Wspomniane linki daję też tu: 📖 ebook od @secfense Czym są passkeys i jak skutecznie wdrożyć logowanie bez hasła w organizacji? secfense.com/pl/passkey 🔥 Live we wtorek 28.05.2024 kzbin.info/www/bejne/gKvMlambaNxpqrs 💬 Kontakt do @secfense aby umówić się na spotkanie secfense.com/pl/kontakt/
@bartoszc61576 ай бұрын
No i kzbin.info/www/bejne/gKvMlambaNxpqrs na wtorkowego Live :)
@MateuszChrobok6 ай бұрын
@@bartoszc6157 Dzięki!
@michadybczak48626 ай бұрын
Strona nie załadowała się poprawnie z pierwszego linka. EDIT: Ah, już się ładuje. Musiało coś chwilowo nie grać.
@dzikieserce788211 сағат бұрын
Panie Mateuszu tworzy Pan wartościowe materiały. Dziękuję.
@etaosin6 ай бұрын
Super rozmowa. Dzięki za te materiały, zebrane w tej formie takie tematy są ultra-strawne.
31:00 Wyjątkiem jest tutaj bitwarden który przy eksporcie uwzględnia passkeys. O ile może nie jest to zgodne ze standardem tak po prostu jest co potrafi być wygodne
@bartoszc61576 ай бұрын
Od czasu nagrania okazało się, że również Apple pozwoliło na udostępnienie passkey'a za pomocą Airdrop, ale jeszcze nie dałem rady wypróbować.
@BxOxSxS6 ай бұрын
@@FreeEmptyWhole Jako osoba z dostępem do grupy patronackiej dostałem materiał wcześniej. Nawet widać że mój komentarz ma jeden dzień
@HUW-050393 ай бұрын
Trzy pytania: 1. Które polskie banki wspieraja passkeys? Jest jakaś lista? 2. Co w sytuacji gdy musimy oddać smartfona do serwisu i Pan serwisant prosi o odblokowanie urządzenia do celów serwisowych? 3. Co w sytuacji gdy smartfon nam padnie definitywnie (np całkowite zniszczenie)?
@wywrotka6666 ай бұрын
Mateusz, bardzo lubię Twoje materiały i ten też jest bardzo interesujący ALE: Mówicie, że chcecie popularyzować temat do osób spoza IT a mówicie językiem i w sposób, który ludziom spoza IT i pewnie też połowie ludzi z IT nie pozwoli na zrozumienie tematu i raczej ich tylko zrazi do tematu.
@bartoszc61576 ай бұрын
Dlatego liczymy między inny mi na Ciebie :) Ty zrozumiesz nas i możesz ewangelizować dalej. Moja mama na przykład za chiny ludowe tego filmu nie obejrzy - nawet gdyby nam AI podłożyła głosy z M jak Miłość. Ale moja w tym robota, aby przejąć jej telefon, zrobić co trzeba i oddać mając poczucie, że jej cyfrowe życie jest choć odrobinę bezpieczniejsze. Idź i głoś! :)
@andrewk51864 ай бұрын
Masz racje. Gosc nie najlepiej dobrany. Wiedze posiada, ale nie potrafi przekazac w przystepny sposob...
@maciejkurkowski53546 ай бұрын
mega duet . super sie słuchało:)
@bartoszc61576 ай бұрын
Dzięki - super nam też się gadało :)
@ChwałaImperiumLechickiemu6 ай бұрын
Bardzo dobry materiał
@GreDi_PL5 ай бұрын
Uwaga errata: PGP (Pretty Good Privacy) to jest technologia szyfrowania danych. GPG (GNU Privacy Guard) to jest Aplikacja, która wykorzystuje PGP do szyfrowania danych. Tak wnioskując z między zdań mam wrażenie, że prowadzący mylą. Ale bez obaw. Przed kamerą i dodatkowo w miłej atmosferze, którą zapewnia Mateusz, nikt się nie spina i nie waży słów. Tak że takie przejęzyczenia potrafią się pojawiać. Tak tylko erratę chciałem zgłosić. PS. dobry wywiad.
@bartoszc61575 ай бұрын
Dzięki - dla uważnych słuchaczy jest jeszcze jedno miejsce gdzie się walnąłem :) (a przynajmniej jeszcze jedno, które wyłapałem)
@janepko5 ай бұрын
Mylisz się. PGP to aplikacja do szyfrowania i podpisywania tekstu i plików, wykorzystująca technologię kluczy asymetrycznych RSA (chociaż do szyfrowania można też użyć kluczy symetrycznych). Program PGP powstał w 1991 r., a jego autorem jest Phil Zimmermann. GnuPG jest oprogramowaniem, które też wykorzystuje metodę kluczy asymetrycznych, ale spełnia standard OpenPGP i jest wolnym oprogramowaniem na licencji GPL.
@GreDi_PL5 ай бұрын
@@janepko "PGP to aplikacja" - to ja poproszę o link do strony aplikacji PGP.
