Google Chrome och Mozilla Firefox får stöd för lösenordsfri inloggning

Permalänk
Medlem
Skrivet av Paddanx:

Tror tyvärr en lag som detta hade gjort lika effektiva lösningar som kemikalieskatten eller CopySwede... men pengar åt någon, och företag som inte bryr sig, eller tjänster som försvinner från oss. Vi är för litet land, helt enkelt.

Det skulle kunna vara en påbyggnadsfråga för GDPR dock genom EU, där man lägger in straff för misslyckad hantering när väl den kommit i kraft, då i senare skede.

Ja där sa du något. Jag tänkte inte ens på GDPR men det är klart att det blir en förlängning om det. Jobbar just nu med förberedelser om rörande GDPR och det är ett väldigt starkt fokus på dels "Behöver vi lagra den här typen av data i det här steget i processen?" och "Hur ser vi till att användaren vet exakt vad som lagras och hur skapar vi intuitiva gränssnitt för borttagning om det önskas?" Och allt det där blir ju noll värt om tredjepart kan sno din data och mumsa i sig, så det lutar nog mer åt att ursprungslagringsplatsen för datat får ett större helhetsansvar, och följaktligen också ett kännbarts straff om det visar sig att stulen data är brukbar.

Visa signatur

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.
Vet du att du har fel? Signalera detta tydligt med Argumentationsfel och gärna Whataboutism.

Permalänk
Hedersmedlem
Skrivet av Paddanx:

Och min poäng ovan är, dina vanor avslöjar dig
Har de väl lyckats knäcka ena, pga en site hade glömt salta ditt lösen (titta på Dustin som förr lagrade dem i klartext)... så har de en grund att jobba på. Alla uträknade bruteforce tider är ju baserar på, "dont know shit"... men vet de att du kör ord, kan de skippa allt vad heter specialtecken tex, och ordlistor kan anpassas.

fast... det är ju detta jag redan räknat med.
Här tror jag många underskattar kombinationsmöjligheterna faktiskt.
Kombinerar du 6 ord från en ordlista på 6000 ord (vilket är jävligt lågt räknat) så har du fler kombinationer än 12 random tecken ger. Tar du med böjningar, slang, felstavningar och kanske random ortsnamn eller andra språk så är det inga problem att få upp ordlistan till 50.000 ord. Det ger fler kombinationer än 15 random tecken.
Även om du hittar ett mönster i att någon använder långa ordkombinationer så finns det helt enkelt för många sätt att kombinera orden på för att det ska bli möjligt att testa fram rätt kombination. Det blir lika jobbigt som om att man ser att någon använder 15 random tecken som lösenord. Det går helt enkelt inte att gissa sig fram till även om man kan testa miljardtals kombinationer i sekunden.
Det här gäller alltså om man VET att ett gäng ord använts.
50.000^6 = 15625000000000000000000000000.
Testar du en miljard ordkombinationer per sekund enkom baserade på en ordlista på 50.000ord gånger 6 ord så tar det ca 500 biljoner år att testa igenom alla.
Har man däremot bara använt de 6000 vanligaste orden gånger 6 ord så tar det ändå 1,5 miljoner år att testa igenom alla kombinationer om man kan testa en miljard kombinationer i sekunden.
Det räcker alltså inte med ordentligt med vilja för att testa även om man vet att lösenordet är baserat på ordkombinationer.

Skrivet av Paddanx:

Nu finns det troligen enklare sätt om någon ville ha tag i just "ditt" lösen, men min poäng är att vi lever i extrem mängd falsk säkerhet just nu. Vi litar på att en fingeravtrycksläsare är 100%... vi litar på att Bank-ID är 100%, vi litar på att lösenordshanterare är 100% och vi litar på att en annons inte ska vara farlig, eller?

Visst stämmer det här. Ingenting är 100% säkert. Och detta är relevant.
Det är emellertid en lite annan frågeställning än det jag har tagit upp. Så det är inte direkt ett svar på det jag sagt utan ett relevant men lite annat spår.

Skrivet av Paddanx:

Mao, om dessa har mål och mening nog att göra detta... varför tror du inte de kommer hitta sätt att gå runt fingeravtrycksläsarsystemet i artikeln?

