Google otti käyttöön Passkey-kirjautumisen

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Google on ilmoittanut ottaneensa käyttöön Passkeys-kirjautumisen Google-tileille. Passkeys on FIDO Alliancen ajama salasanaton tietoturvallinen kirjautumistapa.

Google Accountsiin on lisätty tuki passkey-kirjautumiselle. Käytännössä ominaisuus mahdollistaa Apple ID:n ja Microsoft Hellon tapaan kirjautumisen salasanan sijasta biometrisillä tunnisteilla tai PIN-koodilla. Passkey-tuki ei korvaa vanhoja kirjautumistapoja vaan tulee yhdeksi vaihtoehdoksi niiden rinnalle.

Tuki ominaisuudelle on sikäli erityisen merkittävä, että suurimmalla osalla maailmaa on taskussa Android-puhelin, jossa käytetään Googlen tiliä. Android-laitteet luovat automaattisesti passkeyn, kun käyttäjä kirjautuu puhelimella Google-tilille, mutta itse ominaisuus on otettava erikseen käyttöön Googlen tiliasetuksista (g.co/passkeys).

Lähde: Google

Linkki alkuperäiseen juttuun

 

[Ekipekka]

Periaatteessahan kaikkeen ja kaikkien palveluntarjoajien palveluihin kirjautumisella pyritään todentamaan käyttäjän henkilöllilyys ja juurikin se, että tietty käyttäjä varmasti ja ainoana oikeana käyttää tiettyä palvelua. Eli käyttäjäseuranta - siihenhän salasanat ja tunnistautuminen on vuosituhannen vaihteessa perustunut. Ja nyt lyödään lisää löylyä kiukaaseen. Mutta siihenhän ainahan länsimaalainen ja amerikkalaista imperialismia myötäilevä seuranta on perustunut.

 

[Kepe]

Periaatteessahan kaikkeen ja kaikkien palveluntarjoajien palveluihin kirjautumisella pyritään todentamaan käyttäjän henkilöllilyys ja juurikin se, että tietty käyttäjä varmasti ja ainoana oikeana käyttää tiettyä palvelua. Eli käyttäjäseuranta - siihenhän salasanat ja tunnistautuminen on vuosituhannen vaihteessa perustunut. Ja nyt lyödään lisää löylyä kiukaaseen. Mutta siihenhän ainahan länsimaalainen ja amerikkalaista imperialismia myötäilevä seuranta on perustunut.

Nooh onhan se ihan kiva että minun sähköpostitili on minun oma eikä kaikkien kanssa yhteinen, samoin vaikkapa tämä techBBS-tili. Vai oliko ideoita miten voidaan toteuttaa käyttäjätilitön sähköposti tai miten estetään kenen tahansa käyttävän sinun nimimerkkiä jos käyttäjätilejä ei olisi täällä?

 

[root]

Ihmettelen hieman väitteitä, joiden mukaan kalastelu eli phishing -ongelmat vähenevät passkeyn myötä. Jatkossakin on ymmärtääkseni pakko kysyä salasanaa tai toisen vaiheen tunnistautumista kaikissa Applen tai Googlen tilin asetusten muutoksissa. Muutenhan laitteen sekä ruudun PIN-koodin haltuunsa saanut hyökkääjä veisi käyttäjätilit pysyvästi itselleen. Todennäköisesti huijarit sopeutuvat uuteen kirjautumistapaan käyttäjiä nopeammin. Mutta annetaan olla ja katsotaan uudelleen vaikka vuoden päästä.

 

[lizard]

Laiiteiden pääsykoodien suhteen pitää passkey'n tapauksessa olla paljon tarkempi, mutta tarkoituksena on, että käytetään päätelaitteiden biometriikkaa, ei pin-koodeja. Mutta sinänsä havaintosi on oikein: jos menetät laitteen ja sen käsiinsä saanut tietää pääsykoodisi, pystyy tämä tekemään paljon hankaluuksia.

 

[jive]

Niin tai jos sinulla ei olekaan laite saatavilla niin et pysty tekemään mitään. Edes sähköpostia ei pysty reissussa lukemaan koska MFA kiinni laitteessa joka jäi matkasta.