@Bamberladys6 ай бұрын
17:55 "uwierzytelnianie to gdy weryfikujemy czy możemy wejsc, a autoryzacja to do czego" Mnie uczono (za Azura to było) że AuthN (authentication, uwierzytelnianie) służy do weryfikacji tożsamość - czyli że jestem (mam) tym Identity za która się podaje. Z kolei AuthZ daje dostęp do czegokolwiek. Przykładowo mogę zostać poprawnie zweryfikowany przez Identity Provider'a, ale nie mieć nigdzie dostępu - bo np conditional access mi zabrania.
@bartoszc61576 ай бұрын
Wydaje mi się, że mówimy o tym samym innymi słowami :)
@Bamberladys6 ай бұрын
Puk puk (sending request) - Kto tam (start uwierzytelniania) - Odczyt gazu Patrzę przez kuklok, weryfikuje że gość ma plakietkę ze spółdzielni (2FA) czy co tam teraz noszą gazomajstrzy (weryfikacja pomyślna) - Słucham? (Kontynuuje komunikację) - Czy mogę wejść, chcę sprawdzić czy Pan nie wybuchnie. (Request o autoryzację, prawo do wejścia do mieszkania) - No dobra, tylko założę majtki (przygotowanie Landing zony xD) To są dwa różne procesy - w przykładzie z gazem i majtkami (hehe) Identity Provider i Zasob do którego jest Request (moje mieszkanie i kuchenka) były w jednym miejscu. Ale często jest tak, ze AuthN prowadzi jeden provider (Azure, Facebook, Google), a AuthZ jest po stronie innego serwisu.
@mszary6 ай бұрын
@@Bamberladys piekna analogia, kradne :)
@Bamberladys6 ай бұрын
Oczywiście AuthN prowadzi EntraID, nie Azure (poprawka dla nerdów z MS)
@danielstawicki63142 ай бұрын
No właśnie przydał by się jakiś pokaz jak z tego korzystać. Jakieś pierwsze odpalenie telefonu i komputera, no Windows i iPhone. Pokazać jak to ze sobą synchronizować, jak zalogować się na jakimś nie naszym komputerze, jak udostępnić komuś poświadczenia do zalogowania się w naszej usłudze. Potem zmiana telefonu i komputera np. na coś na Androidzie i inny komputer z Windows albo iMac. Takie zwykłe życiowe zadania.
@buzdygan30005 ай бұрын
trafilem tu przypadkiem, wysłuchałem calej rozmowy i nadal nie wiem czym te passkeys tak na prawdę są 😢
@Fempter4 ай бұрын
Pytanie offtopic @Mateusz, dlaczego trzymasz iPada do góry nogami? 😅
@XR5PL6 ай бұрын
fajnie wygladacie przy tym odrapanym stoliczku :) ciekawy temat - używam , używam
@bartoszc61576 ай бұрын
Nie wiem czy mogę tu promować - ale jakie cuda można na tym obdrapanym stoliczku w William Rabbit & Co postawić to jest dopiero niewiarygodne. Polecam :)
@piotrula92706 ай бұрын
Witam mam pytanie z jakiej przegladarki korzysta pan an codzień na swoim komputerze?
@bartoszc61575 ай бұрын
Z trio Safari/Chrome/Firefox - ale z tego ostatniego to rzadko - bardziej jak muszę coś przetestować.
@marcinwypych37066 ай бұрын
Wszystko, fajne i pięknie, a gdy ktoś jest politycznie niepoprawny i jest w niejawnym zainteresowaniu służb specjalnych czy innego wywiadu, to czasem dla tych służb nie jest uruchomiony "backdoor" w postaci "8h jednorazowej karty zdrapki, a może nieograniczony dostęp do bazy w chmurze"??
@bartoszc61576 ай бұрын
Rozumiem, że odnosisz się do ewentualnej możliwości obejścia silnego uwierzytelniania za pomocą kodów jednorazowych - spieszę z wyjaśnieniem. Możliwość zastosowania takich kodów nie jest w żaden sposób wbudowana w standard FIDO2 (w FIDO U2F też nie). To ewentualna decyzja administratora serwisu, czy chce taki sposób "ułatwienia" zamontować u siebie, jego decyzją będzie też czy taka "zdrapka" będzie dostępna dla służb.
@xDewREWx5 ай бұрын
Hej a jak ma sie kwestia skonfigurowania i uzywania MFA przez pracownikow niepelnosprawnych (np. bez konczyn, niewidomych, z trudnosciami ruchowymi itd)? Jest jakies podejscie ktore byloby wskazane dla takich osob?
