Διαθέσιμη η χρήση passkey για τους λογαριασμούς Microsoft σε Windows, Android και iOS

[Axlmon]

Μετά την εισαγωγή της δυνατότητας αυτής στα Windows 11 το 2023, η Microsoft επεκτείνει τη λειτουργία στα Windows, το Android και το iOS.

H Microsoft ανακοίνωσε την πλήρη διάθεση της δυνατότητας αυτής μέσω ανάρτησης στο εταιρικό ιστολόγιο. Η εταιρία επισημαίνει ότι οι επιθέσεις με στόχο το σπάσιμο κωδικών πρόσβασης έχουν αυξηθεί σε ποσοστό άνω του 3.378 τοις εκατό από τη στιγμή που παρουσίασε για πρώτη φορά το Windows Hello, τη μέθοδο σύνδεσης με τη χρήση βιομετρικών στοιχείων, μέσω των Windows 10, ενισχύοντας έτσι την προσπάθειά της να αντικαταστήσει τους κωδικούς πρόσβασης με κλειδιά πρόσβασης. Αρχής γενομένης από αυτή την εβδομάδα, η Microsoft δίνει τη δυνατότητα προσθήκης και χρήσης passkey που δίνουν στο χρήστη πρόσβαση μέσω της αναγνώρισης προσώπου, του δακτυλικού αποτυπώματος ή και κωδικού PIN στις πλατφόρμες Windows, Google και Apple.

H διαθεσιμότητα των passkey αυξάνεται σταθερά το τελευταίο διάστημα σε σειρά ιστοσελίδων και πλατφορμών, με τη Google να κινείται με τη σειρά της προς αυτή την κατεύθυνση, προσθέτοντας δικά της συστήματα passkey. Με δυο λόγια, αυτά προσφέρουν περισσότερη ασφάλεια από ό,τι ένας κλασικός κωδικός πρόσβασης, καθώς συνδέονται με την εκάστοτε συσκευή: η συσκευή ενσωματώνει μέρος του κλειδιού, ενώ η εφαρμογή ή η ιστοσελίδα -εν προκειμένω η Microsoft- διατηρεί το άλλο. Δεν υπάρχει ένας "κωδικός πρόσβασης" για να υποκλαπεί: χωρίς την επιβεβαιωμένη συσκευή, δεν είναι δυνατή η πρόσβαση στους λογαριασμούς του χρήστη.

Η Microsoft κινούταν σταδιακά προς την προσθήκη της λειτουργίας αυτής σε ολόκληρο το οικοσύστημά της, αρχής γενομένης με ένα πρόγραμμα διαχείρισης αυτών των κλειδιών, που παρουσιάστηκε με τα Windows 11 και επιτρέπει στο χρήστη να αποθηκεύει κλειδιά πρόσβασης για άλλες ιστοσελίδες και εφαρμογές απευθείας στη συσκευή. Παράλληλα, η δημιουργία ενός τέτοιου κλειδιού μέσω των Windows λογικά θα διευκολύνει και τη σύνδεση σε άλλες εφαρμογές, καθώς από ό,τι φαίνεται η Microsoft θέλει να επεκτείνει τους τομείς όπου γίνονται δεκτά τα Windows passkey.

Τη στιγμή που οι εφαρμογές παραβίασης κωδικών πρόσβασης διασπείρονται όλο και περισσότερο, με τις απαιτούμενες παραμέτρους για τη σύνθεση κωδικού πρόσβασης να γίνονται όλο και συνθετότερες, τα κλειδιά πρόσβασης προσφέρουν ένα βολικό όσο και ασφαλέστερο τρόπο σύνδεσης στο λογαριασμό, χωρίς να χρειάζεται ο χρήστης να σημειώσει κάπου ένα ατελείωτο όσο και μπερδεμένο κωδικό -γεγονός που, από μόνο του, εξ ορισμού περιορίζει την ασφάλεια που παρέχει ο κωδικός- προκειμένου να το θυμάται.

Τα passkey στα Windows 11 οι χρήστες μπορούν να τα διαχειρίζονται πηγαίνοντας στην ενότητα Settings > Accounts > Passkey Settings όπου, πατώντας πάνω στις τρεις τελείες δίπλα στο εκάστοτε passkey μπορούν να το τροποποιήσουν.

Διαβάστε ολόκληρο το άρθρο

[cpc464]

Και δείγμα dna,σάλιου,αίματος και ούρων να δίνεις οι hacker θα βρουν τρόπο.

