Brak haseł to przyszłość; Microsoft nie wierzy w tradycyjne logowanie
Jak ktoś jest siedmiolatkiem albo mu zwyczajnie nie zależy na śmieciowym koncie to ustawi sobie hasło 123456 zaś jeśli mówimy o ważnych kontach to jakoś nie widzę tego by metoda bruteforce złamała odpowiednio zredagowaną inwokację, no chyba że dojdzie do włamania do baz danych albo znajdą jakiś exploit ale nie wierzę by ta tajemnicza metoda bez hasał była odporna na wyżej wymienione
Wpisywanie coraz dłuższych haseł i coraz więcej wymyślnych znaków jest średnim obecnie rozwiązaniem.
Dlatego autoryzacja kluczem publicznym/prywatnym na podstawie biometrii może być bardzo dobrym rozwiązaniem.
Authenticatory są bardzo wygodne i stosuje je już bardzo dużo firm i konkretnych gier. Wargaming, EA, Steam, Microsoft, Epic, Google, Battlenet - korzystam i jest to bardzo bezpieczne oraz wygodne - szkoda tylko, że każda firma chce mieć własną apkę do tego (wyjątkiem są firmy korzystające z Au. od Googla - Epic, EA, Wargaming).
Moje hasła miały tyle ewolucji że pierwsze w życiu hasło miało11 znaków. Obecne master hasło którego używam tylko w ultra ważnych przypadkach ma 48 znaków. (nie każda strona pozwala na wiele więcej). Fakt, gdy muszę pamiętać 18 różnych haseł (by nie powielać ciągle tego samego) to czasem trudno dobre akurat wbić. Muszę wymyśleć co tu zmienić w tej kwestii.
Długość hasła nie gwarantuje bezpieczeństwa bo i tak może ono być przechowywane w formie zmienionej ( krótszej ) przez algorytmy uwierzytelniające. Wszystko zależy od implementacji.
Długość hasła nie gwarantuje bezpieczeństwa bo i tak może ono być przechowywane w formie zmienionej ( krótszej ) przez algorytmy uwierzytelniające. Wszystko zależy od implementacji.
Nie masz pojęcia o czym piszesz. Hasło przetrzymywane jest w nieodwracalnej formie w postaci wyliczonej przez funkcję skrótu (hash, a nie algorytm uwierzytelniający, lol). Jedyna podatność jaka tutaj istnieje, to używanie słabych algorytmów, gdzie da się znaleźć kolizje, co też nie jest trywialne.
Dokładnie, gość nie ma pojęcia o czym pisze, długość hasła ma kluczowe znaczenie, wraz z długością rośnie znacznie liczba kombinacji, nawet nie trzeba znaków specjalnych, choć one znowu, jeszcze bardziej podnoszą trudność.
Chłopaki, litości, o czym wy mówicie? Czy wy wgl macie świadomość ile czasu zajmie złamanie hasła 123456? Czy wiecie że serwery nie będą odpowiadać z maksymalną prędkością? Czy wiecie że wystarczy mieć unikalne hasło, a nie długie?
No błagam was, zakładając 1000 prób/s przy haśle 123456 i uwzględniając to ze hacker wie że macie tylko cyfry w haśle - przeszukanie wszystkich zajmie około 18 minut... uwzględniając małe i duże litery to 2 lata na złamanie jednego hasła.
Obecnie to co jest problemem to wyciek z jednej bazy, gdzie mamy np email i hasło wpisane i hackerzy sobie próbują czy ktoś ma dokładnie takie samo na innych serwisach, a nie długość hasła... Obecnie używanie hasła dłuższego niż 15 znaków to głupota własna - chyba że używa sie aplikacji do zarzadzania hasłami, wtedy to ona sobie już radzi więc whatever.
KeePass i nie obchodzą mnie już hasła i ich pamiętanie :)
Do każdego ważnego miejsca mam hasło unikatowe którego nawet nie znam.
A jeśli chodzi o firmy apka jako klucz do kompa nic nie zmieni bo to ludzki czynnik który ma w genach jak coś nie mogę zrobić kolega niech spróbuje i ktoś podaje mu hasło. Z apką będzie jeszcze gorzej bo takiego hasła druga osoba już nie zapomni.
A co się stanie, jak zapomnisz hasła do keypassa?
Hasło do bazy KeePassa zapisane na kartce i wetknięte na dno szuflady (może nawet przylepione taśmą, żeby przypadkiem nie wyrzucić z czymś innym). Dla większości modeli zagrożeń ta metoda jest całkowicie wystarczająca. Chyba, że ktoś się spodziewa, że mu nocą taranem w drzwi załomocą służby, w takim wypadku lepiej zapomnieć hasło na dobre, niż je gdzieś zapisać.
