Андрюха как всегда красава!

очень крутой доклад, никогда не думал об этой теме даже, постоянно брал готовые решения

Пароли, пароли, безопасность паролей, все носятся с ней. Но при это все требуют ввести свой собственный email, который и является точкой входа. Раз уж мы говорим про безопасность, то надо подходить к этому вопросу серьезно, а не делая вид.

Борода, как зарегистроваться без пароля на любом устройстве имея только его? Ключ никуда не протечет кроме серверов гугл, эппл? Кул стори. В этом и есть цель всей подобной фигни, заставить использовать глобальные решения, чтобы мониторить юзеров, кто логинился, когда, откуда, какие у него девайсы, какая биометрия. На слайдах очевидное вранье, утечка данных чаще идет в обход паролей юзера, а базы не шифруются, менеджеры паролей взламывают и крадут вобще все. Дальше гугл решает отозвать все ваши ключи - та-да!

Ясно, остаюсь на локальном менеджере паролей. Лучше ничего не придумали.

как то давно, на одной из работ. у моего начальника пароль был просто кнопка ентер на поле пароля.🤣 заходишь в винду, выбираешь юзера, появляется поля пароля ты ентер тык и зашел. как думате кто нибудь хоть раз зашел без его ведома на его ПК не зная про это? не поверите, но НЕТ! все афигели от такой защиты.. и тут реально - "нет пароля, это лучшая защита!". она так и работало. поле то есть для пароля, значит надо что-то туда ввести..🤣помню админам что-то надо было а они не знали про эту фичу.. они его ломать употели так и не зашли.🤣я сам чуть мозг не взорвал.. у нас там везде были пароли простого стандарта. брутить устал...🤣

В любом случае все упирается в пароль. Для входа в устройство нужно ввести пароль. Биометрия гораздо менее безопасна. Вообще актуальнее было бы делать поддержку фейкового входа при вводе одного пароля входишь как пользователь, а при вводе другого пароля входишь в стерильный сервис.

Как то в докладе умолчали об простоте реализации webauthn на сервере). Мне кажется динамика использования технологии обусловлена не низким интересом, а тем что 90% бэкендеров не смогут написать код по аттестации открытых ключей учитывая что каждая платформа (Android, ios, mac-os, tpm…) имеют свои алгоритмы аттестации. Код низкоуровневый, и задача далеко не тривиальная.

Кстати, про то что сервер в какой-то момент знает пароль (логи и вот это вот все). А если фронт сам будет солить хэш и отправлять на сервер сразу соль+хэш без пароля, чтобы тот сохранил готовое? Тогда будет безопаснее.

А вообще, читая эти стандарты, создается впечатление что они не для удобства пользоаптелей, а чтобы некоторые его создатели заработали денег. А остальные не заработали. Потому что все так привязано к физическим устройствам и облакам, как будио бы локальный файл не может быть зашифрован и засинхронизирован.

Если Андрею отчекрыжить большой палец, куда "хакер" сможет попастьь с его биометрией ? Сможет ли он слить все денегжные сбережения... если он отказался от двухфакторной в пользу такой через биометрию

а как насчёт авторизации через телегу? она на всех устройствах есть плюс минус