[Fotoalexandros]

13 minutes ago, cpc464 said:

Και δείγμα dna,σάλιου,αίματος και ούρων να δίνεις οι hacker θα βρουν τρόπο.

Πάμε ολοταχώς προς "μαρκάρισμα", καθώς θα είναι η μόνη σίγουρη μέθοδος, τουλάχιστον σε σχέση με τις υπόλοιπες. Αν και δεν είμαι χριστιανός, κατά τραγικό τρόπο οι προβλέψεις τους φαίνεται να επιβεβαιώνονται, όχι γιατί υπάρχει κάποια "υπερφυσική αποκάλυψη" που τους το "σφύριξε", αλλά γιατί η ιστορία των πολιτισμών ακολουθεί τους ίδιους επαναλαμβανόμενους κύκλους: ξεκινάνε με τις καλύτερες προθέσεις και πάντα για το καλό μας για να καταλήξουν σε σκλαβιά.     

[cpc464]

13 ώρες πριν, Fotoalexandros είπε

ξεκινάνε με τις καλύτερες προθέσεις και πάντα για το καλό μας για να καταλήξουν σε σκλαβιά.     

Αυτό μου θυμίζει το ξένο ρητό " Ο δρόμος προς την κόλαση είναι στρωμένος με καλές προθέσεις".

Επεξ/σία 9 Μαϊου από cpc464

[freegr]

Τα προσωπικά δεδομένα στη φορά άλλη μια φορά;

[VanJ]

Έχω απορίες. Το βιομετρικό μεταφράζεται σε ένα μεγάλο κωδικό στη συσκευή, και σύμφωνα με το άρθρο το μισό κλειδί έρχεται από user device και το άλλο μισό από το Microsoft passkey server. «Χωρίς την επιβεβαιωμένη συσκευή δεν είναι δυνατή η πρόσβαση» όπως λέει και το άρθρο, γιατί το βιομετρικό (πχ δεξιός αντίχειρας) μεταφράζεται σε άλλο κωδικό σε μια συσκευή, και σε διαφορετικό κωδικό σε μια άλλη συσκευή.

Αυτό αυτομάτως δεν σημαίνει πως αν χαλάσει, σπάσει, χαθεί η επιβεβαιωμένη συσκευή, τότε χάνουμε τη δυνατότητα σύνδεσης στο λογαριασμό μας; Ας πούμε πως προσθέτω 2 επιβεβαιωμένες συσκευές, ένα κινητό κι ένα laptop. Μου τα κλέβουν και τα δυο, χάνω για πάντα την πρόσβαση;

Στους browsers πλέον υπάρχει ένδειξη που λέει κάτι σαν: «189 από τους 220 αποθηκευμένους κωδικούς έχουν παρουσιαστεί σε περιστατικά διαρροών». Κάθε βδομάδα σχεδόν διαρρέουν κωδικοί από οποιοδήποτε είδους online υπηρεσία. Ο μεταφρασμένος (μέσω της επιβεβαιωμένης συσκευής μου) και πιθανόν πολύ μεγάλος κωδικός που στέλνει το βιομετρικό μου, θα περάσει από αυτές τις online υπηρεσίες (είτε είναι κάποιο forum login, είτε online shop, είτε gaming service)  και ξαφνικά θα μπει σε λίστα περιστατικού διαρροών. Εγώ δεν θα το μάθω ποτέ επειδή δεν αποθηκεύεται το βιομετρικό κλειδί στον browser ώστε να ελεγχθεί, παρόλα αυτά οι hackers θα έχουν πρόσβαση στον κωδικό που δημιουργήθηκε από το δακτυλικό μου αποτύπωμα. Μάλιστα, αν χάσω εγώ την επιβεβαιωμένη συσκευή μου η οποία είναι η μοναδική που μπορεί να παράγει τον κωδικό αυτό βλέποντας το συγκεκριμένο δάχτυλο που καταχώρησα, τότε εγώ δεν θα έχω πρόσβαση, αλλά ο hacker του περιστατικού διαρροής θα είναι ο μόνος που έχει πρόσβαση. Λάθος το σκέφτομαι;

Το μόνο που μου προσφέρει είναι προστασία από keyloggers, καθώς και προστασία από διαρροές ενός εκ των υπηρεσιών αποθήκευσης κωδικών (1password κλπ) καθώς πλέον δεν θα υπάρχουν αποθηκευμένοι κωδικοί από την πλευρά του χρήστη. Οι περισσότερες διαρροές όμως δεν έρχονται από αυτά.