 

[Kautium]

Niin tai jos sinulla ei olekaan laite saatavilla niin et pysty tekemään mitään. Edes sähköpostia ei pysty reissussa lukemaan koska MFA kiinni laitteessa joka jäi matkasta.

Se on tietoturvan kääntöpuoli. Se on silti vähemmän huono tilanne kuin pelkkä tunnus/salasana -pari.

 

[ratkakapu]

Se on tietoturvan kääntöpuoli. Se on silti vähemmän huono tilanne kuin pelkkä tunnus/salasana -pari.

Tuo on sama tilanne kuin ei olisi koko sähköpostia lainkaan. Ei kun itse asiassa huonompi, koska joku saattaa yrittää tavoitella toisin kuin tilanteessa että koko mailia ei olisi olemassa. Kun tietoturvaratkaisuista tulee liian hankalia, niin niitä aletaan kiertämään tavoilla jotka ovat paljon tietourvattomampia kuin teknisesti tietoturvattomampi tapa käytettynä oikein

 

[Miksu38]

Itsellä todella vahva näkymys tähän asiaan Biometriaa ei kannata käyttää missään tapauksessa, niitähän nuo ns.Hakkerit/cräkkerit käyttää hyväksi, jos esim puhelimessa on kaikki pankki tunnukset yms.Se on vain totuus, että näihin ollaan menossa parempi kun ostaa vanhan nokian ei nettiä ei mitään :X

 

[Spartacus]

Niin tai jos sinulla ei olekaan laite saatavilla niin et pysty tekemään mitään. Edes sähköpostia ei pysty reissussa lukemaan koska MFA kiinni laitteessa joka jäi matkasta.

Itse olin eräs aamu unohtanut puhelimen kotiin ja piti hoitaa yksi asia sähköpostilla. Kirjauduin sitten työkoneella Gmailin sähköpostiin ja siihen tuli ilmoitus, että "kirjauduit tuntemattomasta laitteeta, vahvista kirjautuminen puhelimella" tms.
Kotona sitten otin puhelimen käteen ja siitä piti kuitata, että pääsi kirjautumaan koneella sähköpostiin joka oli tietysti jo myöhäistä siinä kohtaa.

 

[Kautium]

Tuo on sama tilanne kuin ei olisi koko sähköpostia lainkaan. Ei kun itse asiassa huonompi, koska joku saattaa yrittää tavoitella toisin kuin tilanteessa että koko mailia ei olisi olemassa. Kun tietoturvaratkaisuista tulee liian hankalia, niin niitä aletaan kiertämään tavoilla jotka ovat paljon tietourvattomampia kuin teknisesti tietoturvattomampi tapa käytettynä oikein

Putosin kelkasta. Kumpi on todennäköisempi vaihtoehto: tunnuksesi päätyminen nettiin vapaasti käytettäväksi jonkin phishing-sivun jälkeen, vai yksittäisen hyväksymäsi fyysisen laitteen päätyminen vääriin käsiin sormenjälkiesi kanssa?

Jotain pitää kuitenkin tehdä luovuttamisen sijaan, eikä tietoturva ikävä kyllä aina vie käytettävyyttä eteenpäin.

 

[Vixa]

Unohtaminen vähän huono argumentti, kai sitä unohtelee vähemmän, kun on selvää että puhelinta tarvitaan kirjautumiseen. Suurimmalla osalla kulkee älypuhelin jo valmiiksi mukana muutenkin. Tai no, jos myös esim. kotiavaimet unohtuu usein kotiin, niin kai tämäkin ongelma voi olla.

 

[Miksu38]

Ja sitten tuo NFC ei kannata käyttää.!

 

[Alatuberkuloosi]

Itsellä tuo sormenjälkitunnistus on aivan sellainen asia mitä en itse ikinä tule käyttämään, koska poliisi voi pakottaa sinut tekemään sen. Salasanoja poliisi ei voi pakottaa paljastamaan.

 

[Cirrus]

Se on tietoturvan kääntöpuoli. Se on silti vähemmän huono tilanne kuin pelkkä tunnus/salasana -pari.

Tämähän ei ole missään määrin asia jonka sinä määrittelet.

Minä valitsen kyllä mielummin sen vaihtoehdon että joku ulkopuolinen pääsee mahdollisesti vs en itsekään pääse.

