Visszafejlodesmanias UX mernokurak sorozat - 1. resz - Passphrase

Egyre tobb az engem zavaro UX pattern, szoval osztogatok majd egy uj sorozatban egy kis trollkajat, ahol par gyoker megkerdezheti, hogy "mit sirok", meg "nem igaz, hogy nem birom ki, hogy ket kattintassal tobb", meg "akkor mi is a bajom, ott a 'not now' gomb". Aki meg az opt-in es opt-out kozotti kulonbseget se erti, ajanlom, hogy ne irjon alam, mert embertelenul csunyan meg fogom alazni. A sorozat a defaultok fontossagarol is szolni fog.

Mai tema: passphrase-ek - en csak cryptography washingnak hivom. Cherry pickeltek nehany metrikat, amiben jobb, mint a password, szabalyozatlan terulet, igy a Google es az Apple is elkeszithette a sajat vendor lock-inelt valtozatat, es ha veletlen egyszer elfelejtettem volna a "not now"-ra kattintani, mar ijedtemben vettem volna egy masik iPhone-t a mostani melle, es csinaltam volna egy masik sima jelszavas GMail cimet es kozben kinyomtattam volna a QR kodot ugy, ahogy nem ajanlott.

De nekem van is ehhez eszem. Meg penzem. Csak vannak nalam joval idosebbek. Akik "a hozzaertot" kerdezik mit csinaljanak mert "mar rakattintottak". Orulnek, ha a bankkartyajuk negy szamjegyu PIN kodjara sikerul emlekezni.

Komolyan: szerintetek jo otlet 70 eves usernek a sikeres GMail jelszo promptja utan megkerdezni, hogy passphrase-re akar-e valtani? Vagy amikor az Apple password managere kerdezi ezt random oldalnal?

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Hova fog ez vezetni? Tul vagyunk mar "az online ter megbizhatosaganak csucsan" ezek miatt?

Pont ezt akartam egyből kérdezni én is:

Password vagy

Passphrase vagy

Passkey?

What is a Passkey? - YouTube

Amúgy járna a faszkorbács ezért is az ipar elől rohanó hülyéinek: jó dolog a passkey (yubikey miatt ástam bele magam a témába, és TÉNYLEG okos megoldások), de hogy szamában dolgozó IT-sként is masszívan cikkek tömegét kell elolvasni nekem is h. próbáljam megérteni, pontosan hogyan működik és mi az amire valóban jó, mi az amivel nem lehet átverni.... hát nem egyszerű téma. Az átlagembereknek pedig TOTÁLISAN esélyük SEM lesz megérteni. Ott nagyon durva egyszerűsítések és lebutított magyarázatokra lesz szükség. Ami egyszerűsítés magában rejti annak a veszélyét, h. az emberek összemossák ezeket a dolgokat, az átverések is ebbe az irányba fognak menni, hogy kijátsszák az emberek zavarodottságát.

Szerintem social engineering risk szemszogbol a password a legveszelytelenebb mindent egybeveve. Es ez igy is fog maradni.

Jelenleg ezen nezetemmel szellel szemben pisilek. De egy nap kiderul, hogy igazam volt. Ahogy szellel szemben pisiltem jelszorotacio tekinteteben is, ma mar hivatalosan is ellenjavalt, mert tobb ev kesessel megtanultak figyelembe venni az uj jelszavat azonnal monitorra ragaszto user UX igenyeit.

Aktivált Passwordless: jön a scammer, ezen a PHISHING oldalon add meg a jelszavadat. Amit ellopva próbál belépni. De nem fog tudni, mert NINCS jelszó!

FIDO U2F: küldi a kamu oldalra szóló linket, ahol elvileg gondolkodás nélkül bedugod a yubikey-t. Csak hát a domain nem match-el azzal, ami a passkey-ben szerepel, így nem fog beengedni (pontosabban: nem fogja átadni az auth adatokat a kamu-oldalnak).