@21yarpen6 ай бұрын
Jesli mam unikatowe skomplikowane wygenerowane długie hasło to różnica miedzy nim a passkey to już bardziej filozofia niż realne bezpieczeństwo. Dalej clue problemu to zarzadzanie tym, czyli znowu potrzebny jakiś bitwarden czy coś takiego. Hasło może mieć zaletę. Dodatkowo nie mam wplywu kto zaimplementuje passkey wiec i tak ostatecznie będę miał i hasła i passkey do zarządzania. Bitwarden ogarnia oba wiec znow to bitwarden jest kluczowy a nie jaką formę sekretu wybrałem
@bartoszc61576 ай бұрын
Zwróć uwagę na to, że FIDO2 i passkeys odpowiadają na podstawową wadę haseł. Nawet jeżeli są długie, skomplikowane i unikatowe to wciąż są współdzielonym sekretem. Kryptografia asymetryczna jest z zasady bezpieczniejsza w temacie uwierzytelniania. Z pozostałymi tezami zgadzam się w stu procentach - hasła i passkeye pożyją sobie jeszcze obok siebie przez pewien czas.
@marekruszczak4606 ай бұрын
A co rebranding'iem strony? Ostatni duży przykład przykład twitter -> X. Czy passkey w takim wypadku nie zablokuje takiej możliwości, bo zmusi wszystkich użytkowników do ponownego wygenerowania nowego passkey. Pewnie jakiś mechanizm "redirect" będzie rozwiązaniem.
@mszary5 ай бұрын
Dokladnie tak, jak piszesz. Czasowe utrzymanie starej domeny, ktora bedzie + kampania informacyjna o dorejestrowaniu nowego passkeya (juz w nowej domenie)
@jacknelson98006 ай бұрын
Oh kurła totalnie. zrezygnowałem z jednego banku bo tak mnie wqurwiało sprawdzanie która literka/cyferka hasła ma być wpisana
@Spioszek6 ай бұрын
Bo takie maskowanie hasła powinno być do wyłączenia na życznie klienta, a tak nie jest ;(
@orzelia5 ай бұрын
Mowiliscie o tym ze chcecie zeby normalny Kowalski tez byl w temacie passkeys ale samo sciagniecie pdf wiaze sie zpowiazaniem z firma. Juz po raz drugi sie spotkalem z tym na tym kanale. Pierwszy raz gdy byl odcinek z sandbbox. Ja jako zwykly pracownik magazynowy nie posiadam firmy czy tez chociaz jak w sand box email-a firmowego. Jak mam to obejsc? Z gory dziękuję za pomoc
@bartoszc61575 ай бұрын
Nikomu nie mów - ale możesz podać dowolny mejl w tym formularzu :) Miłego czytania
@orzelia5 ай бұрын
@@bartoszc6157 normalnie brak mi słów. Dziękuję:)
@sskillerr4 ай бұрын
Proszę o wyjaśnienie jednaj sprawy... np Google oferuje logowanie do siebie na konto przez passkey i fajnie... Mam to już aktywne. Lecz tak jak i u nich tak na innych stronach poza aktywnym passkey jest dalej aktywne logowanie "starą" metodą, czyli login i hasło. Czy passkey nie powinno zastąpić takiej metody? Bo co mi po tym, że mam passkey włączone i czuje się "bezpieczny" skoro ktoś będzie np chciał włamać się do mnie na konto przez user i pass, czyli starą metodę.
@rafal73476 ай бұрын
Ciekawe rozwiązanie. Super że jest nadzieja na ułatwienie uwierzytelnienie
@bartoszc61576 ай бұрын
Chyba pierwszy taz kiedy zwiększenie bezpieczeństwa nie wiążę się z proporcjonalnym zwiększeniem upierdliwości.
@dodatkidominecrafta47625 ай бұрын
A jakie to te wtyczki do przeglądarek? Zrób o tym odcinek nie mam pieniedzy na fido
@bartoszc61575 ай бұрын
Wtyczki wydane przez producentów menadżerów haseł - można za ich pomocą stworzyć passkey'a w tych rozwiązaniach. Klucza sprzętowego nie potrzebujesz - uwierzytelniaczem może być równie dobrze Windows Hello jeżeli korzystasz z produktów MS, albo google password manager czy wspomniany w filmie iCloud. Do wyboru do koloru
@KamileX19905 ай бұрын
Super materiał, dasz się namówić na materiał o portfelach sprzętowych kryptowalutowych? Jest ich coraz więcej, krypto influ reklamują te, z którymi mają współpracę… a jestem ciekaw jak to wygląda od strony bezpieczeństwa 😎
@buzk45 ай бұрын
Jakie passkeye polecacie? Android i ios
@hacking-uj2ms6 ай бұрын
No to dobry standard shakowanie to praktycznie nie możliwe póki co a przede wszystkim mało kiedy coś powstaje do ochrony głupich mam na myśli że ludzie sami dają się wszelaki sposób okraść a tutaj to jak prywatny ochroniarz.
@MateuszChrobok6 ай бұрын
Do 9chrony wszystkich 😅 każdy ma czasem gorszy dzień. Nie mniej idea jest szczytna.
@zielonkaJWST5 ай бұрын
a czy dziala to na telefonach Huawei z HarmonyOS?