 

[=JP=]

Johan sitä joutuu luuria (taikka erillistä fyysistä laitetta) mukana muistaa pitämään, jos pankkiasioita taikka muita virallisia asioita pitää hoitaa (mobiilimaksu). Miksi se sitten muussa käytössä on niin hankalaa? Ihan hyvä olisi opetella mukautumaan, koska tulevaisuudessa nämä vaan lisääntyy...
Ja on niitä muitakin tapoja, hankkii vaikka Yubikey sinne avainnippuun.

Jatkuvasti korkataan eri palveluita, jolloin se tunnus/salasana karkaa ja saattaa tulla ikäviä yllätyksiä.
Onko teillä samat tunnukset kaikkialle, niin ei tarvii mukana pitää juurikin puhelinta, jossa password manageri, taikka helvatan hyvä muisti (kunhan ikää tulee, niin sekin alkaa vaikuttamaan).

 

[Kautium]

Tämähän ei ole missään määrin asia jonka sinä määrittelet.

En tietääkseni ole sellaista väittänytkään. Tarkoitin vain, että laitteeseen perustuva tunnistus on yleisesti ottaen turvallisempi kirjautumistapa kuin tunnus/salasana, eikä se ole mikään mielipidekysymys. Se ei tarkoita, etteikö siinä olisi myös miinuspuolia.

Minä valitsen kyllä mielummin sen vaihtoehdon että joku ulkopuolinen pääsee mahdollisesti vs en itsekään pääse.

Saat toki toimia ihan miten haluat.

Maailma ympärillä kuitenkin muuttuu koko ajan ja jos ei ole valmis muuttumaan mukana, niin sitten voi olla, että jää palvelut käyttämättä. Perinteinen salasanakirjautuminen tulee melko varmasti jäämään jossakin vaiheessa pois käytöstä kaikista palveluista turvallisempien menetelmien yleistyessä. Tai no, mahdollisesti tunnus/salasana jää edelleen käyttöön, mutta rinnalle tulee muitakin menetelmiä, joita pitää käyttää samaan aikaan, eli pelkkää tunnusta/salasanaa ei sellaisenaan voi käyttää.

 

[prc]

Itsellä tuo sormenjälkitunnistus on aivan sellainen asia mitä en itse ikinä tule käyttämään, koska poliisi voi pakottaa sinut tekemään sen. Salasanoja poliisi ei voi pakottaa paljastamaan.

Mulla on tuosta kompromissi, koska se sormenjälki nyt helpottaa kummasti puhelimen peruskäyttöä. Sillä pääsee asioihin jotka voi viranomaiselle näyttää, mutta ei esim mobiilipankkiin pääse. Kaikki salassapidettävä tai muu materiaali on vain ja ainoastaan lokaalisti oikealla tietokoneella, salatulla levyllä tai kontainerissa johon tarvitaan hyvin pitkä ja kompleksinen salasana, jota ei ole mihinkään kirjoitettu, eli jos lyön pääni niin menetän ne datat itsekkin.

Vaan jos poliisi muka oikeasti yrittäisi pakottaa näyttämään luurille sormea, niin pistän kyllä niin ranttaliksi kuin vain voin. Ihan periaatteesta.

 

[jive]

En tietääkseni ole sellaista väittänytkään. Tarkoitin vain, että laitteeseen perustuva tunnistus on yleisesti ottaen turvallisempi kirjautumistapa kuin tunnus/salasana, eikä se ole mikään mielipidekysymys.

olet niin väärässä kuin väärässä voi olla. Salauksen peruskiviin kuuluu täydellinen salaus (perfect forward security) joka on käytännössä mahdotonta saavuttaa käyttäen laitetta varmenteena. Salasanan ja tunnuksen ongelmana ei ole sen teoreettinen heikkous vaan ihmiset ja niiden laiskuus/kykenemättömyys tehdä kunnollisia salasanoja sekä vaihtaa ne usein. Kaikki nykyiset tunnistusmenetelmät ovat teoreettisesti huonompia kuin avainparit mutta niiden parempi käytettävyys johtaa väestötasolla turvallisempaan palveluiden käyttöön.