Bra ordval. Tror. För jag vet verkligen inte. Men utifrån vad jag förstått så är biometrienheten i mobilerna ett eget litet system som inte skickar ut fingeravtrycken. Hade jag byggt dessa så hade jag inte ens inkluderat APIer för att kunna göra annat än vad grejerna är tänkta att användas till. Alltså saknas APIer för att fråga vad som finns i databasen så kommer det inte bli så jädra lätt att komma åt fingeravtrycken. Inte ens om mobilen blir hackad för det spelar ingen roll vad mobilen skickar för frågor till biometrienheten om hur fingeravtrycken ser ut om denna enhet inte har kod som kan ge svar på frågan.
I labmiljö lär man kunna plocka isär biometrienheten och läsa av grejer direkt från minnet om man nu riktigt gärna vill göra detta. Så 100% är ingenting. Men har de byggt enheterna på liknande tänk jag är inne på så är det här en säker lösning för gemene man. Inte för att ha launch codes för kärnvapen kanske, men bra jädra säkert för vardagsbruk. Där har i så fall fingeravtrycksläsaren större säkerhetsbrister som teknologi i grunden då det går att kopiera fingeravtrycken direkt. Men ja, hackerattacker och övertagen mjukvara tror jag biometrisensorerna bör kunna stå emot ganska väl faktiskt.
But who knows ;). Det är lite av en black box för de flesta. Svårt med insynen på slutna specialsystem med proprietär kod.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

Eftersom det är väldigt mycket spekulationer här om hur systemet ska fungera så kan vi väl kolla i speccen på ett möjligt use case https://www.w3.org/TR/webauthn/:

1.1.1. Registration
- On a phone:
1. User navigates to example.com in a browser and signs in to an existing account using whatever method they have been using (possibly a legacy method such as a password), or creates a new account.
2. The phone prompts, "Do you want to register this device with example.com?"
3. User agrees.
4. The phone prompts the user for a previously configured authorization gesture (PIN, biometric, etc.); the user provides this.
5. Website shows message, "Registration complete."

1.1.2. Authentication
- On a laptop or desktop:
1. User navigates to example.com in a browser, sees an option to "Sign in with your phone."
2. User chooses this option and gets a message from the browser, "Please complete this action on your phone."
- Next, on their phone:
3. User sees a discrete prompt or notification, "Sign in to example.com."
4. User selects this prompt / notification.
5. User is shown a list of their example.com identities, e.g., "Sign in as Alice / Sign in as Bob."
6. User picks an identity, is prompted for an authorization gesture (PIN, biometric, etc.) and provides this.
- Now, back on the laptop:
7. Web page shows that the selected user is signed in, and navigates to the signed-in page.

[TL;DR] Man registrerar sin telefon som en möjlig inloggningsmetod på en webbsida. Efter det loggar man in på liknande sätt som med mobilt bankid. Fingeravtrycket, pinkoden eller vad man använder som Authorization Gesture i telefonen är som sagts i tidigare inlägg kopplat till telefonen, det skickas inte till servern och det kan inte användas på andra enheter.

Det ska även finnas stöd för usb-fingeravtrycksläsare och liknande kopplat direkt till en dator. Samma sak där, det krävs fysisk tillgång til den enhet som är registrerad, precis som med FIDO U2f.

Permalänk
Medlem
Skrivet av Paddanx:

Kan inte Android kameran läsa det idag?

(Testade lite snabbt på lite QR koder med kameran... den känner igen dem direkt)

Det hade jag ingen aning om. Dock lyckas jag inte få det att fungera, och jag har en nexus 5x, vilket garanterat borde ha alla de senaste funktionerna. Hur gör man?

Visa signatur

MODERMODEM: Asus ROG Strix Z270E Gaming | i7 7700K | Corsair Hydro H110 | Kingston HyperX Savage 32GB DDR4 RAM | Asus GeForce RTX 3060 Ti TUF OC | Crucial BX100 500GB SSD | Phanteks Enthoo EVOLV | SilverStone Strider Evolution 1200W |

Permalänk
Skrivet av Paddanx:

Nu kan jag säga att Roberts fall ovan kan inte ske på min bank, om jag inte är en idiot flera gånger om iaf. Först det första så ser jag logga in... i SEB. (Samma som i detta fall)

För det andra måste samtliga överföringar/betalningar (utom mellan mina egna konton) och annat godkännas separat, där man ser exakt vad som ska ske, och summorna. Varför skulle jag godkänna detta?! Du ser då att pengarna håller på att skickas från dina konton till "någonstans", och avbryter det. Och sedan gå till bankens app, hemsida eller vf som helst... logga in själv. Detta kommer kasta ut den andra och höja varningsflaggor. Sen anmäl det.

Att nordea har ett gigantiskt hål i sitt säkerhetstänk, är uppenbart här dock.

