Отличный вопрос! Приватный ключ действительно остаётся только на вашем устройстве, а в облаке хранится его зашифрованная копия, чтобы восстановление было возможно только с авторизацией. Даже если облачные сервера каким-то образом взломают, зашифрованный бэкап не даст злоумышленникам доступ к вашему ключу без вашего биометрического подтверждения или PIN-кода. Это делает Passkey намного безопаснее традиционных паролей.

@@alexwysiwyg я тогже заметил. В видео говорилось "например, ввод пароля apple id или google аккаунта". И вот на этом моменте мы приходим к тому, что хранение десятков разных passkey сводятся к взлому всего одного пароля. Да, конечно там ещё биометрия или пин присутствует, но не уверен, что это делает Passkey "намного" безопсанее. Я бы сказал, что Passkey - это здоровая альтернатива для среднестатистических пользователей, у которых пароли на всех сайтах одинаковыи е лёгкие. А видео хорошее, респект.

@@alexwysiwyg а кто даст гарантию, что сотрудники этого облака не дешифруют этот приватный ключ, получат доступ к аккаунту, к которому привязан криптокошелек, а в нём, например, 10 биткоинов?

​@@alexwysiwygсомнительно, на каком этапе происходит шифрование ключа?

​@@alexwysiwygя думаю в этом проекте пароль вообще лишний, т к его можно брутануть. А палец/фейс оставит

У нас физрук тоже такое иногда нёс...терминология может быть разной, но суть остается неизменной: public (публичный) и private (приватный) ключи - это основа асимметричной криптографии.

​@@DonKihot-kx6ctхреновый препод, а может и универ

@sterben4939 Преподаватель не прав, публичной может быть библиотека.

ну поумничать то надо )

Ваш препод недалекий человек, если такое говорит

Та че слабо? Авторизироваться можно хоть на миллионе устройств , главное потом выйти деавторизироваться с чужого/ненужного устройства)

Согласен, этот момент плохо освещён в ролике. Должно ли у меня быть с собой хоть что-то, чтобы авторизироваться в каком-либо сервисе с общественного компьютера? Или достаточно ввести пин-код от паскея и всё, полный доступ есть? А от какого паскея я пин-код ввёл система как определит? То есть какой-то логин всё же будет, чтобы сервис определил к какой учётке я хочу получить доступ?

Так вы сути не поняли, без метода авторизации и ключ будет бесполезен. В видео же даже рассмотрели вариант кражи девайса...

@@GedonistoGedonisto так отпечаток пальца тоже хранится на устройстве как данные и может быть сворован.

@@Archik4 Да, но биометрические данные обычно хранятся в виде шаблонов (hash или encrypted data). И биометрический шаблон нельзя преобразовать обратно в исходное изображение, например, отпечаток пальца или лица. Это делает его бесполезным, даже если злоумышленнику удастся получить доступ к шаблону.

​@@GedonistoGedonisto уважаемый, если вы понимаете, что такое хеш, то потрудитесь подумать, что всегда можно передать куда-то что-то, хранящееся на носителе, так же, как это делает программа passkey - достаточно иметь эти данные и иметь понимание алгоритма аутинтификации

@@positive6329 много уважаемый, что такое кеш я понимаю. Но чтобы просить кого-то потрудится нужно показать пример , например самому разобраться в технологии. Кеш никуда не передается в случае passkey. Я понимаю, что вы светило мирового уровня и такие техногиганты как apple, google и криптобиржи с многомиллиардными оборотами сделали огромное упущение не посоветовавшись с Вами и внедрили Passkey как главный способ. Это конечно ошибка века была....

Passkey как раз и решает проблему простых паролей и их хранения. Пинкод используется только локально для разблокировки приватного ключа на вашем устройстве, а не для аутентификации на сервисе. Приватный ключ никогда не покидает устройство - в облаке хранится его зашифрованная копия для синхронизации между вашими устройствами, и только вы можете её расшифровать. Что касается DNS-записей, passkey защищён от этого: каждый ключ привязан к конкретному домену сервиса, так что подмена DNS не позволит обмануть систему. Этот механизм значительно сложнее стандартного двухфакторного подхода и уже используется крупнейшими компаниями вроде Google, Apple и Microsoft как основной метод аутентификации.