@efte66246 ай бұрын
👍
@bartoszc61576 ай бұрын
👍
@1vbAPiYk6 ай бұрын
Jak na razie im więcej wiem o tych FIZYCZNYCH kluczykach tym mniej mam ochotę się w to bawić. Zwłaszcza kwestie braku backupów i problemy przy zgubach mnie odstraszają
@bartoszc61576 ай бұрын
FIDO2 niejako "uwolniło pojęcie" uwierzytelniacza. Przy FIDO U2F to był właśnie ten klucz, którego nie lubisz. Przy FIDO 2 to może być Twój komputer, telefon, keepass, chmura, 3rd party software., a nawet... klucz fizyczny ;)
@michadybczak48626 ай бұрын
Może takie filmiki z prezentacjami jak to się robi? Np. mam Bitwardena i co dalej? Nie mam, ale mogę zainstalować Keypassa do backupu. I co dalej? To wszystko jest zbyt niekonkretne i póki nie wiadomo jak to działa w praktyce, to na dane rozwiązanie się nie przejdzie.
@BxOxSxS6 ай бұрын
Łatwo samemu znaleźć albo po prostu spróbować na tych testowych stronkach o których Bartek mówił
@testerrtestowwyyy39416 ай бұрын
w momencie gdy zdjęcia z iCloud wracają po paru latach na ich i inne konta ... to całe wypociny kolegi są na marne ... zaufania brak!
@bartoszc61576 ай бұрын
Pisałem o tym wcześniej - co rusz jakiś dostawca narusza moje zaufanie. Moją decyzją jest to czy będę dalej z niego korzystać czy nie. Akurat passkeys pozwalają na dowolny wybór uwierzytelniacza. A że chmura to tylko jeden z wątków rozmowy, to mam nadzieję, że w reszcie wypocin jednak zauważysz trochę sensu :)
@formbi5 ай бұрын
tak, chmura to tylko komputer kogoś innego
@hybryda99536 ай бұрын
Bartek, a jak to imię się uwierzytelniania? 😮
@michadybczak48626 ай бұрын
Czy jeśli stworzymy passkey i zostanie on zapisany w jakiejś lokacji/urządzeniu, to czy można go przenieść albo zduplikować? Np. powiedzmy, że mam passkey zapisany w chmurze Bitwardena i np. chcę go przenieść do KeePassXC na kompie, albo stworzyć kopię zapasową tego keypassa. Albo chcę go przenieść na inną chmurę lub usługę, lub przenieść na Yubikey, jeśli okaże się, że Bitwarden zawiedzie na Androidzie, itp. Z hasłami sprawa jest prosta i mamy nad tym kontrolę, z keypassami nic nie wiadomo i nic nie jest oczywiste. Kolejne pytania: - Czy jeśli utworzy się keypassa do danej usługi, to czy logowanie z hasłem będzie niedostępne? - Czy da się logowanie keypassem wyłączyć? Z tego co widziałem, najczęściej jak już się włączy to nie da się cofnąć. - Jak keypass jest zapisany w bitwardenie w chmurze, a potem chcę użyć na komórce, to czy będzie to możliwe? Ze starych komentarzy wynikało, że taka opcja nie była dostępna, a ponieważ to nie hasło więc nie można sobie od tak skopiować i wkleić, usługa może nie działać?
@bartoszc61576 ай бұрын
Eksportowanie passkey'ów to dość skomplikowany temat - z mojej najświeższej wiedzy wynika, że na ten moment jest to możliwe za pomocą airdropa z jednego urządzenia Apple na drugie w tym rezerwacie. W komentarzach @BxOxSxS wspomniał o takiej możliwości w Bitwardenie, ale ja osobiście tego nie próbowałem. Kopię zapasową keepassa oczywiście możesz stworzyć - Twoje passkeye wciąż będą w pliku .kdbx. Najpewniejszym sposobem (i raczej bardziej przyjaznym użytkownikowi od eksportowania baz danych) jest po prostu stworzenie passkey'a na kilku uwierzytelniaczach. Co do kontroli nad hasłami to masz tylko połowicznie rację - masz kontrolę nad tym gdzie je trzymasz. Druga strona komunikacji posiada to samo hasło (w końcu to wspólny sekret) zapisane u siebie - nad tym już kontroli nie masz. W przypadku FIDO2 druga strona ma tylko klucz publiczny - a ten bez tego prywatnego jest bezyżyteczny. Możliwość współistnienia passkey'ów i haseł to decyzja administratora serwisu. Google na przykład pozwala włączyć opcję "rezygnuj z hasła tam gdzie to możliwe". Microsoft pod formularzem na poświadczenia ma link "inne opcje logowania". Oba sposoby w jasny sposób wskazują na współistnienie. Zakładam, że w miarę jak passkeys będą zyskiwać na popularności będzie się pojawiać coraz więcej serwisów, które będą je wykorzystywały jako jedyny sposób uwierzytelnienia. I ostatnie pytanie - jak masz passkey zapisany w chmurze to skorzystasz z niego na każdym urządzeniu, które do tej chmury ma dostęp (i wspiera standard, ale tu akurat ilość urządzeń i systemów niewspierających FIDO2 jest pomijalna).
