Přihlašte se QR kódem

23. 4. 2015 17:04:00

Napsal bredy;1189213
9. Celý postup příhlášení je tedy ve třech krocích: Kliknu, oskenuju, jsem přihlášen. Nezadávám žádné jméno ani heslo, výjma případu, kdy uživatel požádá, aby jeho identita byla chráněna heslem v zařízení.

Proč je ale potřeba při dalším přihlášení skenovat? Proč místo toho nemůže být rovnou push notifikace? Pak by postup byl - "kliknu na webu, kliknu na telefonu, jsem přihlášen"

23. 4. 2015 17:04:00

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108502

Jiří Adámek

(20 hodnocení)

23. 4. 2015 17:11:33

V tom případě, jak poznamenal souki, toto není dvou faktorové přihlášení. Je to pouhá náhrada hesla.

Splňujete jen podmínku něco vlastnit - mobil. Znát nemusí uživatel nic.

23. 4. 2015 17:11:33

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108501

Petr Soukup

(5 hodnocení)

23. 4. 2015 17:13:15

V principu je to vlastně stejné, jako když si prohlížeč pamatuje heslo - jen je to přesunuté do telefonu.

23. 4. 2015 17:13:15

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108500

Jiří Adámek

(20 hodnocení)

23. 4. 2015 17:14:29

Tak teď jsem to vyčetl "budete muset v mobilu zadávat heslo, ale to je záměr. Heslo chrání klíč."

Nicméně v tom případě znova opakuji, je to moc složité. Raděj zadám heslo na klávesnici počítače, než něco datlovat do mobilu.

23. 4. 2015 17:14:29

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108499

bredy

23. 4. 2015 17:14:48

Napsal mytrix;1189217
V tom případě, jak poznamenal souki, toto není dvou faktorové přihlášení. Je to pouhá náhrada hesla.
Splňujete jen podmínku něco vlastnit - mobil. Znát nemusí uživatel nic.

Taky jsem neříkal, že to je dvou faktorové přihlášení, napsal jsem

Plní funkci bezpečného přihlášení a alternativní způsob dvou-faktorové autentifikace.

Dvou faktorové přihlášení se z toho stane jakmile uživatel požaduje zabezpečit klíč v telefonu heslem. Pak do toho přibývá podmínka "něco znát"

---------- Příspěvek doplněn 23.04.2015 v 17:17 ----------

Napsal Souki;1189218
V principu je to vlastně stejné, jako když si prohlížeč pamatuje heslo - jen je to přesunuté do telefonu.

Samozřejmě, akorát funkce pamatování hesla je vázána pouze na počítač výhradně ve vašem vlastnictví.

23. 4. 2015 17:14:48

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108498

Jiří Adámek

(20 hodnocení)

23. 4. 2015 17:17:45

Pokud to není primárně dvou faktorové ověřování, pak nechápu, proč bych měl něco složitě skenovat mobilem.

Pokud je / může být, pak již zavedené způsoby jsou výrazně rychlejší a nepotřebují ani přístup k internetu (v době generování klíče)

23. 4. 2015 17:17:45

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108497

bredy

23. 4. 2015 17:18:27

Napsal mytrix;1189221
Tak teď jsem to vyčetl "budete muset v mobilu zadávat heslo, ale to je záměr. Heslo chrání klíč."
Nicméně v tom případě znova opakuji, je to moc složité. Raděj zadám heslo na klávesnici počítače, než něco datlovat do mobilu.

Tato funkce je volitelná a plně na rozhodnutí uživatele. Zkuste si to.

---------- Příspěvek doplněn 23.04.2015 v 17:19 ----------

Napsal mytrix;1189226
Pokud to není primárně dvou faktorové ověřování, pak nechápu, proč bych měl něco složitě skenovat mobilem.
Pokud je / může být, pak již zavedené způsoby jsou výrazně rychlejší a nepotřebují ani přístup k internetu (v době generování klíče)

Čemu na větě "Dvou faktorové přihlášení se z toho stane jakmile uživatel požaduje zabezpečit klíč v telefonu heslem. Pak do toho přibývá podmínka "něco znát"" nerozumíte?

23. 4. 2015 17:18:27

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108496

Jiří Adámek

(20 hodnocení)

23. 4. 2015 17:20:33

Já vím jak to funguje. Na řadu webech dvou faktorovu autorizaci používám.