Varmenteen juuren sitominen yhteen ainoaan laitteeseen on tie todelliseen katastrofiin. Mieti vaikkapa tilannetta jossa sinulla ei ole reissussa kuin sähköiset asiakirjat ja MFA ketjussa oleva puhelimesi rikkoontuu tai varastetaan. Toivottavasti olet silloin maassa jossa on suurlähetystö. Muuten olet todella kusessa. Harvempi varmaan tulee ajatelleeksi ennekin osuus omalle kohdalle.

 

[jive]

Vaan jos poliisi muka oikeasti yrittäisi pakottaa näyttämään luurille sormea, niin pistän kyllä niin ranttaliksi kuin vain voin. Ihan periaatteesta.

ei kannata jenkkeihin kuvitella matkustavansa tuolla asenteella.

 

[Ezzy]

ei kannata jenkkeihin kuvitella matkustavansa tuolla asenteella.

Jenkkeihin matkustetaan puhelin tyhjennettynä.

 

[Kautium]

olet niin väärässä kuin väärässä voi olla. Salauksen peruskiviin kuuluu täydellinen salaus (perfect forward security) joka on käytännössä mahdotonta saavuttaa käyttäen laitetta varmenteena. Salasanan ja tunnuksen ongelmana ei ole sen teoreettinen heikkous vaan ihmiset ja niiden laiskuus/kykenemättömyys tehdä kunnollisia salasanoja sekä vaihtaa ne usein. Kaikki nykyiset tunnistusmenetelmät ovat teoreettisesti huonompia kuin avainparit mutta niiden parempi käytettävyys johtaa väestötasolla turvallisempaan palveluiden käyttöön.

Varmenteen juuren sitominen yhteen ainoaan laitteeseen on tie todelliseen katastrofiin. Mieti vaikkapa tilannetta jossa sinulla ei ole reissussa kuin sähköiset asiakirjat ja MFA ketjussa oleva puhelimesi rikkoontuu tai varastetaan. Toivottavasti olet silloin maassa jossa on suurlähetystö. Muuten olet todella kusessa. Harvempi varmaan tulee ajatelleeksi ennekin osuus omalle kohdalle.

No niin se varmaan sitten on, kun sinä sen sanot. Laita ihmeessä viestiä Googlelle, että ette ressukat tiedä yhtään mitä teette.

Se minun pointti paremmasta turvallisuudesta oli siinä, että pelkkä tunnus/salasanapari voi päätyä vääriin käsiin monella eri tavalla ja hyvin helposti. Laite sen sijaan ei niinkään. Mm. siksi niistä salasanoista halutaan eroon ainoana autentikointimenetelmänä. En väittänyt, etteikö laitepohjaisessa varmennuksessa olisi ongelmia, päinvastoin sanoin että "Se ei tarkoita, etteikö siinä olisi myös miinuspuolia", mutta jätit oman agendan tuputtamisen nimissä tuon lauseen kokonaan pois.

 

[pq]

Minä valitsen kyllä mielummin sen vaihtoehdon että joku ulkopuolinen pääsee mahdollisesti vs en itsekään pääse.

Vaikka itsekin kannatan valinnanvapautta, niin taitaa käytännössä mennä niin, jotta palvelut yksipuolisesti sanelevat yksipuolisesti miten niitä käytetään ja vaihtoehdot on joko kumarrella tai olla käyttämättä.



Tässä hommassa kovasti kyllä arveluttaa kun ajetaan käyttäjät korvaamaan ”jotain jonka tiedät”-salasanat ”jotain jota omistat”-puhelimella. Salasanan voi toki hukata tai unohtaa, mutta voi puhelimenkin, minkä lisäksi siitä puhelimesta ei käytännössä voi tehdä täydellistä varmuuskopiota, ja ilkeämielinen hakkeri puhelimen korkattuaan pääsee käsiksi kaikkeen mitä omistat. Aika harvassa on kuitenkin palvelu mihin ei olisi puhelimessa jo valmiiksi salasanaa tallennettuna tai ainakin salasanan nollaukseen tarvittavat työkalut valmiina.

 

[ratkakapu]

Salasanan ja tunnuksen ongelmana ei ole sen teoreettinen heikkous vaan ihmiset ja niiden laiskuus/kykenemättömyys tehdä kunnollisia salasanoja sekä vaihtaa ne usein.

