieleen, kun ei ole helppoa tapaa haarukoida. Nami nami.
Napsauta laajentaaksesi...
Microsoftin osalta tämä toteutus on kyllä ollut jo kohta pari vuotta aivan levällään. Toiminta on todella satunnaista, ja samaan aikaan sitten rummuttavat, että ottakaahan kaikki tämä hieno uusi teknologia käyttöön :)
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
283 482
Viestejä
4 867 509
Jäsenet
78 606
Uusin jäsen
MTR84

Hinta.fi

Back
Ylös Bottom