Спасибо! Ваш комментарий действительно повлиял на выбор темы для этого видео. Нам очень важно отвечать на вопросы зрителей и делать контент, который приносит пользу. Если будут ещё идеи или вопросы, обязательно делитесь - это всегда вдохновляет!

Если не углубляться в в технические детали, то passkey - это технология, ориентированная на удобство и массовое применение, она основана на криптографических принципах, схожих с ЭЦП, но не требует сложной настройки и инфраструктуры для конечного пользователя. Она интегрируется с биометрией и устройствами, чтобы заменить пароли и обеспечить бесшовную аутентификацию для большинства сценариев, в то время как ЭЦП обычно используется для узких юридически значимых задач.

По вашей логике зачем эти банковские карты и прочие сложности, если все упирается в пин. Пришел в банк сказал пин и получил кеш, или что-то помешает?

@Progressor-xn1mz именно так) Вставил карточку, набрал пин и снял нал. Или у вас как-то по другому? Так и здесь. Паскей, облако, шифрование, а вскрывется всё одним пинкодом устройства) Отсюда и вопрос - зачем?

@Progressor-xn1mz давайте разыграем ситуацию. Есть несколько сайтов где для авторизации у вас есть логин и пароль и вы их знаете. Если кто-то узнает пинкод вашего устройства он получит возможность логиниться? И другая ситуация. У вас всё подвязанно на "магические" паскеи, со сложной архитектурой шифрования и облачным хранилищем. Да только толку от этого ноль, если достаточно знать пинкод устройства. Так понятно изьяснил?)

@@germanovsijenko да нет какая карточка так просто просто подошел к банкомату 4 цифры ввел и все. Карточки и тд это все ненужные сложности выдуманные неизвестно для чего, все эти идентификации и прочие сложности. Главное пин код же знать, исходя из вашей логики конечно) А если серьезно, то пинкод вам естественно ничего не даст. Если похитят устройство владелец просто удалит его из списка устройств и даже если пин будет нацарапан на экране толку уже не будет. В ролике даже про этот момент рассказали. Тем более кто вам мешает почитать документацию к API и разобраться глубже на профессиональном уровне.

По сути нет. Пинкод это всего маленький элемент технологии passkey, а пароль основа технологии с которой вы сравниваете. Это как с пальцем сравнивать. Плохо что вы не заметили всех других отличий в способах авторизации кроме пинкода и пароля.

Маски, отпечатки, камеры - звучит как сценарий для шпионского фильма, а не реальная угроза. И да, пока вы мечтаете о квантовой криптографии, современная RSA продолжает защищать ваши данные. Реальность, знаете ли, побеждает фантазии)

@@DonKihot-kx6ct Маска стоит штуку баксов - это не шпионский фильм. Есть замок и есть ключ(может с изоморфным контролем или ПИН-кодом) несколько копий которого поставляются с ноутбуком, а без ключа идешь в сервис и меняешь микросхему замка так выглядит нормальная ситуация, - а не так у нас есть квантовый компьютер 7x7 49 кубит всё нормально не беспокойтесь RSA надёжно защищён.

Если вы введёте неправильный PIN-код несколько раз, система может временно заблокировать доступ для защиты от злоумышленников. Однако вы не потеряете доступ к своим паролям. Обычно есть методы восстановления, такие как использование биометрии, резервных кодов восстановления или вход через доверенные устройства. Важно следовать инструкциям конкретного сервиса для восстановления доступа.

на IP v6 с 1996 года переходим. Вроде уже 5% устройств работают на этом протоколе

@@SarCleric Как и на WPA3 не могут перейти.

