Vlákno názorů k článku
Až 200 tisíc lidí ročně přijde o svůj e-mailový účet, spočítal Seznam od Uncaught ReferenceError: - Text se zobrazuje v aplikaci, která s FIDO...

Text se zobrazuje v aplikaci, která s FIDO klíčem komunikuje, text je prostý bez formátování. Je to jeden z režímů, které je v rámci FIDO specifikované.

Biometrické podepisování v takovémhle stavu neexistuje. Kapacitní senzory, které používáme jako "otisk prstu" nejsou otiskem, zařízení má zaznamený pouze nějaký souhrnný součet z elektrické vodivosti prstu. To není nic, co by druhou stranu nějak zajímalo, ty údaje dále nejdou do samotného podpisu a druhá strana o nich neví.

Co jsem to tak četl, tak fór je v tom, že když si člověk tu dvoufaktorovou autentizaci zapne, musí si nastavit další extra heslo pro pop3/imap/smtp (a musí být jiné než to hlavní), jinak to nebude fungovat. Což mi přijde přinejmenším bezpečnostně vtipný :). Když to zase vypne, začne pro pop3/imap/smtp platit zase to hlavní.
https://napoveda.seznam.cz/cz/login/postovni-programy-caldav-dvoufazove-overeni/

Biometricky podepsat myslím podepsat transakci soukromým klíčem uloženým v HW, který podepíše jen po prokázání se biometrikou. Tedy například TPM, nebo ty FIDO tokeny.

TPM si žádnou biometriku neověří, nemá jak. FIDO token může, pokud má příslušný snímač a implementaci (např. Yubikey BIO FIDO edition). Ale aby to mělo pro druhou stranu skutečný význam z hlediska bezpečnosti, musela by si ona sama být schopna ověřit tu biometriku, což už z principu možné není.

A kde se ten transaction text zobrazuje? Ty FIDO klíče typicky nemají displej. A jak se ten text dá formátovat, aby byl přehledný?

Biometricky podepsat myslím podepsat transakci soukromým klíčem uloženým v HW, který podepíše jen po prokázání se biometrikou. Tedy například TPM, nebo ty FIDO tokeny.

To mi az tak hrozne neprijde. Prave nejotravnejsi je to tam, kde to potrebujete casto. Nejspis by to slo i e-mailem, ale proste vas chteji jednou za cas videt "osobne" ;-)
Mozna tise doufaji, ze se pak zapomenete odhlasit a budou vas moci sledovat o neco radostneji, nez kdyz jim po serverech pobihate neprihlasen nebo se jim proste nechce implementovat neco jako "Odpovezte ANO, pokud souhlasite s novymi podminkami".

Dost blbý to je i v případě, že do té administrace musíte povinně 2× do roka vlézt a odsouhlasit změnu v podmínkách.
(Což by, mimochodem, určitě šlo i tím e-mailem,)

2fa se vetsinou pouziva pro pristup do weboveho rozhrani, do administrace, kde si vygenerujete aplikacni hesla a ty pouzivate v aplikacich, ktere s tim komunikuji pres POP3, SMTP nebo treba IMAP. Kdybych musel kazdy odeslany mail nebo dokonce pravidelnou kontrolu novych e-mailu kazdych par minut dvoufazove overovat, tak by mi 2fa take vadila.

21. 11. 2023, 19:11 editováno autorem komentáře

Ano. Kombinace FIDO challenge a transaction text lze využít pro potvrzení platby a zobrazení informací o transakci, nebudeš tedy potvrzovat něco naslepo. Vše kryptograficky podepsané a šifrované. FIDO (UAF, U2F i FIDO2) splňuje podmínky v PSD2.

Co myslíš tím "biometricky podepsat"? To nedělá žádná bankovní aplikace.

Pokud je ten účet nepoužívaný, tak asi máte šanci.
Já jsem na tom hůř, protože je jen zablokovaný a trvá na tom, že se přihlásím buď ze stejného zařízení (jako před cca 15 lety?) nebo s ověřovacím kódem z telefonu (který tam nikdy nebyl). Ale protože tohle se děje až po přihlášení, než mne pustí dále, tak ten účet zároveň není neaktivní.
Jako bonus přestalo chodit POP3/SMTP, takže mi tam padají zprávy, ke kterým se nedostanu...

Kampak se ztratilo Don't be evil!?

Případ s věkem se mi stal před desítkou let při startu jejich Gmail. Mohl jsem mít krásnou mail-adresu (nebyla obsazená), ale udělal jsem překlep v datumu narození. Při odhlášení (až během odhlášení!) byl oznámen onen problém/nedostatek. Snažil jsem se jejich komplikovaným systémem vše napravit, ale vždy se zadrhlo. Přímý kontakt nemožný (myslím běžně). Po desítkách pokusů jsem vše vzdal. Občas po letech se pokusím založit, ale vždy s hláškou, že je účet obsazený. Google má mít nějaké čištění nepoužívaných účtů (v roce 2024), snad to vyjde znovuzaložit.

21. 11. 2023, 14:13 editováno autorem komentáře

A ta FIDO/Webauthn autentikace, umí ona přijmout příkaz (třeba k platbě), bezpečně ho zobrazit, nechat biometricky podepsat a poslat zpět?

No, zrovna Google mne těžce naštval, protože mi znepřístupnil můj nejstarší e-mailový účet, protože jsem neprovedl "ověření věku", tedy neprokázal, že mi je více, než 14 let. (Že i ten účet byl starší jim nevadilo...) Jen to jaksi dávali vědět jen při přihlašování přes webové rozhraní, které jsem nepoužíval...
Následně mi prý umožní obnovení zasláním kódu na mobil, který tam nebyl zadaný (v době, kdy jsem to zakládal, jsem ani mobil neměl...)

Takže: pro obnovu možná, ale rozhodně by mi vadilo dvoufázové ověření u normálního e-mailu, kam lezu přes POP3/SMTP.

Proč chtít jen telefonní číslo, když mohou mít celý telefon…

jj, třeba 2FA s vlastní aplikací jak si oblíbily naše banky. Oni k tomu mají samozřejmě naprosto jasný důvod, chtějí vytěžovat data o klientech a Android je tak hodný, že těch dat jim předá obrovské množství.

Tohle je bohužel poslední dobou čím dál častější, 2FA s TOTP jako jedinou možností. Tedy pokud to rovnou není něco ještě méně praktického. :-(

V dobe, kdy davno mame funkcni a standardizovane FIDO/Webauthn (a umi to kdejaka sluzba, vc. treba konkurujiciho google) seznam konecne prichazi alespon s TOTP :-) No skvele, maji ale jen 12 let zpozdeni (RFC 6238 je z roku 2011)...