Szerintem ezek nagyon jó dolgok. Csak hát kell hozzá a hardver key. Az OS-be (windows, mobil OS-ek) beépített secure key storage nem tudom mennyire lesz ezzel egyenértékű.

Egy Security key-t (ez a legolcsóbb, csak FIDO-ra jó) simán adnék nekik: ezt kell bedugnia a gépbe, rányom az érzékelőre mikor villog, és beengedi a gmail, Hotmail, facebook stb. Jelszóra se kell emlékeznie innentől kezdve soha. A jelszót el sem tudják tőle lopni/kicsalni többé, mert ő maga nem is fogja tudni mi a jelszava. Passwordless-nél is van jelszó, de egy random-generált 128 karakteres valami, ami csak ott van, de senki nem ismeri. Elméleti esélye van, h. valaki tippeléssel eltalálja, de az univerzum hamarabb kihűl, mint ez bekövetkezne.

Kettő darabot kell venni, mindkettőre beállítani az összes account-ot, a 2.-at elzárod nála egy biztos helyre, és csak akkor kell elővenni, ha az 1.-t elhagyta, elromlott, ellopták stb. 25 ezer forintból biztosítva van az online tevékenysége.

Van egy olyan Yubikey "application" (ez a kifejezésük a különböző, yubikey-en tárolt típusú hitelesítő üzemmódokra), ami egy statikus jelszónak felel meg. Azt kb. ezzel a HID-keyboard-Paste módszerrel másolja be a fókuszban levő mezőbe.

De ettől még a FIDO credential-ök nem így működnek, és nem lehet azokat ilyen Keyboard-paste módon kicsalni belőle.

Javítom magam: a yubikey valóban HID emulációval küld adatot, kb. mint egy virtuális billentyűzet. De ettől még a FIDO biztonsága nem sérül.

Kis ön-reklám, ha már yubikey ismertető: 

https://hup.hu/node/186684

( buga v | 2025. 04. 04., p – 10:58 )

Google esetén én úgy értelmeztem, hogy a passkey használatának engedélyezése után is megmarad a lehetőség a passworddel történő belépésre is. Csak abban az esetben próbálkozik a passkey használatával, ha az az adott device-on elérhető.  Rosszul értettem?

Tegyuk fel hogy jol ertetted. Azt, hogy MOST ez a rendszer.

Ki garantalja, hogy az a jelszo 3 ev mulva beenged, ha osszetorod backup nelkul a passkey-es/passphrase-es telefonodat, pedig regota azzal leptel be?

Bonusz, ha meg eszedbe is jutott a passkey-t/passphrase-t atmenteni pl. egy Microsoft accountba, hogy "ott is meglegyen", csak az se volt egyszeru es rahagytad.

a passkey olyan mint az ssh privkey: csak az adott gepen*/devicen van. lehet tobb passkeyed, ahany deviced van. ettol fuggetlen a sima password (+2fa) login.

(windowson a hello is egy passkey device)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ha csak az adott device-on van, akkor miert ugy van eloadva, hogy "password helyett lesz egyszer", mert "a password elavult"? (Marketing anyagokban). Ha elromlik/elveszik a device, es nincs password lehetoseg, ugrott a belepes lehetosege.

Ebben a formaban nem vagyunk elorebb, mint egy "remember me" cookie-nal, csak "hozza van cryptozva valami biometrikus az adott gepen". Szep szines "eladhato", de nem veszi at a jelszo szerepet.

a passwordre ugy kell tekinteni mint egy backup belepesre. a passkey nem a passwordot egesziti ki mint a 2fa, hanem helyettesiti: a bongeszo lekuldi hogy csigabiga.hu domainhez kell a loginhoz a passkey (nyilvan challenge), akkor a device visszaadja (alairja) amit kell. ha a bongeszo a kamuoldalas csigaaaaabiga.hu domainhez ker passkeyt akkor a device elhajtja hogy oda nincs. igy a kamuoldal nem tudja megszerezni a loginodat.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Google-vel érdekes esetem volt mostanában. Nem szoktam böngészővel belépni rá, Gmailt Thunderbirdben vagy az Apple mail programjában szoktam kezelni, ott időnként feldob böngészőoldalt, ahol ismételten be kell lépni és kész.