Επίσης, για να αποφευχθεί η απώλεια πρόσβασης σε περίπτωση απώλειας επιβεβαιωμένης συσκευής, όλες οι υπηρεσίες ή σχεδόν όλες, αφήνουν ενεργό και το master key με τον κλασικό κωδικό του χρήστη, το οποίο επίσης αργά η γρήγορα θα εμφανιστεί σε «περιστατικό διαρροής κωδικών».

Μάλλον κάτι δεν καταλαβαίνω σωστά στο θέμα κωδικών και βιομετρικών.

[mariosnik_]

Θα χακαριστει κι αυτό. 

[oldnew]

Μεγάλη ιδέα έχετε για τους χακερς, λες και είναι μάγοι και βγάζουν λαγούς απ το καπέλο.  Στο 90% των περιπτώσεων, τον κωδικό στον παίρνουν με fishing. Εσυ ο ίδιος τον δίνεις. Απλα οι περισσότεροι δεν αντιλαμβάνονται καν ότι τον δώσανε οι ίδιοι, και το αρνούνται. Πχ μπαίνεις στο web interface μιας τράπεζας να κάνεις login και δεν έχεις πάρει χαμπάρι ότι είναι ψεύτικο και ότι στην πραγματικότητα δίνεις τους κωδικούς σου σε ένα χακερ εκείνη τη στιγμή. Ένας απ τους 100αδες τρόπους fishing. Την πατάνε και οι καλύτεροι κάποια στιγμή. Ολα τα υπόλοιπα είναι 10% και συνήθως δουλεύουν βαση του νόμου των μεγάλων αριθμών. Να μη κάνω περισσότερη ανάλυση αλλά ουσιαστικά είναι λαχειο. Θα τύχει σε κάποιον τυχαια συνήθως με κακο password. Ολες οι υπόλοιπες μέθοδοι, για να χακαρεις στοχευμενα κάποιον συγκεκριμένο απαιτούν πληροφόρηση απο πριν με κάποιον τρόπο.  Η μέθοδος που αναφέρεται εδω, θα βοηθήσει. Μη βλέπουμε καθε βελτίωση ως "υποδούλωση" κλπ. Δεν γίνονται ολα για το κακό  μας.. 

[nan78]

11 ώρες πριν, cpc464 είπε

Αυτό μου θυμίζει το ξένο ρητό " Ο δρόμος προς την κόλαση είναι στρωμένος με καλές διαθέσεις".

Σωστοα το ξεκινησες αλλα οχι "διαθεσεις", "προθεσεις" λεει.

[cpc464]

4 λεπτά πριν, nan78 είπε

Σωστα το ξεκινησες αλλα οχι "διαθεσεις", "προθεσεις" λεει.

fixed

 

[Gk2016]

Βλέπω να γεμίζει το dark web με αγγελίες του είδους :

με 100 δολάρια σας δίνουμε 200.000 δάκτυλα κομμένα και 75.000 βγαλμένα μάτια, για παράκαμψη βιομετρικών κλειδιών ασφαλείας

[oldnew]

40 minutes ago, Gk2016 said:

Βλέπω να γεμίζει το dark web με αγγελίες του είδους :

με 100 δολάρια σας δίνουμε 200.000 δάκτυλα κομμένα και 75.000 βγαλμένα μάτια, για παράκαμψη βιομετρικών κλειδιών ασφαλείας

Πολυ χαμηλή τιμη για κατι τετοιο..

[nan78]

1 ώρα πριν, Gk2016 είπε

Βλέπω να γεμίζει το dark web με αγγελίες του είδους :

με 100 δολάρια σας δίνουμε 200.000 δάκτυλα κομμένα και 75.000 βγαλμένα μάτια, για παράκαμψη βιομετρικών κλειδιών ασφαλείας

 Σαν σεναριο εχει ηδη παιχτει σε καποιες ταινιες..