Men i båda fallen ser jag inte Bank-ID som boven... utan användarna som inte förstår vad Bank-ID gör. Det är bokstavligt talat som att ta ett avtal, penna och skriva under. Alla idioter som skriver under ett avtal utan att veta vf man skriver under... tja... får förr eller senare problem kan vi säga.

Så problemet är väl snarare att vi använder Bank-ID på så många ställen, så nonchalant som vi gör, utan att inse hur extremt riskabelt det är. Vill du säkra det mer? Använd det endast på banken och statliga sidor... skippa samtliga 3:e part tjänster som använder, använd det inte för att "legitimera dig" över telefon och tro inte på att banken ringer dig en sen kväll ffs...

Själv undviker jag Bank-ID så långt det går och det lär säkert bytas ut tills nästa gång jag blir sjukskriven...

Nordea låter ju inte som en säker bank för fem öre om man kan tömma ens konto bara sådär.
Men som jag påpekade så bör sådant som detta vara något man upplyser sina kunder om för att visa ansvar mot sina kunder, men självkritik verkar det vara ont om idag.

Om nu alla miljoner är från Nordea låter det ju lite märkligt eller finns det andra banker med lika dålig säkerhet, jag antar att det är på fler olika sätt som pengar försvunnit. Att allt är pga uppringda kunder från bluffare har jag svårt att tro och skulle vilja se ett diagram över vilka, hur och varför bank id utnyttjats, eftersom det säkert finns något man själv missat.

Visa signatur

An application program (sometimes shortened to application) is any program designed to perform a specific function directly for the user or, in some cases, for another application program.
https://www.userbenchmark.com/ Talar om vad du har!

Permalänk
Skrivet av Paddanx:

Nu kan jag säga att Roberts fall ovan kan inte ske på min bank, om jag inte är en idiot flera gånger om iaf. Först det första så ser jag logga in... i SEB. (Samma som i detta fall)

För det andra måste samtliga överföringar/betalningar (utom mellan mina egna konton) och annat godkännas separat, där man ser exakt vad som ska ske, och summorna. Varför skulle jag godkänna detta?! Du ser då att pengarna håller på att skickas från dina konton till "någonstans", och avbryter det. Och sedan gå till bankens app, hemsida eller vf som helst... logga in själv. Detta kommer kasta ut den andra och höja varningsflaggor. Sen anmäl det.

Att nordea har ett gigantiskt hål i sitt säkerhetstänk, är uppenbart här dock.

Men i båda fallen ser jag inte Bank-ID som boven... utan användarna som inte förstår vad Bank-ID gör. Det är bokstavligt talat som att ta ett avtal, penna och skriva under. Alla idioter som skriver under ett avtal utan att veta vf man skriver under... tja... får förr eller senare problem kan vi säga.

Så problemet är väl snarare att vi använder Bank-ID på så många ställen, så nonchalant som vi gör, utan att inse hur extremt riskabelt det är. Vill du säkra det mer? Använd det endast på banken och statliga sidor... skippa samtliga 3:e part tjänster som använder, använd det inte för att "legitimera dig" över telefon och tro inte på att banken ringer dig en sen kväll ffs...

Skrivet av Punnisher:

Själv undviker jag Bank-ID så långt det går och det lär säkert bytas ut tills nästa gång jag blir sjukskriven...

Nordea låter ju inte som en säker bank för fem öre om man kan tömma ens konto bara sådär.
Men som jag påpekade så bör sådant som detta vara något man upplyser sina kunder om för att visa ansvar mot sina kunder, men självkritik verkar det vara ont om idag.

Om nu alla miljoner är från Nordea låter det ju lite märkligt eller finns det andra banker med lika dålig säkerhet, jag antar att det är på fler olika sätt som pengar försvunnit. Att allt är pga uppringda kunder från bluffare har jag svårt att tro och skulle vilja se ett diagram över vilka, hur och varför bank id utnyttjats, eftersom det säkert finns något man själv missat.

Jag behöver godkänna, alla belopp som går utanför mina egna konton (står vilket belopp och vart dom går till i bank ID, tror det är standard för alla banker).

Visa signatur

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Permalänk

@Broken-arrow:
3 gånger måste jag se det där klippet med Robert för att höra att han använder bank-id två gånger.
Vilken klåpare, eller hur tänkte han egentligen.
Samtidigt så är det väl ändå ett tak på hur mycket man kan föra över mellan konton på en gång, och Robert blev av med 129000, och då måste man väl godkänna flera gånger med verifikation, men det väl olika tak på varje bank.
Kanske är en förklaring till att jag är skeptisk och emot förändringar när jag hela tiden hör fel till allting.

