Microsoft přešel na “bezheslové” přihlašování pro kohokoliv – můžete použít Microsoft Authenticator (nejde nahradit jinou aplikací), WIndows Hello, bezpečností (hw) klíče nebo SMS/e-mail s ověřovacím kódem. Přechod na “bezheslové” přihlášení znamená, že odstraníte vaše heslo, take nepočítejte s jakousi “zálohou. aktivane na account.microsoft.com. Nečekejte ale, že to bude snadno k nalezení (Zabezpečení -> Rozšířené možnosti).
Rozpoznávání obličejů ve Windows 10 ošáleno prostou fotografií. Viz Microsoft Windows Hello Face Authentication – Authentication Bypass by Spoofing (CWE-290) a je nutné opět připomenout, že stejně jako u Face ID se na tuhle funkčnost musíte dívat pouze jako na něco co ulehčuje život. Nikoliv jako na bezpečnostní pojistku. Windows Hello mimochodem používá také infrakameru…
Senzory na otisky prstů lze zmást „univerzálním otiskem“. Alespoň to zjistili výzkumníci z New York University a Michigan State University. Jejich zkoumání tvrdí, že lze sestavit umělé „univerzální otisky“, které odemknou prakticky cokoliv v 65 procentech případů. Viz That Fingerprint Sensor on Your Phone Is Not as Safe as You Think a nutno dodat, že…
Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů mobilních aplikací. Právě tam jsou totiž k nalezení mizerné implementované OAuth 2.0 řešení využívaná k přihlašování s pomocí Facebook, Google či Sina Weibo. Útočník přitom nepotřebuje přístup do telefonu oběti, stačí využít Man-in-the-middle. Viz OAUTH 2.0 HACK EXPOSES 1 BILLION MOBILE APPS TO ACCOUNT HIJACKING a Signing…
Google zkouší přihlašování bez hesel, pochopitelně s pomocí mobilního telefonu. Což by vůbec nebylo marné a je nejvyšší čas se pokusit něco podobného prosadit jako běžný způsob. Viz Google is Experimenting on No-Password Authentication