Muuten viesti täysin asiaa, mutta jos salasana on vahva eikä ole vuotanut mistään (kuten ei tärkeään palveluun pitäisi voida olla, koska pitäisi olla uniikit salasanat jokaiseen) niin salasanaa ei ole mitään syytä vaihtaa välttämättä ikinä, koska siitä ei vaan ole mitään hyötyä.

 

[prc]

Jenkkeihin matkustetaan puhelin tyhjennettynä.

Jenkkeihin matkustestetaan pakasta vedetyn idiootti puhelimen, prepaidin, tyhjän läppärin ja USB bootti Tails OS:n kanssa.

Tosin mulla ei ole mitään halua matkustaa sinne, niin ihan yksi ja sama.

 

[user9999]

Applella on ainakin tuossa passkey jutussa pilvisynkka laitteiden välillä eli jos on useampia tuettuja laitteita ja sama Apple ID niin se päivittyy kaikkiin. Otin tuon parille gmail tilille käyttöön niin kaikkiin laitteisiin päivittyi pilven kautta.

Spoileri

 

[Obi-Lan]

Passkey pohjalla on vahva sertifikaattipohjainen kirjautuminen missä käyttäjä luo private keyllä julkisen avaimen palvelimelle ja jatkossa vahvistaa kaikki kirjautumiset private avaimella. Tuosta on sitten yritetty tehdä edes jollain tavalla käytettävä ja helpoin perusversio on appi puhelimella, mikä kysyy jonkun helpon asian (sormenjälki, pin tms) ja taustalla sitten kuittaa kirjautumisen allekirjoittamalla palvelimen haasteen private key:llä.

Tuon tilalla voi käyttää myös Yubikey tikkuja missä private key on sillä tikulla, ja mitä ei pysty sieltä lukemaan ulos tai passumanagerissa esim. 1Password tai Applen Keychainilla.

Käsittääkseni tuo on sen verran vahva, että vois jättää MFA turhakkeet pois, ongelmana ehkä vielä se mitä sitten tehdään, kun käyttäjä hukkaa privaatti avaimensa.

 

[lizard]

Esimerkiksi Yubikey tikkuja ainakin apple haluaa vähintään kaksi, jotta on varajärjestelmä. Samaten passkey’tä voi olla joka laitteella oma jokaiseen palveluun. Tällöin yhden privaattiavaimen hukkuminen ei estä pääsyä. Samaten kadonneet/tyhjennetyt/myydyt/varastetut laitteet pystyy poistamaan omalta tililtä. Eli ei ole kaikki yhden laitteen varassa.

 

[escalibur]

Passkeysilla saisi olla standardisoitu hallinta, niin avaimien kuin laitteidenkin osalta. Tällä hetkellä voi olla melko vaihteleva kokemus jos esim uusii yhden tai useamman mobiililaitteen yhdestä valmistajasta toiseen. Ärsytyksineen ja hidastuksineen, tämä on ehdottomasti askel parempaan suuntaan, mutta vielä on tekemistä ennen kuin massat siirtyvät tämän käyttöön. Salasanojen hallintatyökalut, MFA-työkalut yms ovat yhä vastenmielisiä monille, joten tarvitaan vähemmän uuden opettelua tarvittavia ratkaisuja.

Microsoftkin on tuoreessa esityksessä ilmoittanut ottavansa käyttöön "jos se ei ole oletuksena päällä -> sitä ei ole olemassa"-menetelmän käyttöön, liittyen Windowsin tietoturvaominaisuuksiin. Toivottavasti muutkin muuttavat tapojaan tähän suuntaan.

 

[root]

Itsellä tuo sormenjälkitunnistus on aivan sellainen asia mitä en itse ikinä tule käyttämään, koska poliisi voi pakottaa sinut tekemään sen. Salasanoja poliisi ei voi pakottaa paljastamaan.

Minulla puhelimen näyttö on lukittu pitkällä PIN-koodilla. Mutta sen jälkeen pää-sähköposti, verkkopankki ja muutama muu tärkeä sovellus kysyy sormenjäljen.

