Mirki i mirabelki mam pytanie odnośnie funkcji passkeys, którą ostatnio tak bardzo chwaliło się Apple. Założyłem sobie konto na reddit i do wygenerowania hasła użyłem funkcji generuj silne hasło (opis podpowiedział, że takie hasło jest zapisane w kluczach na icloud, więc zakładam, że to właśnie passkeys), dodatkowo ustawiłem weryfikację dwuetapową z generowaniem kodu na ajfonie. I teraz tak, na ajfonie i zakładam, że na macbooku (sprawdzę jak będę w domu) wszystko pięknie hula, mogę się zalogować przez faceid na safari jak i w aplikacji mobilnej reddita. Widać, że passkeys działa, ale jak zalogować się na innej przeglądarce lub komputerze? W końcu nie znam hasła, które wygenerował ajfon... Będę wdzięczny za pomoc. #apple #iphone
@Wariner: ehh myślałem, że to będzie działać jakoś na zasadzie, wchodzę na innej przeglądarce/komputerze i mam opcję logowania się na reddit z wyborem np. skanowania kodu QR, odpalam aparat w ajfonie, skanuje i on pobiera z chmury hasło i loguje mnie na reddit. Takie podglądanie, to się się mija z celem...
@dewey: No ale przecież ajfon musi zapisywać gdzieś hasła, które generuje xD. A rozwiązanie, o którym mówisz, to akurat leżałoby po stronie reddita, a nie ajfona.
@olavolav: @Wariner: no wlaśnie o tym nie pomyślałem, że to jeszcze musi być wdrożone po stronie twórców witryn i jak widać nie jest. No nic, trudno, na razie przynajmniej działa weryfikacja wygenerowanym kodem dla strony reddita w hasłach na ajfonie, a to już coś.
@dewey: To nie jest logowanie przy użyciu klucza. To jest zwykłe logowanie przy użyciu hasła, tylko to hasło zostało wygenerowane automatycznie i zapisane w iCloud. Tutaj https://passkeys.directory masz listę serwisów, które podobno obsługują logowanie przy użyciu kluczy. Ale nie sprawdzałem, siedzę jeszcze na macOS 12.
@dewey: To dwa zupełnie inne mechanizmy logowania.
Gdy generujesz hasło, system tworzy losowy ciąg znaków, ale nadal logowanie przebiega na prostej zasadzie, że serwer prosi o nazwę użytkownika (dewey) i hasło (d--a123), tylko zamiast tej d--y123 masz jakieś hasło typu 34tyfdre567yugftr678h394jfi, które nadal można przechwycić. Np. ja je zobaczę, jak sprawdzasz w tramwaju, albo będzie wyciek danych z serwera. Albo sam je wpiszesz na podstawionej fałszywej stronie.
@xgre: dzięki za wyczerpującą odpowiedź. A finalnie jak będzie przebiegał proces logowania na witrynie? Podobnie do tego co opisałem, czyli np. będę mógł odpalić stronę na kompie i uwierzytelnić się za pomocą telefonu z FaceID?
@xgre: Zaciekawiłeś mnie tym. Wszedłem tam przetestować, zrobiłem sign up na mojego maila. Wyskoczyło że jestem zalogowany, wylogowałem i chciałem zalogować ponownie klikając sign in with a passkey no i mi wyskakuje okienko do wyboru iphone albo ipad z aparatem albo klucz fizyczny, wybieram to pierwsze i wyskakuje okienko z kodem qr który mam zeskanować telefonem - tylko że ja to robię na telefonie iphone 13 z ios 16 na
#apple #iphone
Gdy generujesz hasło, system tworzy losowy ciąg znaków, ale nadal logowanie przebiega na prostej zasadzie, że serwer prosi o nazwę użytkownika (dewey) i hasło (d--a123), tylko zamiast tej d--y123 masz jakieś hasło typu 34tyfdre567yugftr678h394jfi, które nadal można przechwycić. Np. ja je zobaczę, jak sprawdzasz w tramwaju, albo będzie wyciek danych z serwera. Albo sam je wpiszesz na podstawionej fałszywej stronie.
Logowanie przy użyciu
źródło: comment_1670020817APTw4FVY4bc7GJkoORnIv1.jpg
Pobierz