@michadybczak48626 ай бұрын
@@bartoszc6157 Dzięki. Czyli najlepiej tworzyć passkey per urządzenie/lokacja? Będę musiał wypróbować z Googlem, ale pół roku temu Bitwarden miał problemy z passkeyami na Androidzie, dlatego pytam. Jak stworzę na kompie, to czy Bitwarden będzie mi uwierzytelniał na komórce czy nie? Jeśli będzie problem, to muszę z kompa wygenerować kolejny passkey i zapisać go na komórce, zakładając, że taką opcję będę miał dostępną... Czyli przy zmianie urządzeń trzeba o tym pamiętać i generować nowe klucze. No i teraz pojawia się pytanie, jak będzie tysiące passkeyów to jak to ogarnąć? I tutaj jak w filmie powiedziano, nie ma problemu jeśli są one w chmurze (znowu - zakładam, że Bitwarden już to ogarnął i to działa na Androidzie) i pewnie to samo jeśli mamy Yubikey czy coś podobnego. A to ogranicza nas tylko do takich rozwiązań, mimo że w teorii można taki passkey zapisać gdziekolwiek. Jak ktoś będzie miał paranoję i nie będzie chciał chmury to sprawa się komplikuje. Chyba, że passkey będzie zapisany w KeePassie i wtedy trzeba pamiętać o przenoszeniu pliku czy jego backupie, bo systemy się czasem wywalają a dyski mogą ulec uszkodzeniu. No i już widzę tysiące użytkowników, którzy o to nie zadbali i musieli reinstalować system i stracili wszystkie passkey'e... To raczej nie jest rozwiązanie dla każdego i pewnie klucze fizyczne będą musiały się rozpowszechnić, żeby to działało dla szerszej grupy.
@bartoszc61576 ай бұрын
@@michadybczak4862 dokładnie z tymi samymi bolączkami się borykamy przy hasłach. Nie ma idealnych rozwiązań a truizm o backupach będzie zawsze mieć sens
@michadybczak48626 ай бұрын
@@bartoszc6157 Hasła łatwo zaimportować, wyeksportować czy to do pliku, chmury na urządzenie, menadżera haseł. Czyli np. przejście z LastPasa do Bitwardena to była pestka. Nie wiem czy tak samo łatwo dałoby się przenieść passkey'e. No nic, zrobiłem sobie passkeya na Googlu i zobaczymy jak to będzie działać. Nie lubię 2FA, bo to cholernie upierdliwe, szukać, sięgać po komórkę, odblokowywać ekran, klikać na apkę, potem przepisywać kod, a to już po autoryzacji hasłem. Jeśli można 2FA zastąpić passkeyami to chętnie to zrobię, ale mało który serwis jeszcze ma taką opcję a 2FA praktycznie wszystkie. Jak serwis mnie nie zmusi do 2FA to unikam, właśnie ze względu na niesamowicie upierdliwy proces logowania. Rozważałem kupno Yubikey'a czy coś podobnego, ale jakoś nie jestem pewny tego, bo to też jest mało wygodne i trzeba o tym pamiętać, podłączać, coś tam naciskać. W dzisiejszych czasach mamy setki jeśli nie tysiące kont, więc musi to być wygodne, inaczej nie przejdzie. Wiadomo, że wygoda jest wrogiem bezpieczeństwa, ale tak już jest, jakiś kompromis trzeba wypracować.
@YoursInThirst6 ай бұрын
Pozdrowienia widza z Infoshare
@MateuszChrobok6 ай бұрын
O/
@YoursInThirst5 ай бұрын
@@MateuszChrobok lepiej wypadasz w filmikach, na infoshare dźwięk by słaby, reszta git!
@petepete23705 ай бұрын
Passkeys to najwieksza dziura bezpieczeństwa jaka może być - BEZPIECZENSTWO TO ZAWSZE CO MASZ I CO WIESZ. I jeśli ktoś twierdzi inaczej to jest porostu ignorantem ( co sną zasadzie my nie jesteśmy fizykami- fizyki zostawmy fizykom my robimy. technologie - AUTENTYCZNY TEXT KTORY USLYSZALEM- ten batyskaf na pewno się zanurzy - ale juz się nie wynurzył ) Wyobraźmy sobie sytuacje - pracujesz wca worku - i poszedłeś na chwile zrobić kawę - przecież to tylko 2 stoliki stad - ( TO SA MOJE AUTENTYCZNE OBSERWACJE) i zaczynasz gadać 30. minut a komputer nie zablokowany - nie trzeba mieć. dużej wyobraźni. aby wpaść na to ze przestępcy działający parami - jeden zagaduje a drugi kradnie komouteri cyście wam konta - prawda ???