Jeszcze poza zapisaniem sobie hasła, zalecam regularnie robić kopię zapasową samej bazy haseł, na jakimś nośniku, odłączonym od komputera. Coby nie znaleźć się w sytuacji, gdy pamiętasz hasło, ale baza haseł uległa uszkodzeniu i jest niedostępna.
Jasne bo to coś da. 0 Haseł tak i autentyfikator od Microsofru tak?? yhy
100% dostęp do Twojego konta z ich strony. Oni i tak mają ten Token u siebie wystarczy z ich strony sprawdzić numer seryjny tokena i dzięki temu mają dostęp do wszystkich Twoich plików danych adresów poczy itd
To im nie pasuje , że używamy np : innego serwisu poczty z odzielnym hasłem, czy też logowanie do windowsa z hasłem bo to jest problem trzeba to rozszyfrować co trwaaaaaaa przy 256 bitowym kluczu.
Najlepiej dodaj M token do wszystkich aplikacji...
XD ah ten Microsoft chce wiedzieć co masz za JPGi zapisane w folderze o nazwie "savy".
To jest główne zmartwienie większości ludzi korzystających z aplikacji i systemów XD nie to że druga osoba w pomieszczeniu wejdzie na sprzęt i nabruździ, tylko właśnie Microsoft jest głównym problemem w dzisiejszych czasach - pewno hackerzy social engineering to ludzie zatrudnieni od Microsoftu by odwrócić uwagę
Swoją drogą, pracujesz w jakiejś firmie IT? Pracowałeś? Zawsze się zastanawiam skąd się takie legendy biorą, że firmom IT zależy na dostępie do Twoich najskrytszych sekretów - do czego? Do szantażowania Cię? XDDD
Zawsze się zastanawiam skąd się takie legendy biorą, że firmom IT zależy na dostępie do Twoich najskrytszych sekretów - do czego? Do szantażowania Cię? XDDD
Do sprzedawania ci produktów.
Jest pełno innych sposobów na dostosowywanie reklam niż przeglądanie JPGów na dyskach czy patrzenie z kim mailujesz :P
O czym my w ogóle rozmawiamy, jeśli tak boimy się reklam, to dlaczego tutaj mamy konta? Dlaczego coś piszemy i korzystamy z internetu? XD Już teraz dajesz znać że lubisz gry wszelkim algorytmom. VPN? Jaki procent ludzi? Dla mnie to nie jest argument że trzeba się bać Microsoftu bo chcą zmienić sposób uwierzytelniania do systemu
Czy po prostu drażni Cię to, że masz przed oczami dowód na to, że "ktoś" "coś" o Tobie wie? To się w lesie schowaj, bo przekazałeś Państwu swoje zdjęcie, dane osobowe i w sumie wszystko. Jak żyć...
Nie o to chodzi. Powiedzmy tak :
Nie tylko gram. Między innymi komponuję utwory, nie raz już się zdarzyło, że czyjeś nieopublikowane jeszcze aranżacje wypływały. Po drugie jeśli używasz One Drive to musisz się z tym liczyć , że wszystko co tam masz jest współwłasnością Microsoftu.
I tak dalej. Microsoft i tak już ma za dużą ingeręcję w prywatność a już nie wspomnę o tym że jest monopolistą.
Dużo by tu trzeba tłumaczyć.
"Firma szykuje też inne nowości, w tym świeżo ujawnioną opcję logowania do konta Microsoftu bez haseł, do których firma wyraźnie zniechęca.".
Chyba powinno być "zachęca"...
no najlepiej niech dodzadzą logowanie przez odcisk palca
Ktoś może nie mieć palca.
Lepiej logowanie przez skan dna oka i i wymaz z pod języka.
Ja już nawet domyślam się jak będzie wymagane logowanie w przyszłości - mianowicie skan kodu qr z "paszportu" z zaszprycowania szczepionką (ważną pół roku). Wiadomy Bill to znany stręczyciel tego eliksiru, więc - choć jest "byłym" prezesem to tam w menagmencie MS jego armia klonów :)
Ja tam lubię swój pin do win10 czuję się jakbym logował się do konsoli star treka xd
Ja czasem mam dosyć Microsoftu. Za każdym razem wyłączam auto aktualizacje w systemie ,a nagle okazuje się ,że mam ściągnięte aktualizacje lub w tle dzieją się psikusy Windowsowe ,które sztucznie zamulają mi komputer...
Apki są wygodne, ale tylko jesli oprócz niej udostępniają również inne formy autoryzacji, typu SMS, czy email pomocniczy. Po przejściu na Huawei właśnie te metody umożliwiają mi logowanie się np do ubisoftu, twitcha, bo mam auth od google, a wiadomo na nowych huaweiach usług G nie ma.