Visa signatur

An application program (sometimes shortened to application) is any program designed to perform a specific function directly for the user or, in some cases, for another application program.
https://www.userbenchmark.com/ Talar om vad du har!

Permalänk
Medlem
Skrivet av Broken-arrow:

Jag behöver godkänna, alla belopp som går utanför mina egna konton (står vilket belopp och vart dom går till i bank ID, tror det är standard för alla banker).

Ser du också exakt vilka transaktioner som görs när du godkänner?
Och om du gör... borde du väl reagera?

Skrivet av Punnisher:

@Broken-arrow:
3 gånger måste jag se det där klippet med Robert för att höra att han använder bank-id två gånger.
Vilken klåpare, eller hur tänkte han egentligen.
Samtidigt så är det väl ändå ett tak på hur mycket man kan föra över mellan konton på en gång, och Robert blev av med 129000, och då måste man väl godkänna flera gånger med verifikation, men det väl olika tak på varje bank.
Kanske är en förklaring till att jag är skeptisk och emot förändringar när jag hela tiden hör fel till allting.

Jo jag tror han har gjort bort sig flera gånger och fått panik. Enda han behövs göra var ju att logga in en enda gång och sedan bara trycka logga ut, så loggas alla sessioner ut (om de nu ens tillåter flera, vilket de inte borde), alt bara ge fan i att godkänna dem.

Sen ja, jag förstår att det är en risk. Det är farligt när man inte förstår makten av den funktionen. Det går dock att ta lokal bank-id, eller via kort/adapter också, där du fysiskt måste sätta in ditt bankkort och acceptera.

Med det sagt, du kan alltid lura en dum människa att göra vf som helst, handlar bara om att hitta dem... och bland 1Miljon+ finns det garanterat några.

@morxy49 Enda jag gör är starta kameran, pekar den mot en QR kod och det kommer upp vad det är, och jag kan hantera det därifrån. Jag vet inte hur bra Wifi lösen fungerar med den dock, men jag vet att kontakt info (visitkort) och webadresser går bra.

Permalänk
Skrivet av Paddanx:

Ser du också exakt vilka transaktioner som görs när du godkänner?
Och om du gör... borde du väl reagera?

Jo jag tror han har gjort bort sig flera gånger och fått panik. Enda han behövs göra var ju att logga in en enda gång och sedan bara trycka logga ut, så loggas alla sessioner ut (om de nu ens tillåter flera, vilket de inte borde), alt bara ge fan i att godkänna dem.

Sen ja, jag förstår att det är en risk. Det är farligt när man inte förstår makten av den funktionen. Det går dock att ta lokal bank-id, eller via kort/adapter också, där du fysiskt måste sätta in ditt bankkort och acceptera.

Med det sagt, du kan alltid lura en dum människa att göra vf som helst, handlar bara om att hitta dem... och bland 1Miljon+ finns det garanterat några.

@morxy49 Enda jag gör är starta kameran, pekar den mot en QR kod och det kommer upp vad det är, och jag kan hantera det därifrån. Jag vet inte hur bra Wifi lösen fungerar med den dock, men jag vet att kontakt info (visitkort) och webadresser går bra.

Ja det står vem mottagaren är (om det inte är en privatperson, om jag inte har fel står bara konto numer). Men står ju summan som ska iväg och är det inget man själv ska göra bör man avbryta redan där, är ju helt annan info om man bara ska logga in.

Men många är väl lata och godkänner utan att ens läsa (är en klassiker i T.ex windows där folk trycker på OK över allt).

Visa signatur

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Permalänk
Medlem
Skrivet av Broken-arrow:

Ja det står vem mottagaren är (om det inte är en privatperson, om jag inte har fel står bara konto numer). Men står ju summan som ska iväg och är det inget man själv ska göra bör man avbryta redan där, är ju helt annan info om man bara ska logga in.

Precis. Så förstår inte hf det kan ske...

Skrivet av Broken-arrow:

Men många är väl lata och godkänner utan att ens läsa (är en klassiker i T.ex windows där folk trycker på OK över allt).

Om så är fallet, varför beskylls tekniken?
Om folk är dumma nog att signera vad fan som helst utan att läsa, så kunde du ju lika gärna skicka hem ett banklån kontrakt till honom via post och bara skriva motsvarigheten till "Sign here with X" och tada... sedan ta pengarna.

Och nu är det hemska bankerna som skickar papper man kan skriva på som är teknik bristen. Att man inte har en bankman som personligen kommer hem och verifierar att du är du.