@bartoszc61575 ай бұрын
No prawda… ale nie do końca rozumiem analogię z Passkeys… Możesz sobie wyobrazić sytuację, że tankujesz auto, zostawiasz kluczyki w stacyjce i idziesz zapłacić za paliwo. A przestępca kradnie Ci auto. Kluczyki samochodowe to największa dziura bezpieczeństwa jaka może być!!! A tak na serio - passkeys spełniają standardy MFA - coś co masz to Twój uwierzytelniacz, który jeszcze musisz odblokować czymś co wiesz (pin) lub czymś czym jesteś (biometria). W Twoim scenariuszu przestępca nie zaloguje się na konta zabezpieczone passkeyem nawet na odblokowanym kompie. A jeszcze abstrahując od tego - nie zostawiajmy odblokowanych sprzętów w miejscach publicznych. Bo sposoby uwierzytelniania będą wtedy najmniejszym problemem jaki może nas spotkać…
@petepete23705 ай бұрын
@@bartoszc6157 Cóż niektórzy nigdy się nie naucza :-) Passkeys został stworzony do rozwiązania problemu głównie wykradania. passwd i i ch słabości - w miejsce tego zaserwował nam inne problemy . Jako osoba Kotra jakby pracowała w służbach by się baaaardzo cieszyła z tego jakbyś używał passkeys 🙂 Dlaczego - ano dlatego ze wziasc twój telefon i zmusić cie aby przyłożyć palec czy w przypadku apple nawet cie nie dotykać porostu zaprezentować. twoja twarz :-)( uprzedzając komentarze pseudo prawników -- tak zaprezentowanie telefonu przesłuchiwanemu( to twój telefon - ooo odblokował się ) nie jest. przestępstwem ani tortura w polskim prawie i może byc legalnie stosowane ) i mieć dostęp do wszystkich. twoich sekretów :-) praca stanie się dużo prostsza :-) .Nie wspomnę o zaletach zero day :-) i dostępu do. twojego telefony zdalnie 🙂 Nie wspomnę o pijanych ( każdemu się kiedyż zdarzyło ) itp Co do. twojego komentarza ze w moim scenariusz bym sie nie zalogował - to byś się zdziwił :-) - juz logowałem się nie raz i nie dwa :-) - wiec ufajmy paykess A na poważnie chcesz czas się w miarę bezpiecznie to kup bio yubi key
@Borowka-Amerykanska6 ай бұрын
Mateuszu, dlaczego zmiana hasła co miesiąc (wymagana w dużych korporacjach) jest złym pomysłem?
@bartoszc61576 ай бұрын
Pozwolę sobie odpowiedzieć - tworzy złe nawyki, użytkownicy często tworzą potworki w stylu hasło+miesiąc a na takie patterny "łamacze haseł" są szczególnie uwrażliwione. Generalnie zależy nam na tym aby użytkownicy byli jak najmniej kreatywni ;)
@Borowka-Amerykanska6 ай бұрын
@@bartoszc6157 Dzięki! 🤩
@whitestorm37726 ай бұрын
właśnie się dowiedziałem że dashlane ma też passkey, tylko trzeba stworzyć pierwszy, żeby funkcja się w aplikacji pokazała
@bartoszc61576 ай бұрын
Passkeys zyskują na popularności - producenci menadżerów haseł strzelali by sobie w stopę nie imlementując tej technologii u siebie.
@mikusion6 ай бұрын
no usuniete, ale po jakich 2 latach? po miesiacu, workspace, konto i cala zawartosc orana w imie oszczednosci
@szymonmol6 ай бұрын
Dlaczego częsta zmiana hasła jest antywzorcem?
@MateuszChrobok6 ай бұрын
Bo ludzie są przewidywalni i często jeżeli nie korzystają z losowych haseł z menadżerów dodają miesiąc albo mają system. Duża część popularnych łamaczy haseł ma specjalne opcje by szybciej łamać np. miesiące znaki specjalne na końcu i inne rzeczy, które jako ludzie robimy bo jest nam wygodniej.
@oBooMo5 ай бұрын
uuuu... brak wsparcia dla Linuksa... to samo w sobie eliminuje rozwiązanie jako standard. Wpędza w vendor lock-in - albo Apple albo MS
@bartoszc61575 ай бұрын
Brak wsparcia na Linuxach (albo szczątkowe wsparcie) nie oznacza, że nie można na tych systemach korzystać z passkey'ów. Wciąż masz możliwość używania uwierzytelniaczy 3rd party jak chociażby Keepass, czy SaaSowe managery haseł. Ten brak wsparcia dotyczy natywnej możliwości tworzenia passkey'ów na platformie.
@nihilistycznyateista6 ай бұрын
W sumie wolę autoryzacje bankowe akurat robić na telefonie w apce dodatkowo, wiec jak dla mnie spoko. To, co mnie, leniwego człowieka o przeciętnym stopniu paranoi interesowało to taki rodzaj spętowego uwierzytelniacza, który wpinam do portu USB i mam w czterech literach i po prostu się loguję do wszystkiego, do czego potrzebuję w szybki i wygodny sposób. Żadnych anydesków nie instaluję,w iec generalnie, aby się gdzieś w moim imieniu zalogować, przestępca musiałby się włamać do mojego mieszkania i fizycznie skorzystać z mojego komputera, czy tak to działa, cza za bardzo upraszczam?