 

[Alatuberkuloosi]

Mulla on tuosta kompromissi, koska se sormenjälki nyt helpottaa kummasti puhelimen peruskäyttöä. Sillä pääsee asioihin jotka voi viranomaiselle näyttää, mutta ei esim mobiilipankkiin pääse. Kaikki salassapidettävä tai muu materiaali on vain ja ainoastaan lokaalisti oikealla tietokoneella, salatulla levyllä tai kontainerissa johon tarvitaan hyvin pitkä ja kompleksinen salasana, jota ei ole mihinkään kirjoitettu, eli jos lyön pääni niin menetän ne datat itsekkin.

Vaan jos poliisi muka oikeasti yrittäisi pakottaa näyttämään luurille sormea, niin pistän kyllä niin ranttaliksi kuin vain voin. Ihan periaatteesta.

Se on koeponnistettu oikeudessa, oikeuden mielipide on että kun poliisi voi pakottaa antamaan sormenjäljen, niin se on myös oikeututtua painamaan se sormi siihen puhelimeen.

 

[Lars_A]

Se on koeponnistettu oikeudessa, oikeuden mielipide on että kun poliisi voi pakottaa antamaan sormenjäljen, niin se on myös oikeututtua painamaan se sormi siihen puhelimeen.

Se on sitten nauhahiomakonetta tai happoa sormiin jos tähän mennään

 

[Alatuberkuloosi]

Se on sitten nauhahiomakonetta tai happoa sormiin jos tähän mennään

Minun salasanat saa helpoiten selville kun köyttää tuoliin ja alkaa kiskomaan hampaita irti.

 

[Walla]

Ihmettelen hieman väitteitä, joiden mukaan kalastelu eli phishing -ongelmat vähenevät passkeyn myötä. Jatkossakin on ymmärtääkseni pakko kysyä salasanaa tai toisen vaiheen tunnistautumista kaikissa Applen tai Googlen tilin asetusten muutoksissa. Muutenhan laitteen sekä ruudun PIN-koodin haltuunsa saanut hyökkääjä veisi käyttäjätilit pysyvästi itselleen. Todennäköisesti huijarit sopeutuvat uuteen kirjautumistapaan käyttäjiä nopeammin. Mutta annetaan olla ja katsotaan uudelleen vaikka vuoden päästä.

Suurimmalla osalla ne 2FA molemmat tekniset faktorit on tallennettu joko luuriin tai passwordmanageriin johon luurista on pääsy, jolloin käytännössä ne tarvittavat faktorit ovat joko A) luuri joka sinulla on ja pin jonka tiedät TAI B) luuri joka sinulla on ja naama/sormenjälki mitä olet. Ja jos kaikki faktorit päätyy samaan aikaan vääriin käsiin, niin se on game over.

Mutta man-in-the-middle phishing sivu ei toimi passkey/FIDO2 kirjautumista käytettäessä. Ei se tietenkään kaikkea phishingiä lopeta, eihän kaikki phishing edes liity käyttäjätunnuksiin, mutta tuon kyseisen kyllä.

Tietenkään passkey pelkkä olemassaolo ei auta mitään jos käytät silti sen sijasta salasanaa.

 

[Walla]

Se on koeponnistettu oikeudessa, oikeuden mielipide on että kun poliisi voi pakottaa antamaan sormenjäljen, niin se on myös oikeututtua painamaan se sormi siihen puhelimeen.

En pitäisi poliisia kauhean relevanttina uhkana itselleni, mutta jos pelkää että joku, oli se sitten poliisi tai joku muu, pakottaa käyttämään biometriaa niin ainakin ompuissa se on se muutama sekuntti kun FaceID/TouchID on kytketty väliaikaisesti pois käytöstä jos tarve vaatii, ja onnistuu vaikka sokkona taskussa (paina jompaa kumpaa volume nappia ja virtanappia 3s, eli käytännössä vaan purista puhelinta kunnes se värähtää). En tiedä onko Androideissa vastaavaa, mutta jos ei niin ei se ole biometrian vika. Kuten ei ole sekään, jos toteutus on muuten vaan paska. Mutta se ei taas liity jäljen antamiseen pakolla.

Jos tunnuslukua/kuviota tms. jatkuvasti naputtelee luurin avaamiseksi julkisella paikalla, niin se ei ainakaan paranna luurin turvallisuutta.