Ale myslím, že vy stále nechápete co se Vám snažím říct: je to složité a pomalé

23. 4. 2015 17:20:33

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108495

bredy

23. 4. 2015 17:34:10

Napsal mytrix;1189229
Já vím jak to funguje. Na řadu webech dvou faktorovu autorizaci používám.
Ale myslím, že vy stále nechápete co se Vám snažím říct: je to složité a pomalé

Co je složitého na oskenování kódu. Podle logu to většina lidí zvládne do 15 sekund a to se vsadím, že v seznamu aplikací hledají apikaci qr čtečky. Když ji mám na ploše, tak je to ještě rychlejší.

Nehledě na tom, že to není jen o tom. Je to také o tom, že si nemusíte vymýšlet bezpečné heslo. Otravovat uživatele s nutností zadat jedno číslo, jedno velké písmeno, jeden symbol a minimálně 8 znaků.

23. 4. 2015 17:34:10

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108494

Petr Soukup

(5 hodnocení)

23. 4. 2015 17:36:17

Napsal mytrix;1189229
Já vím jak to funguje. Na řadu webech dvou faktorovu autorizaci používám.
Ale myslím, že vy stále nechápete co se Vám snažím říct: je to složité a pomalé

Ne nutně. Místo hesla tam může být TouchID. Není to vrchol bezpečnosti, ale je to rychlé a pohodlné.

23. 4. 2015 17:36:17

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108493

krnac

(14 hodnocení)

23. 4. 2015 17:41:45

moc složité a zdlouhavé.

lastpass v pc jedna vteřina, google auth. 2 vteřiny a sem tam, tohle tedy opravdu ne.

23. 4. 2015 17:41:45

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108492

bredy

23. 4. 2015 17:42:09

Napsal Souki;1189235
Ne nutně. Místo hesla tam může být TouchID. Není to vrchol bezpečnosti, ale je to rychlé a pohodlné.

Okaj, stejně jako tam může být doplňek LastPass. Myslím si, že o tom diskuze není.

---------- Příspěvek doplněn 23.04.2015 v 17:43 ----------

Napsal krnac;1189238
moc složité a zdlouhavé.
lastpass v pc jedna vteřina, google auth. 2 vteřiny a sem tam, tohle tedy opravdu ne.

Předpokládá, že jste přihlášen na google nebo na lastpass.

V zásadě jste přesunul problém uložení hesla v prohlížeči třetí straně, což je snad ještě horší, než uložení v prohlížeči

23. 4. 2015 17:42:09

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108491

Jiří Adámek

(20 hodnocení)

23. 4. 2015 17:48:43

No čekal jsem na ten dotaz. Tak nějaký příklad.

1) Náhrada klasického hesla QR kódem

- abych se přihlásil, musím sáhnout po mobilu, otevřít aplikaci, naskenovat QR kód

Tato námaha navíc na bezpečnosti vůbec nic nepřidává, stále se jedná o 1-f ověření. Většina lidí, co má více hesel, používá v počítači nějaký manažer hesel, ať už extra aplikaci nebo přímo v prohlížeči, někdo používá hlavu. Všechno je nicméně mnohem rychlejší, než výše uvedený postup. Představa, že se budu sem na webtrh nebo facebook přihlašovat 10-15 sekund a ještě budu hledat mobil, tak to nevím. Ale tak ať tu někdo jiný napíše, kolik mu průměrně přihlášení do služeb trvá.

2) Jakou součást 2-faktorového ověření

Říkáte, že do mobilu může (mohl by) zadat heslo. To je teď otázka. Měla by služba po naskenování QR kódu zobrazit navíc ještě dotaz na heslo? Pokud ano, tak opět si můžeme udělat srovnání.

Třebas takové MojeId.

15242

Zavedené přihlášení: musím vzít mobil, spustit appku (někdo nemusí ani spouštět, má aktuální výpis na "ploše"), přepsat 6 čísel. Heslo, OTP i vše ostatní zadávám na počítači pomoci běžné klávesnice.

Váš případ: musel bych vzít mobil, spustit čtečku (doteď je to stejné), naskenovat kód, vyťukat na klávesnici mobilu heslo.

Takže opravdu mi chcete tvrdit, že Váš způsob je rychlejší? Neříkal bych nic, kdyby to něco nového přinášelo, ale to bohužel tak není. Lidé chtějí vše rychle a jednoduše. O rychlosti být moc řeč nemůže a co se jednoduchosti týče - no jaký problém tady měli někteří vůbec pochopit, jak to funguje a to jsou většinou lidé počítačové zdatní. Co na to BFU?