@bartoszc61576 ай бұрын
Tak to właśnie działa... W sumie user experience jest taki jak opowiadasz w przypadku apki bankowej - API przerzuca Cię do systemu, gdzie potwierdzasz swoją tożsamość (twarzą, palcem, pinem) dzięki czemu odblokowujesz token, który wpuszcza Cię do banku. Flow w przypadku passkeys jest identyczny
@nihilistycznyateista6 ай бұрын
@@bartoszc6157 no nie do końca o to by mi chodziło. Myślałem bardziej o czyms takim, że ja raz aktywuję jakieś sprzętowe coś, wpięte do portu w moim komputerze, co odblokowuje menagera haseł/autoryzację bez haseł i po prostu bez robienia czegokolwiek magia dzieje się w tle i moje konta w serwisach się jakby same zalogowują na tym komputerze. To by było user experience, którego bym oczekiwał. Jestem, w pewnie niemałej, grupie tych osób, które nienawidzą upierdliwości, jaka wiąże się z wpisywaniem tych cholernych kodów z google autenthicator w drugim etapie uwierzytelniania, ale traktuję to jako mniejsze zło, bo braku dwuetapowego uwierzytelniania lub jakichś kodów sms to nie zniosę. Psychika mi nei pozwoli. I dlatego mocno myślę nad YubiKey. W czym PassKeys jest lepszy?
@GreatAnubis6 ай бұрын
Po ostatniej ogromnej wpadce Apple z pojawianiem się naszych skasowanych zdjęć nawet u innych, komu sprzedaliśmy urządzenie - tak to można pominąć. To takie nic. Można zaufać. Jak osoba zajmująca się uwierzytelnianiem tak mówi po tym incydencie to raczej średnio mówi o tym, że można im zaufać. Serio, mnie to zwyczajnie 'zdziwiło'. Nie ma tu nic wspólnego z paranoją - tu po prostu wiadaomo, że nie można tej chmurze zaufać. Jak można powiedzieć, ze to jest okej?
@bartoszc61576 ай бұрын
Małe wyjaśnienie - materiał był nagrany przed wpadką apple. Passkeys dopasowują się do osób z nefofobią :) Można mieć lokalne uwierzytelniacze. Ja trzymam passkeys w kilku miejscach - jak uznam, że te chmurowe przestają być dla nie w jakikolwiek sposób użyteczne, to je po prostu usunę.
@formbi5 ай бұрын
@@bartoszc6157 nieważne czy przed wpadką, każda «chmura» to tylko komputer kogoś innego i już mnóstwo takich usług miało różne problemy
@GreatAnubis5 ай бұрын
@@bartoszc6157 no spoko... tylko to zwyczajnie pokazuje, że chmura nie jest miejscem, której można zaufać i fakt, że rozmówca zajmujący się uwierzytelnianiem i generalnie bezpieczeństwem mówiący, że jej ufa to tak jakoś traci u mnie wiarygodność. Podkreślam - u mnie. Może komuś to nie przeszkadza. Jednak fakt, że MOJE zdjęcia pojawiają się u kogoś innego - na moim starym sprzęcie pokazuje, że implementacja szyfrowania to jakiś żart bo go w zasadzie nie ma (skoro widzi ktoś inny z innymi poświadczeniami, skąd ma klucze do odszyfrowania MOJEJ zawartości) ORAZ kasowanie zdjęć niczego faktycznie nie kasuje bo Apple nadal je ma. To bardzo mocno podważa wiarygodność Apple i generalnie chmury. To tylko przykład co się potencjalnie może stać i ja - niezajmujący się takimi rzeczami na codzień mam ogromy dystans do chmury i na pewno bym jej nie zaufał przecieram oczy gdy osoba, która obcuje z tym na codzień, mówi, ze to jest okej. Także tak średnio bym powiedział.
@Vexlarix5 ай бұрын
Zastanawiam się, czy google keypass jest przy tym dobrym rozwiązaniem? Zabrałem się za temat i widzę że założenia są dobre a wykonanie jak zwykle. Chcesz zrezygnować z hasła w Outlook? Jasne ale musisz ściągnąć MS auth. Chcesz zrezygnować z hasła na protonie? Pewnie ale musisz ściągnąć proton pass. Przecież to idiotyzm? Do każdego skasowanego konta apka od wlasciela serwisu osobna na wszelki wypadek?
@bartoszc61575 ай бұрын
Hej - w outlooku bez problemu zarejetrujesz passkey i możesz nie korzystać z Microsoft Authenticator. Co nawet mocno polecam, bo to rozwiązanie jest podatne na phishing. Google pozwala bez problemu zarejestrować passkeye - ich implementacja jest o tyle dziwna, że przy logowaniu każą podać email - co w ogóle nie powinno być potrzebne. Potwierdzanie tożsamości (na przykład przy linkowaniu apek zewnętrznych) już jest password- i usernameless. Proton mail - nie korzystam, nie wiem czy można tylko z passkeyów z proton pass korzystać, czy również z innych uwierzytelniaczy.