 

[Alatuberkuloosi]

En pitäisi poliisia kauhean relevanttina uhkana itselleni, mutta jos pelkää että joku, oli se sitten poliisi tai joku muu, pakottaa käyttämään biometriaa niin ainakin ompuissa se on se muutama sekuntti kun FaceID/TouchID on kytketty väliaikaisesti pois käytöstä jos tarve vaatii, ja onnistuu vaikka sokkona taskussa (paina jompaa kumpaa volume nappia ja virtanappis 3s, eli käytännössä vaan purista puhelinta kunnes se värähtää). En tiedä onko Androideissa vastaavaa, mutta jos ei niin ei se ole biometrian vika.

Jos tunnuslukua/kuviota tms. jatkuvasti naputtelee luurin avaamiseksi julkisella paikalla, niin se ei ainakaan paranna luurin turvallisuutta.

Sinulle ei ole ongelma antaa virkavallalle kaikkea sinun tietojasi?

 

[jive]

Sinulle ei ole ongelma antaa virkavallalle kaikkea sinun tietojasi?

miksi olisi, kun tiedot ovat saatavissa oikeusteitse tarvittaessa? Sen takia kansalaisten tietoja sisältäviä kantoja kutsutaan viranomaisrekistereiksi.

 

[miksu8]

Onko tuo tarkistussummatyyppinen vai voiko Googlen sormenjälkitiedostosta selvittää henkilöllisyyden?

 

[Walla]

Sinulle ei ole ongelma antaa virkavallalle kaikkea sinun tietojasi?

Olisi, mutta en pidä fyysisesti minua retuuttamalla määrättyjä poliiseja top 1000 listalle kuuluvana tietoturvauhksna.

Mutta kuten sanottu niin tarvittaessa pystyn helposti estämään myös biometrian käytön luurin avaamiseen, jos minun pitää se antaa mille tahansa taholle, jonka uskon yrittävän päästä luurin tietoihin käsiksi, mutta johon kuitenkin luotan sen verran ettei jakoavainmenetelmä ole vaihtoehto: Security.

Tosin tämä alkaa olla offtopic kun biometriaa voidaan käyttää tai olla käyttämättä ihan riippumatta siitä suojataanko salasanaa vai passkeytä.

Onko tuo tarkistussummatyyppinen vai voiko Googlen sormenjälkitiedostosta selvittää henkilöllisyyden?

Ei Googlella ole mitään tietoa sormenjäljestä tai PIN-koodista, niillä vaan avataan puhelin paikallisesti. Googlella on julkinen avain jolla se voi tarkistaa tuleeko onko juuri sinun laitteeksi allekirjoittanut yksityisellä avaimella sisäänkirjautumista varten annetun haasteen. Ja siinä haasteessa on yksilöity mistä se on peräisin, joten jos joku yrittää olla salaa välissä proxyna niin tämä huomataan, toisin kuin salasana joka on sama mistä tahansa kirjautuessa.

 

[nuusk1s]

Itsellä tuo sormenjälkitunnistus on aivan sellainen asia mitä en itse ikinä tule käyttämään, koska poliisi voi pakottaa sinut tekemään sen. Salasanoja poliisi ei voi pakottaa paljastamaan.

Tuleeko useinkin tilanteita jossa tämä konkretisoituu?

 

[Kepe]

Onko tuo tarkistussummatyyppinen vai voiko Googlen sormenjälkitiedostosta selvittää henkilöllisyyden?

Kun tallennat sormenjäljen puhelimen avaamista jne. varten, niin se skannerin sormenjäljestä muodostama data/tarkistussumma (se ei ole mikään kuva sormenjäljestä tai muukaan josta saisi rekonstruoitua sinun sormenjäljen jos sen datan saisikin jotenkin ongittua puhelimesta ulos) tallentuu paikallisesti puhelimen prosessorin kryptattuun "turvasaarekkeeseen" ja sieltä se ei lähde mihinkään eteenpäin. Kun puhelin tai sovellus sitten pyytää sormenjälkeä lukituksen avaamiseen, niin sormenjälkilukijan skannaamaa dataa verrataan siihen joka prosessorille on tallennettu (tämäkin prosessi tapahtuu siellä erillisessä "turvasaarekkeessa") ja prosessori ilmoittaa vain sovellukselle sallitaanko lukituksen avaaminen vai ei.
Näin ainakin Qualcommin mobiiliprosessoreilla. Qualcommin sivuilta löytyy tästä tiedonmurusia googlettamalla.