Gorzej z gówno apkami i serwisami dopiero raczkujący mi w tym temacie. Od jakiegoś czasu nawet WP wprowadziło sobie system login1 z aplikacją, ale w ogóle nie przewidzieli tego, że ktoś może zmienić telefon i już są problemy z logowaniem, bo trzeba do tego kolejnego kodu jednorazowego(ile osob w ogóle zwraca na nie uwagę i zapisuje je w miejscach, gdzie będą pamiętali gdzie są?), also skanu kodu QR z panelu ustawień konta. I tu kolejny cyk, bo już nawet jakby był ktoś w stanie się zalogować, to sobie z takim tele nie zeskanuje kodu(dzięki Trump).
Przykład akurat moj. Po 3 tygodniach próby kontaktu konto na poczcie odzyskałam, ale też w śmieszny sposób. Konsultant prosił o autoryzację przez podanie imienia, nazwiska i IP urządzenia ??, co z tego, że mają do dyspozycji nr telefonu i pomocnicze maile, autoryzowali mnie przez dane, które można sobie zobaczyć na byle team speaku...
Utracisz fon z apkami i u niektórych kaplica. Bo o ile możesz sobie zrobić kopię karty SIM u operatora, to takie nieprzemyślane rozwiązania mogą pozbawić dostępu do prawie wszystkich kont.
"mam auth od google, a wiadomo na nowych huaweiach usług G nie ma."
Zamiast G auth użyj Authy. G Auth ma co prawda opcję HOTP (kody jednorazowe generowane w oparciu o hasz), której brak w Authy, ale w praktyce jeszcze się nie spotkałem ze stroną, która wymagałaby czegoś innego od TOTP (kody oparte o czas), więc wszędzie gdzie chcą G Auth, Authy działa bez problemu.
Dodatkowo Authy można sobie zsynchronizować z innymi urządzeniami (drugi telefon, PC), więc jak stracisz telefon z aplikacją, to też nie jesteś odcięty od kont.
"also skanu kodu QR z panelu ustawień konta. I tu kolejny cyk, bo już nawet jakby był ktoś w stanie się zalogować, to sobie z takim tele nie zeskanuje kodu"
I znów, na usługach Google świat się nie kończy. Czytników kodów QR jest od cholery. Ja tam korzystam z tego w Sophos Intercept. Są co prawda osobne apki, tylko do tego, ale jak się człowiek wczyta, to się okazuje,. że zbierają dane, albo wyświetlają reklamy.
I bardzo dobrze.
Choć redaktor chyba jeszcze w świecie sprzed kilku lat, bo teraz autoryzacja 2FA to niemal w 99% przypadkach domyślnie kod autoryzacji na telefonie, choć nadal wiele firm oferuje metodę e-mail, mniej sms, bo wiadomo, sms najmniej wygodny dla firmy, generuje koszty.
Myślę, że MS pójdzie po prostu w stronę używania smarta, tak jak teraz, sam fakt, że atakujący musiałby mieć do was lokalny dostęp bo tylko na waszym smarcie jest generowany kod autoryzacji już teraz i tak obniża do promila możliwość przejęcia konta.
To jest mega, można nawet mieć marne hasło, a i tak jest się bezpiecznym, bo bez kodu autoryzacji, z nowego urządzenia i tak się nikt nie zaloguje.
Więc trzeba sobie zadać pytanie, po co w ogóle to pierwsze hasło, skoro kod mobilny uniemożliwia atak zdalny tak czy siak.
Zapominasz o jednej rzeczy: jak zawsze najsłabszym ogniwem jest człowiek. Odrobina phishingu i już użytkownik sam tę autoryzację potwierdzi. Przecież teraz też czyszczą konta bankowe, gdzie niby jest 2FA, dzięki temu, że użytkownik nie czyta komunikatów, tylko automatycznie przepisze kod TOTP/SMS, albo potwierdzi w aplikacji.
Nie zapominam, tak będzie zawsze, więc nie ma sensu brać tego pod uwagę, ostatnio na OLX pełno oszustów i ci co dają się oszukać to na 99% ludzie, którzy po prostu kompletnie nie wiedzą co jak działa i czego robić nie powinni.
Ba, nawet hasła od takich wydobędziesz, a nawet namówisz, żeby podali kod z autoryzacji mobilnej, na takich ludzi nie ma siły i nic nie zadziała, więc to nie jest żaden argument.
Autoryzacja i uwierzytelnianie to dwie różne rzeczy. Nie wolno ich ze sobą mylić