23. 4. 2015 17:48:43

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108490

Petr Soukup

(5 hodnocení)

23. 4. 2015 17:53:24

Napsal bredy;1189239
V zásadě jste přesunul problém uložení hesla v prohlížeči třetí straně, což je snad ještě horší, než uložení v prohlížeči

Jen upřesním, že v případě LastPass se na jejich serveru ukládá jen zašifrovaný soubor a dešifruje se na klientu.

Už ale chápu využití - je to takový mobilní lastpass. Můžu se tím přihlásit i v cizím počítači, aniž bych do něj musel zadávat heslo.

23. 4. 2015 17:53:24

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108489

bredy

23. 4. 2015 18:01:06

Napsal mytrix;1189242
No čekal jsem na ten dotaz. Tak nějaký příklad.
1) Náhrada klasického hesla QR kódem
- abych se přihlásil, musím sáhnout po mobilu, otevřít aplikaci, naskenovat QR kód
Tato námaha navíc na bezpečnosti vůbec nic nepřidává, stále se jedná o 1-f ověření.

Je to asi 1000x bezpečnější než heslo.

Napsal mytrix;1189242
Většina lidí, co má více hesel, používá v počítači nějaký manažer hesel, ať už extra aplikaci nebo přímo v prohlížeči, někdo používá hlavu.

Většina lidí má jedno heslo a přihlašuje se ním na facebook, do google, do seznamu a do banky. Věřte mi, TO JE REALITA

Napsal mytrix;1189242

Všechno je nicméně mnohem rychlejší, než výše uvedený postup. Představa, že se budu sem na webtrh nebo facebook přihlašovat 10-15 sekund a ještě budu hledat mobil, tak to nevím. Ale tak ať tu někdo jiný napíše, kolik mu průměrně přihlášení do služeb trvá.

Hlavně mě děsí, že jsem si musel vymyslet heslo, samozřejmě že jsem použil stejné heslo, jako mám do jiných diskuzáků

Napsal mytrix;1189242

2) Jakou součást 2-faktorového ověření
Říkáte, že do mobilu může (mohl by) zadat heslo. To je teď otázka. Měla by služba po naskenování QR kódu zobrazit navíc ještě dotaz na heslo? Pokud ano, tak opět si můžeme udělat srovnání.

Třebas takové MojeId.

Zavedené přihlášení: musím vzít mobil, spustit appku, přepsat 6 čísel. Heslo, OTP i vše ostatní zadávám na počítači pomoci běžné klávesnice.

Hlavní výhodou je, že tato volba je volitelná. Další výhodou je, že jiné heslo generuje jinou identitu a tak zadáním jiného hesla se mohu přihlásit jako někdo jiný. V případě že bych byl vydírán a nucen prozradit heslo, prozradím jiné, které vede na bezpečný účet, jehož kompromitace mi nebude vadit

Napsal mytrix;1189242

Váš případ: musel bych vzít mobil, spustit čtečku (doteď je to stejné), naskenovat kód, vyťukat na klávesnici mobilu heslo.

Heslo nemusí mít 8 znaků, symbol, číslo, velké písmeno, může to být jen pin, může mít jen 4 znaky, nebo i jen jeden znak. Nikdy se nedozvíte, že zvolené heslo je správné, protože až cílová služba vám řekne, jestli tu identitu zná

Napsal mytrix;1189242

Takže opravdu mi chcete tvrdit, že Váš způsob je rychlejší? Neříkal bych nic, kdyby to něco nového přinášelo, ale to bohužel tak není. Lidé chtějí vše rychle a jednoduše. O rychlosti být moc řeč nemůže a co se jednoduchosti týče - no jaký problém tady měli někteří vůbec pochopit, jak to funguje a to jsou většinou lidé počítačové zdatní. Co na to BFU?

Cílem bylo zbavit se hesel, což to splňuje. Každá technologie má své přednosti a své nevýhody. Uvědomuju si, že třeba GA má přednost, že funguje plně offline. QR Login vyžaduje připojení k internetu. Nevýhodou GA je ale stále nutnost volit si jméno a heslo. Pomocí QR loginu si například nemusíte volit ani jméno, a řešit problém s obsazenosti přezdívky. To některé služby řeší třeba tím, že po vás chtějí e-mail, a ovečky ho rády dají. Předností služby je i vyšší anonymita, protože minimálně cílové službě neposkutuje žádné informace které by napomáhaly uživatele trasovat.

Vyšší bezpečnost za 15 sekund? Nebo hledat papírek s heslem, které jsem zapomněl a mám ho někde napsaný?

23. 4. 2015 18:01:06

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/2#reply1108488