очень крутой доклад, никогда не думал об этой теме даже, постоянно брал готовые решения

Андрюха как всегда красава!

Борода, как зарегистроваться без пароля на любом устройстве имея только его? Ключ никуда не протечет кроме серверов гугл, эппл? Кул стори. В этом и есть цель всей подобной фигни, заставить использовать глобальные решения, чтобы мониторить юзеров, кто логинился, когда, откуда, какие у него девайсы, какая биометрия. На слайдах очевидное вранье, утечка данных чаще идет в обход паролей юзера, а базы не шифруются, менеджеры паролей взламывают и крадут вобще все. Дальше гугл решает отозвать все ваши ключи - та-да!

Пароли, пароли, безопасность паролей, все носятся с ней. Но при это все требуют ввести свой собственный email, который и является точкой входа. Раз уж мы говорим про безопасность, то надо подходить к этому вопросу серьезно, а не делая вид.

Ясно, остаюсь на локальном менеджере паролей. Лучше ничего не придумали.

как то давно, на одной из работ. у моего начальника пароль был просто кнопка ентер на поле пароля.🤣 заходишь в винду, выбираешь юзера, появляется поля пароля ты ентер тык и зашел. как думате кто нибудь хоть раз зашел без его ведома на его ПК не зная про это? не поверите, но НЕТ! все афигели от такой защиты.. и тут реально - "нет пароля, это лучшая защита!". она так и работало. поле то есть для пароля, значит надо что-то туда ввести..🤣помню админам что-то надо было а они не знали про эту фичу.. они его ломать употели так и не зашли.🤣я сам чуть мозг не взорвал.. у нас там везде были пароли простого стандарта. брутить устал...🤣

В любом случае все упирается в пароль. Для входа в устройство нужно ввести пароль. Биометрия гораздо менее безопасна. Вообще актуальнее было бы делать поддержку фейкового входа при вводе одного пароля входишь как пользователь, а при вводе другого пароля входишь в стерильный сервис.

Кстати, про то что сервер в какой-то момент знает пароль (логи и вот это вот все). А если фронт сам будет солить хэш и отправлять на сервер сразу соль+хэш без пароля, чтобы тот сохранил готовое? Тогда будет безопаснее.

Как то в докладе умолчали об простоте реализации webauthn на сервере). Мне кажется динамика использования технологии обусловлена не низким интересом, а тем что 90% бэкендеров не смогут написать код по аттестации открытых ключей учитывая что каждая платформа (Android, ios, mac-os, tpm…) имеют свои алгоритмы аттестации. Код низкоуровневый, и задача далеко не тривиальная.

А вообще, читая эти стандарты, создается впечатление что они не для удобства пользоаптелей, а чтобы некоторые его создатели заработали денег. А остальные не заработали. Потому что все так привязано к физическим устройствам и облакам, как будио бы локальный файл не может быть зашифрован и засинхронизирован.

Если Андрею отчекрыжить большой палец, куда "хакер" сможет попастьь с его биометрией ? Сможет ли он слить все денегжные сбережения... если он отказался от двухфакторной в пользу такой через биометрию

а как насчёт авторизации через телегу? она на всех устройствах есть плюс минус