эм, нет, никогда никому ничего не отдаю, не пользуюсь телефонами с блокировкой по пвльцу а если беру в руки никогда сканера не буду касаться.но в сбербанке гады все равно ее получили , на каком то обслуживании сказали "посмотрите в камеру", не усаел среагировать а она уже все, биометнию получиди, спвсибл)

а потом, ой, а че это моим родственникам звонят мощенники с наложенным дип фейком) сейчас главная новинка - кулон-помошник с чат джипити который все анализирует, только у него не свои мозги, а передает куда то на сервер. а главное зяэаявлено что там сделали функцию ятения мыслей. утка скорее всего но ьехнически ничего невозможного - упаравление устройствами мыслями без вживления чипов уже реальность - ведь это электрические импульсы которые можно сяитывать. так что продолжаем хлопать в ладоши и покупать смартфоны послежних моделей, все лучше угадывающих какую нам лучше рекламу посоветовать)

на винде камера в помощь для faceID , ну а с телефоном думаю и так понятно что никак...да и зачем вам passkey на таком телефоне)

@@DigitalBrick-xb3bb я пытаюсь понять ограничения и возможности технологии :) я вообще веб-разработчик (и хоть вышеупомянутая нокия у меня есть, но есть и смарт, суть не в нём сейчас). упрощение процесса логина весьма благотворно скажется на безопасности, но в пасс кей я пока именно упрощения не наблюдаю. вот пытаюсь понять правильно ли я понял что с помощью ТОЛЬКО браузера - не воспользуешся пасскей и надо полюбому камеры/телефоны/прочее доп.оборудование (т.е. опять усложнение процесса)? А если неправильно и таки есть возможность воспользоваться - то как? пока что я не вижу преимуществ пасскей перед оаус входом через тот же гугл например.

@@nasaivan если нет камеры и сканера то можно юзать пинкод. А если вы разработчик, то вам и вникать то особо не нужно(так-то нужно конечно, но не обязательно) ) просто берете API того сервиса для которого паски интегрируете и далее по докам к API все делаете) Вам же по сути не разрабатывать регистрацию для сервиса как я понимаю. А вообще по поводу преимуществ это не про простоту интеграции, а про передовой метод безопасности. Все кто хейтят passkey просто не понимают что это реально практически не взломать.

@@DigitalBrick-xb3bb да вот как раз именно что разрабатывать регистрацию :) Ну понятно что не совсем с нуля. сейчас есть уймища разных фреймворков и плагинов к ним. Однако всё равно надо понимать весь процесс чтоб дырок не понаоставлять :) Простота интеграции для меня не является основным критерием. Лень - ленью, а безопасность важнее :) Меня интересует простота с точки зрения пользователя. Чтоб условна моя мама сказала "а это легче". И ей легче с листочка пароль ввести чем несколькими устройствами жонглировать. Да, вот этот самый "листочек" меня и напрягает. Потому и хочу найти способ, достаточно защищённый и при этом достаточно ПРОСТОЙ для ВСЕХ пользователей. И пока два наиболее ПРОСТЫХ - OAuth (вход через гугл; защищённость равна защищённости аккаунта гугла, а сам акк есть как минимум у всех, у кого есть андроид) и вход по цифровому ключу (тут точка уязвимости - файл приватного ключа). Для сервисов типа почты или персонального кабинета водоканала - достаточно входа через гугл, для банков - ключ ЭЦП. Ну и, конечно, мы сейчас не говорим про сервисы с особым уровнем секретности. Там хоть FIDO2 ключи на двери в туалет можно ставить :)

Сделать и тот и тот вариант. Кому что удобнее, то и выберут. Взять к примеру какой-то бинанс там же и то и то есть. Бы ли бы пароли кручи или двухфакторная, то никаких бы passkey там небыло. Сейчас куда не глянь везде уже начинают его интегрировать и чем авторитетнее ресурс тем быстрее там появляется этот способ авторизации. Это уже не остановить)

Не т.е. Жаль не всё это понимают...

К счастью это не так работает. А так бы воровали...Пароли и Passkey сравнивать, как велосипед с птицами

@ я писал на правах иронии) Это же бесконечная гонка защиты и взлома.

