Интернет получил официальный беспарольный стандарт авторизации

Так оно и вводит еще большие ключи по сути.

Я как специалист по инфобезу понимаю, что если тебя закрыли власти, то тебе ВООБЩЕ никак не поможет ни длина пароля, ни аппаратный ключ, ни СМС. Потому что тебя будут бить, пока все не раскроешь.

При чем тут власти? Твою рожу жулик сфоткает и снимет твои деньги с банка, а ты будешь пытаться доказать, что не верблюд. Но даже если говорить про бить, то в случае асимметричной криптографии и это не поможет, т.к. ключа второй стороны у тебя нет и даже если тебя сварят в масле он не появится из воздуха. Хотя если цель просто сварить тебя в кипящем масле, то и информационная безопасность тут не при делах.

Твою рожу жулик сфоткает

Это работает не так.

А как это работает? На магии?

Потому что тебя будут бить, пока все не раскроешь.

Пока не согласишься на рассмотрение дела в специальном порядке. Т.к им не придётся ни собирать доказательств, ни проводить экспертизы, ни вообще как-либо напрягаться.

Нет, ну сдуру можно и обманку прикрутить, которая на яркий свет будет ключ отдавать. По роже лица открывает сканированием рельефа морды, на не плоского изображения, это как отпечаток пальца по сути. При нормальной реализации у тебя ключ неизвлекаемый из сканера, чем ты открываешь контейнер - лицом, рисунком вен, сетчаткой, паролем или отпечатком в общем-то все равно. Конечно кто-то может сделать слепок, но согласись, что при наличии такой угрозы надо немного иначе себя вести.

Конечно кто-то может сделать слепок, но согласись, что при наличии такой угрозы надо немного иначе себя вести.

ЕМНИП, что-то такое было — печать трехмерного слепка на дешмановом принтере с изображения. Там вроде бы не рокет сцаинс.

По роже лица открывает сканированием рельефа морды, на не плоского изображения, это как отпечаток пальца по сути.

Реконструируется этот рельеф по нескольким фоткам. Есть готовый софт для 3д-печати. http://3d-copy.me/3d-by-photo.php#howphoto

если тебя закрыли власти

Закрывать - процесс дорогой, и массовым быть в принципе не может. В отличие от автоматизированной тотальной слежки. Впрочем, тема властей по отношению к ОП - оффтопик.

Дык, погромистов в этой стране всего ~150 тысяч (слышал краем уха на РБК в 2016). Так что действительно массово никого закрывать и не потребуется.

в этой стране

Я думал, речь про ту страну, в которой w3c обретается.

Рельеф морды будут сканировать жулики. Разница не особо большая.

Это сильно сложнее, чем просто увести пароль. Потом не забываем, что ключи по морде генерируются разные каждый раз, так что во первых нельзя реюзать пароль, во вторых по утекшему паролю сопоставлять личность. Это полезно в для обычных пользователей превышает риски.

Один раз скомпрометировав свою рожу, ты лишаешься средств авторизации на всю жизнь. Просто прекрасно. А вот нефик ламиром быть.

С чего бы? У тебя ровно 1 устройство, на котором это включено, открывается лицом только неважное. То есть украв мой телефон и распечатав мое лицо злоумышленники смогут нагадить в фб и на ЛОРе. И то, пока я не отозвал ключи.

Погоди, или тут есть люди, которые думают, что лицо - ключ?!!!!

В той стране их тоже не на порядки больше.

Отпечаток при этом проще добыть и проще подделать. Еще есть такие вещи, как «доверенная локация» - можно разлочить спуфом GPS'а, если предположить, что у кого-то дом доверенный (или прийти туда ногами с телефоном в кармане, еще проще).

Смотри: у тебя с паролем есть имя и 1 фактор. С СМСкой или ОТП — 2 фактора. С биометрией, которую сделали нормально, уже имеем имя пользователя, заэнролленое устройство, некий фактор (сканер анклав + лицо, палец, комбинация). При чем тебе потребуется украсть устройство, что некоторым образом заметно для пользователя. При компрометации пароля или софт-отп, пользователь может дольше не заметить утраты. У меня, например, криптоконтейнер требует железный токен каждый раз, когда я в него лезу, разлоченность телефона не скомпрометирует пароли.

Второй вопрос: лицо, палец, сетчатка, голос и т.п. - один из факторов, на основании которого ненерируется ключ, который нельзя извлечь из устройства. 2 сервиса - 2 ключа. Другое устройство - еще один ключ. То есть если ты украл мой пароль в одном сервисе, то ты не узнаешь что это некий «я» и для других сервисов он будет бесполезен.

Отпечаток при этом проще добыть и проще подделать.

Это если тебя целенаправленно ищут. А если чуваки слили банковский архив с личными данными пользователей (имя-фамилия-фоточка-номеркарты), то они могут сделать условно тысячу дешманских 3d-мордочек разных людей, и та десятка, что сработает, отобьет вложения.

Еще есть такие вещи, как «доверенная локация» - можно разлочить спуфом GPS'а, если предположить, что у кого-то дом доверенный (или прийти туда ногами с телефоном в кармане, еще проще).