@Vexlarix5 ай бұрын
@@bartoszc6157 no właśnie wczoraj ogarniałem Outlook/konto microsoft. Wymuszało zeskanowanie kodu QR w Ms auth, bez tego absolutnie nie pozwoliło utworzyć klucza i usunąć hasła. Może gdzieś niezuwazylem opcji pominięcia tego ale próbowałem kilka razy 🤔
@michap.79096 ай бұрын
Jak zawsze wspaniały odcinek. Zastanawia mnie to z jakiego powodu Miśki od komputerów tak często są obłożeni tkanką tłuszczową ? Nie rozumiem 70% tego co mówi łysy.
@bartoszc61576 ай бұрын
To i tak nieźle - średnia zrozumienia to jakieś 15%. Poczytam to za sukces :)
@MrGonzoles6 ай бұрын
i tak trafią się "fachowce" ktòrę dadzą się naciągnąć xD
@bartoszc61576 ай бұрын
Nie trzeba być "fachowcem" - wystarczy mieć gorszy dzień. Dlatego warto promować standardy, które robią sporo w kierunku zdjęcia odrobiny odpowiedzialności za element między monitorem a krzesłem. Zawsze jedna płaszczyzna ataku mniej.
@dariuszmion27646 ай бұрын
Masakra to wszystko .... jakieś takie grubo skomplikowane
@bartoszc61576 ай бұрын
Tylko na pierwszy rzut oka. Technikalia rzeczywiście mają swój poziom skomplikowania, ale samo korzystanie z passkeys sprowadza się do tego co robisz na telefonie czy laptopie dziesiątki razy dziennie - potwierdzeniem się za pomocą biometrii czy innego PINu. Mógłbym Cię zaprosić na swojego lajva, ale tam planuje to skomplikować jeszcze bardziej :) Zamiast tego polecam materiał Kacpra Szurka o passkeys.
@dariuszmion27646 ай бұрын
@@bartoszc6157 - dziękuję znam materiał "materiał Kacpra Szurka o passkeys" . Co mnie, że tak powiem kolokwialnie mówiąc przeraza, to to, że dużo z tego trafia do chmury. Wolał bym by pewne sekrety były schowana w moje szufladzie np jak wydruki z zapasowych QR code 2FA Google Authenticator :)
@КатеринаШевчук-п4б5 ай бұрын
solenie, pieprzenie a zwykła babcia czy dziadek nie wie o czym pieprzycie a tym bardziej co to jest i jak korzystać, takim językiem mówicie...
@przypadkowynick07526 ай бұрын
Jprdl, przy tych passkeysach to popłynęliście tak, że możecie obaj pójść na rzecznika prasowego bo kilka dobrych minut sobie gadaliście niczego nie wyjaśniając
@cylian84226 ай бұрын
Był wcześniej cały odcinek o tym, czym są passkeysy. Ten odcinek miałbyć odpowiedzią na pytania pod rzeczonym odcinkiem (o czym zresztą Mateusz mówi na początku filmu). Polecam najpierw uważnie słuchać, a dopiero później krytykować
@Potimus_Ripme6 ай бұрын
ten pan troche niewyraźnie i za szybko mówi
@bartoszc61576 ай бұрын
to prawda, ale za to ma też kłopoty z wymawianiem "r" :)
@Potimus_Ripme6 ай бұрын
@@bartoszc6157 ojejku, przepraszam dla jasności powiem - ja się nie chcę czepiać absolutnie nic osobistego, tylko zwracam uwagę, że dla osób które nie znają Gościa odcinka na co dzień - zrozumienie wszystkiego co mówi może być kłopotliwe. Jednak z doświadczenia wiem, że: tym lepiej jesli grzecznie zwraca się na to uwagę, bo im częściej słyszy się takie komentarze, tym większą wagę będzie się przykładać do wyraźnej wypowiedzi i pracy nad dykcja. Często jest tak, że ludzie, którzy mają wiele do powiedzenia i potrafią budować/ kolejkowac sobie naprzód po 2 zdania w czasie wypowiedzi, chcąc wszystko zmieścić - często zapominają o estetyce wypowiedzi. [Spoilery] Spośród osób, które w ten sposób imponują, wyprzedzając myślą nie tylko słowa ale i całe zdania, mógłbym wymienić Stanisława Lema. Oglądałem kiedyś wywiady Grzegorza brauna zdaje się ze Stanisławem lemem i po prostu głowa mała mi się zrobiła, gdy zobaczyłem jak pan Lem dalece "wybiega naprzód" w czasie udzielania odpowiedzi; co prawda jemu dykcja nie sprawiała większego problemu ale to jest ten sam gatunek inteligentnego człowieka 😁[/spoiler]
@bartoszc61576 ай бұрын
@@Potimus_Ripme Ależ w ogóle się nie przejmuj :) Zrehabilitowałeś się porównaniem z Lemem