[great]

εχει σκάσει ήδη στο temu διαφήμιση για USB passkey fingerprint reader

add to cart

[Engimek]

19 ώρες πριν, VanJ είπε

Έχω απορίες. Το βιομετρικό μεταφράζεται σε ένα μεγάλο κωδικό στη συσκευή, και σύμφωνα με το άρθρο το μισό κλειδί έρχεται από user device και το άλλο μισό από το Microsoft passkey server. «Χωρίς την επιβεβαιωμένη συσκευή δεν είναι δυνατή η πρόσβαση» όπως λέει και το άρθρο, γιατί το βιομετρικό (πχ δεξιός αντίχειρας) μεταφράζεται σε άλλο κωδικό σε μια συσκευή, και σε διαφορετικό κωδικό σε μια άλλη συσκευή.

Δεν είναι ακριβώς έτσι. Θα τα πω με λίγο απλή ορολογία γιατί έχει περάσει αρκετός καιρός που είχα διαβάσει σχετικά με το θέμα και δεν τα θυμάμαι όλα ακριβώς...

Πρώτον, το δακτυλικό σου αποτύπωμα δεν φεύγει ποτέ από τη συσκευή σου ούτε αποτελεί μέρος κάποιου hash για να κάνεις Log in. Είναι ένας τρόπος για να γίνεται επιβεβαίωση ότι εσύ κρατάς τη συσκευή στο χέρι και όχι κάποιος άλλος. Αντί για δακτυλικό αποτύπωμα θα μπορούσε να ζητείται πιν. Θα μπορούσε να σου ζητείται να πατάς απλά και ένα "οκ"... που θα ήταν λιγότερο ασφαλές. Π.χ. υπάρχουν usb "κλειδιά" με τα οποία κάνεις Login με το ίδιο πρότυπο - άλλα έχουν δακτυλικό αποτύπωμα, άλλα πιο φτηνά απλώς ένα κουμπάκι.

Δεύτερον, η συνεννόηση μεταξύ της συσκευής που χρησιμοποιείς για να κάνεις passwordless login και του website γίνεται μέσω ασυμμετρικής κρυπτογραφίας... εσύ έχεις ένα private key, το website ένα public που του είχες δώσει οταν έκανες εγγραφή. Όταν λοιπόν σου στέλνει μια κρυπτογραφημένη "άσκηση", επειδή έχεις το Private key μόνο η συσκευή σου μπορεί να την επιλύσει. Τα λέω λίγο απλοικά... στην πραγματικότητα εκτός από το private key χρησιμοποιούνται και άλλα πράγματα για να λυθεί το challenge που σου κάνει, όπως η π.χ. η διεύθυνση που έχεις στον browser σου (anti-phishing), και αν δεν είναι όλα σωστά τότε δεν μπορείς να κάνεις Log in.

Οπότε αυτό που αναφέρεις ως μισό-μισό κλείδί είναι τα private και public κλειδιά που έχει το ζεύγος συσκευή - website.

Επομένως δεν υπάρχει κάτι που μπορεί να διαρρεύσει σε τρίτους γιατί η αρχή λειτουργίας είναι τέτοια. Δεν στέλνεις τα κλειδιά. Τα χρησιμοποιείς για να κρυπτογραφείς/αποκρυπτογραφείς. (έχει επίτηδες σχεδιαστεί έτσι).

Τώρα όσοι λένε ότι θα το "σπάσουν". Η απάντηση είναι όχι για δυο λόγους.

1. Είναι δύσκολο (ποτέ μα ποτέ δεν θα πω αδύνατο)

2. Θα στοχεύουν πάντα το πιο εύκολο θύμα, δηλαδή τις εναλλακτικές recovery methods. Γιατί όπως σωστά αναφέρθηκε, αν χάσεις το κλειδί σου (κινητό, usb key) τι θα κάνεις? Κάπως πρέπει να κάνεις recovery. Θα είναι εύκολη ή δύσκολη η ανάκτηση? Όσο πιο δύσκολη είναι τόσο πιο προστατευμένος είναι κάποιος, αλλά θα υπάρχει πολλή "τριβή" για την ανάκτηση. Άρα τα μεγάλα services θα πρέπει να βρουν μια ισορροπία μεταξύ ασφάλειας και ευκολίας χρήσης.

π.χ. αν υπάρχει κακός σχεδιασμός, το μόνο που θα πρέπει να κάνει ένα phishing page είναι να σου πει ψέμματα ότι το passwordless login δούλεψε και στη συνέχεια να ζητήσει για "επιβεβαίωση" να χρησιμοποιήσεις και τη μέθοδο ανάκτησης... που άμα το κάνεις θα μπει στο λογαριασμό σου.