PIN-код безопаснее пароля в контексте Passkey, потому что он используется только на конкретном устройстве и не передается через интернет. Даже если устройство украдут, злоумышленнику понадобится доступ к биометрии или физическому устройству для разблокировки. Количество попыток ввода пин ограничено.

ну а на банковской карте можно? Да там тоже пинкод представляете ? и ничео не слышал пока что подобрали... но пин ничего не даст нужно еще устройство, так как на другом устройстве уже нужен будет ключ и тд.

Конечно используют, это самый безопасный и передовой способ

@@DonKihot-kx6ct отлично! Спасибо за ответ!:)

Пин-код например 8 цифр. Если подбирать 3 раза неверно потом тайм-аут + вы получите оповещение наверняка, а значит будете знать о попытке входа. Плюс к passkey можно добавить двухфакторную аутентификацию, тогда вообще будете спокойны и безмятежны)

Так а толку его компрометировать. Если без биометрии он бесполезен. Она не даёт прямого доступа к Passkey. Для успеха атаки злоумышленнику также потребуется доступ к вашему устройству.

А если для доступа в сеть будут использоваться телефон, компьютер дома, ноутбук, компьютер у родителей, компьютер на работе, ещё какой-нибудь компьютер? Ведь на всех этих устройствах будет твой паскей. И к большинству из этих устройств могут иметь доступ другие люди, в том числе злоумышленники. Кроме того почти все из них не имеют камеры или сканера отпечатков пальцев, а значит используется пин-код. Пин-код проще пароля, а значит и узнать или подобрать его проще. После этого злоумышленник берет и отключает все твои устройства от авторизации, как если бы ты сам мог его отключить, если бы узнал о несанкционированном доступе к устройству, но ты об этом ещё не успел узнать, а он уже знает и действует. Финита ля комедия.

PIN-код безопаснее пароля в контексте Passkey, потому что он используется только на конкретном устройстве и не передается через интернет. Даже если устройство украдут, злоумышленнику понадобится доступ к биометрии или физическому устройству для разблокировки. Количество попыток ввода пин ограничено.

Кроме биометрии есть способ с пинкодом

Наверно вы не знаете, что ваши пароли также хранятся не у вас)

@@Progressor-xn1mz И где же они тогда хранятся?

@@PsevdonimAndreyaVladimirovichaДумал это очевидно...они хранятся на сервере) для сравнения с тем что вы вводите, если они совпадают то "вам можно") а если не верно ввели то "нельзя". Понимаете?

@@Progressor-xn1mz На нормальных ресурсах хранятся контрольные суммы паролей и, скорее всего, даже с так называемой "солью". Так что в случае их кражи это не принесёт вреда. А если такого подхода нет, то это не ресурс, а помойка.

​@@PsevdonimAndreyaVladimirovichaВаше понимание безопасности застряло в прошлом веке. Если бы хэширование с солью было панацеей, мы бы не видели регулярных утечек данных с «нормальными» ресурсами. Ключ доступа позволяет передавать хранимые секреты, создавая бессмысленные данные. Больше методов не обеспечивают должного уровня защиты)

Бывает...

Я свои вобще не знаю😂. Помню только парольную фразу для KeePassXC. Можно хранить на накопителях и в облаке. Если попадет в чюжие руки могу пожелать удачи расшифровать 🤣

Чем напрягают? Сгенерировал и сохранил в кипасс

@@barma1309 а они застряли на паролях записанных в блокнотик, поэтому пароли и напрягают. А люди уже десятилетиями используют менеджеры паролей с авто подстановкой, что кстати спасает от поддельных сайтов... У меня пароли генерируются длинной в 16 символов, я их даже не смотрю, поэтому мне вообще не понятно в чём проблема с паролями.

@викторзюбин-о4т А зачем их помнить? Кроме некоторых.

Не убедил

Не пытался даже убеждать)

​@@barma1309 ну вот и ходи неубежденным)