Rebeca Soul była najprzebieglejszym agentem Watykanu od czasów Kennedy’ego.

  •  

    Mirki i mirabelki mam pytanie odnośnie funkcji passkeys, którą ostatnio tak bardzo chwaliło się Apple. Założyłem sobie konto na reddit i do wygenerowania hasła użyłem funkcji generuj silne hasło (opis podpowiedział, że takie hasło jest zapisane w kluczach na icloud, więc zakładam, że to właśnie passkeys), dodatkowo ustawiłem weryfikację dwuetapową z generowaniem kodu na ajfonie. I teraz tak, na ajfonie i zakładam, że na macbooku (sprawdzę jak będę w domu) wszystko pięknie hula, mogę się zalogować przez faceid na safari jak i w aplikacji mobilnej reddita. Widać, że passkeys działa, ale jak zalogować się na innej przeglądarce lub komputerze? W końcu nie znam hasła, które wygenerował ajfon... Będę wdzięczny za pomoc.
    #apple #iphone
    pokaż całość

    •  

      @dewey: To dwa zupełnie inne mechanizmy logowania.

      Gdy generujesz hasło, system tworzy losowy ciąg znaków, ale nadal logowanie przebiega na prostej zasadzie, że serwer prosi o nazwę użytkownika (dewey) i hasło (dupa123), tylko zamiast tej dupy123 masz jakieś hasło typu 34tyfdre567yugftr678h394jfi, które nadal można przechwycić. Np. ja je zobaczę, jak sprawdzasz w tramwaju, albo będzie wyciek danych z serwera. Albo sam je wpiszesz na podstawionej fałszywej stronie.

      Logowanie przy użyciu passkeys działa inaczej. Tworzone są dwa klucze, czyli długie ciągi znaków. Jeden jawny (publiczny), drugi prywatny. Ten publiczny jest wysyłany na serwer. Ten prywatny jest umieszczany w Secure Enclave na iPhonie, czyli w takim niedostępnym miejscu, którego odczyt jest możliwy tylko po uwierzytelnieniu przy użyciu biometrii (Face ID/Touch ID). I teraz jak się logujesz, to musisz odblokować na swoim urządzeniu dostęp do Secure Enclave (buzią lub palcem), klucz prywatny nie jest stamtąd kopiowany, tylko na jego podstawie generowany jest klucz (właśnie ten passkey, znów bardzo długi ciąg znaków) i dopiero on jest używany do uwierzytelnienia użytkownika przez ustalenie zgodności z kluczem publicznym. Dzięki temu odpada kwestia wycieku haseł, wykradania danych przez phishing itd., bo nawet jak ktoś przechwyci to, co jest wysyłane po drodze, to się nie zaloguje. Trzeba by przechwycić sam klucz prywatny, ale on jest bezpiecznie przechowywany w zablokowanym przez biometrię układzie Secure Enclave i nigdy nie opuszcza urządzenia.
      pokaż całość

    •  

      @dewey: Tak, możesz się pobawić tym na https://www.passkeys.io

    • więcej komentarzy (10)

...to tylko najnowsze aktywności użytkownika xgre

Zobacz wszystkie dodane znaleziska, komentarze i wpisy korzystając z menu powyżej.

Osiągnięcia (6)