Все это опять же имеет смысл обсуждать, если за тобой черные вертолеты охотятся. А если тебя в глаза не видели, а бабки сперли — это печаль-печаль.

что сработает

что сработает? Тебе устройства, для которых включена аутентификация надо вместе с архивом физически получить. Морда сама по себе не генерирует ключа для расшифровки.

что сработает? Тебе устройства, для которых включена аутентификация надо вместе с архивом физически получить. Морда сама по себе не генерирует ключа для расшифровки.

Ну тогда паника отменяется.

Да это в идеале всё красиво, а по факту опять модели морд и все причендалы будут храниться в открытом виде голой жопой в интернет в монгодб. Я - программист! Я знаю, что говорю.

Суть стандартов вроде FIDO в том, чтобы если у тебя устройства ему соответствуют и сервис ему соответствует, то была бы уверенность, что реализация не совсем через жопу.

модели морд

дались вам они, это самый малозначимый фактор.

так и надо хранить, это называет «открытость»

2 сервиса - 2 ключа. Другое устройство - еще один ключ. То есть если ты украл мой пароль в одном сервисе, то ты не узнаешь что это некий «я» и для других сервисов он будет бесполезен.

На практике будет так: тебя нафотографировали в google glass, вынули из кармана смартфон, час спустя 3d-моделькой разлочили его, и он сразу же из коробки залогинен во *все* сервисы, какими ты пользуешься. Не?

(1) Это направленная атака на конкретного человека, которая требует технических знаний и оснащения. Это дороговато если нет уверенности в результате, это не массово.

(2) «Где деньги лежат» обычно все-таки разлочиваются еще чем-то. В описанной тобой атаке самое страшное, что можно сделать с моим телефоном - нагадить в Фейсбуке и ЛОРе.

(3) Если телефон разлочен, то в сервисах он уже залогинен. То есть в случае с моим телефоном разница между лицом, пальцем и паролем не столь велика. Пароль можно подсмотреть, отпечаток получается тоже не сложно (а вот его напечатать гораздо быстрее, чем лицо).

Повторюсь, идея в том, что это все много много много лучше паролей, которые 95% людей ставят одинаковые везде, многие из них - одинаковые простые. То есть ты взламываешь говносайт магазина мягкой игрушки и цветов (где пароли хранятся в плейнтексте) и логинишься с этими данными в интересные места. Вот с этим борются, а не подбирают способ выведать секреты криптоанархиста.

Вообще, если речь идет об массовой атаке, то куда проще поставить точку «Beeline_WiFi_Free» c каптив-порталом, который просит поставить свой СА и дампит вообще все интересное. Затрат - 3 копейки, массово, практически беспалевно (не надо воровать телефон, который «крупный размер»).

Ок. Спасибо за развернутые ответы!

А если у меня нет смартфона, хожу в интернеты исключительно с дестктопа и без вебкамеры

А я - пони, я маленький пони!

Я как-то задавал похожий вопрос на тему мессенджеров с регистрацией по номеру телефона. Ретроград ты просто, узбагойся...

«У всех есть нужные устройства. А если нет - то будут!» (c)

Зонд - каждому! Не хочет добровольно, будет принудительно! Так штоле?

Видимо да. Я вот не пользуюсь мессенджерами с регистрацией по мобиле, пока что это вызывает проблемы у моих знакомых, но скоро чувствую начнет вызывать и у меня.

Так и здесь. Зонд каждому, пусть все уйдут удовлетворенными!

А что мешает поставить андроид без модулей ядра/библиотек face id и finger print?

Это открытый стандарт, можно же будет программно эмулировать, просто ключиком RSA?
Хотя есть же давным-давно клиентские SSL-сертификаты, которые можно в том числе держать на аппаратных токенах. Так зачем вообще это ненужно?

Хотя есть же давным-давно клиентские SSL-сертификаты,

только их никто не использует

трехмерного слепка

https://fishki.net/1701939-shokoladnyj-anus-teper-ty-videl-vsyo.html

Видимо да. Я вот не пользуюсь мессенджерами с регистрацией по мобиле, пока что это вызывает проблемы у моих знакомых, но скоро чувствую начнет вызывать и у меня.

И в этом есть справедливость, потому что в какое количество движков сайтов ты внедрил поддержку авторизации правильными с твоей точки зрения способами?
Может и блезплатно, может и под равнодушие разработчиков и потребителей движка.
Ни во сколько?
Ну так и не жалуйся что ситуация решиласьт сама и своими методами.

дались вам они, это самый малозначимый фактор.

ДА? Ты видел deepfakes? Сперва 3д модель твоей морды утекает в интернет, а потом твой начальник или, еще хуже, ревнивый сосед смотрит домашнее видео с его женой и тобой в главных ролях. И я не думаю, что отмазки типа посмотрите, до чего дошел прогресс на них подействуют.
Тут так у каждого модератора с утекшими фотками будет личный канал на порнохабе лет через 10-20 точно.

такая же мысль возникла. и непонятно, зачем это надо.

Ни во сколько?

Прекрасный увод вида «спервадобейся», браво

Нет, этим уводом вы гентущники занимаетесь когда вас сделать нормальный инсталятор просишь.

А здесь нормальное замечание что для того чтобы изменить жизнь надо приложить усилия.