Tuossa pari linkkiä toiseen lankaan jossa tästä samasta jutusta oli puhetta:

Uusin Chromen päivitys mahdollistaa Android-laitteilla incognito-välilehtien lukitsemisen sormenjälkilukijalla

Google on tuonut Chromen Android-versioon uutena yksityisyyden suojaan ja tietoturvaan liittyvänä ominaisuutena mahdollisuuden lukita yksityisen selauksen eli incognito-tilan välilehdet sormenjälkilukijalla tai muulla biometrisellä tunnistuksella. Ominaisuus löytyy Chromen asetuksista...

bbs.io-tech.fi

Uusin Chromen päivitys mahdollistaa Android-laitteilla incognito-välilehtien lukitsemisen sormenjälkilukijalla

Google on tuonut Chromen Android-versioon uutena yksityisyyden suojaan ja tietoturvaan liittyvänä ominaisuutena mahdollisuuden lukita yksityisen selauksen eli incognito-tilan välilehdet sormenjälkilukijalla tai muulla biometrisellä tunnistuksella. Ominaisuus löytyy Chromen asetuksista...

bbs.io-tech.fi

 

[Obi-Lan]

Enpä usko, että IT jätit haluavat kerätä mitään biometriikkaa mihinkään keskitettyyn kantaan. Aika moni valtio todennäköisesti kiinnostuisi tuosta monessa mielessä, demokratiat haluaisivat kieltää moisen ja paskastanit taas vaatisivat kansalaisten tietoja ja varmaan uhkailtaisiin monella tapaa, markkinoilta ulossulkemiseen tai työntekijöiden vangitsemiseen. Kaikesta tuollaisesta olisi liikaa haittaa rahan tekemiselle.

 

[prc]

Se on koeponnistettu oikeudessa, oikeuden mielipide on että kun poliisi voi pakottaa antamaan sormenjäljen, niin se on myös oikeututtua painamaan se sormi siihen puhelimeen.

Niin. Sillä mulla ne salassapidettävät datat vaikka eivät ole mitenkään kriminoivai ovat cryptatulla levyllä, joka ei ole mikään bitlocker tunkki ja johon ei ole mitään biometristä tunnistetta. Tarvittaessa jos puhelimessa jotain tuollaista olisi, niin sormenjälkeän antaiessa käsi nyrkkin ja näytöstä rystyset täysillä näyttöön. Kyllä se puhelin siitä uskoo, ettei datoja luovuteta. Halutessaan ämpyillä voi vaikka kuinka, mutta ehdottomasti paras on vaan pitää ne pinppikuvat, terrorismi suunnitelmat ja muut pois sieltä puhelimesta.

 

[Alatuberkuloosi]

Niin. Sillä mulla ne salassapidettävät datat vaikka eivät ole mitenkään kriminoivai ovat cryptatulla levyllä, joka ei ole mikään bitlocker tunkki ja johon ei ole mitään biometristä tunnistetta. Tarvittaessa jos puhelimessa jotain tuollaista olisi, niin sormenjälkeän antaiessa käsi nyrkkin ja näytöstä rystyset täysillä näyttöön. Kyllä se puhelin siitä uskoo, ettei datoja luovuteta. Halutessaan ämpyillä voi vaikka kuinka, mutta ehdottomasti paras on vaan pitää ne pinppikuvat, terrorismi suunnitelmat ja muut pois sieltä puhelimesta.

Aiemmin käytin TrueCryptiä, nyttemin VeraCryptiä. Haluan pitää yksityisyydestäni huolta.

 

[ztec]

Passkeys on paljon laajempi asia kuin Google, sille on siksi ollut jo pitkään oma lanka.

FIDO2, WebAuthn, Passwordless ja Passkeys

Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...

bbs.io-tech.fi

Monethan meistä on käyttänyt avaimilla kirjautumista, eli samaa FIDO2 / WebAuthn:ia johon Passkeys pohjautuu, niin vuosi kausia jo.

Nyt Passkeys on myös Googlella oletuskirjautumis menetelmänä. Salasanat historiaan.