Mostanában valami okból be akartam lépni a böngészőben, nos, akkor bekérte a jelszót - eddig OK -, majd közölte, hogy második faktorként a mobiltelefonom Google Photos alkalmazásán keresztül hitelesítsen. Nos, nem sokkal korábban cseréltem telefont, és az újon még egyáltalán nem használtam a Photos-t, jó nekem az Apple sajátja. Valahogy rávettem, hogy próbálja a tablet Photos alkalmazását, ha már eszköz alapú hitelesítést akar. Akkor meg kiderült, hogy azon olyan régen léptem be a Photosba, hogy már lejárt a hitelesítés. Aztán még néhány varázslási próbálkozás után a tablettel sikerült a login (nem emlékszem a pontos folyamatra, lényeg, hogy összejött), de nem sokon múlt, hogy deadlock legyen a dologból.

van egy kikapcsolt vm-em, amiben be vagyok lepve az ilyen helyekre. az ilyen "erositsd meg masik gepen" mokara pont jo. telegram loginnal is vagy sms kellett vagy egy masik device. neha frissiteni kell a logint, de hat ezvan.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Teljesen el vagy rugaszkodva a valosagtol. Hajbi sokkal kozelebb all a foldon jarashoz, mint te, pedig o is el van rugaszkodva (nala az inga a masik iranyba leng ki - kevesbe, mint nalad)

Read the room: UX vs biztonsag topikba irsz epp okorseget. Mar a nyito is a te hozzaallasod hibassagat magyarazta szajbaragosan es tetelesen.

Nezetem szerint: "a fajtad" miatt fogunk ujra eljutni oda, hogy semmiben nem fogunk bizni, csak a szemelyes jelenletben - mint tobbsegi tarsadalom.

( SkyNET | 2025. 04. 05., szo – 15:11 )

a google felhasználó felületét én sem tartom ux szempontból - magam számára legalábbis - ideálisnak, a login lapfolyamra ez főleg igaz. Viszont, a jelszómentes felhasználó azonosítást nem ux hanem biztonsági kérdésnek gondolom, ahol utóbbi érdekében előbbi sérülhet (=nem baj, ha nem kényelmes, legyen nem kikerülhető, megszokják). Egy adott szolgáltatás / felhasználó / eszköz vonatkozásban a passkey fido discoverable credential (nem tudom magyarul mi ennek a neve felderíthető azonosítóadat, a lényeg hogy nem a user "írja be") tudom hogy a hordozhatóság nincsen szabványosítva még, de pl. a bitwarden vault exportra/importra lehetőséget ad - vault klónozásba nem kerül bele. 

Nem tudom, a dáp technikailag hogy működik valami webauthn credential-t használva, vagy passkey vagy sem, egy biztos az általad hivatkozott felhasználói körbe tartozó Édesapám Ügyfélkapus portálokhoz kényelmesebbnek tartja, mint a 2FA-t azt használtattam vele a dáp előtt. Biometrikus azonosítás van a telefonja beállítva, ujjlenyomatával igazolja hogy a készüléket ő használja (képernyőzár feloldáskor és a dápban is), ez neki kényelmesebb mint a pin / jelszó, a többit meg elvégzi a dáp (nem tudom milyen protokollal, lehet nem passkey, fogalmam nincsen).

( hajbazer v | 2025. 04. 05., szo – 16:14 )

Szerkesztve: 2025. 04. 05., szo – 16:14

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Egyértelműen evil UX, nagging, a gyanútlan felhasználó noszogatása, csőbehúzása. Valamivel extraprofitot is kell termelni.

:D

Ahogy elnézem, még nemigen találtak ide a fősodratú mérnök urak, de amint idetalálnak, te leszel a hibás™, hogy kritizálni mered a tech-multik szolgáltatásait úgy, hogy közben használod őket. Nem™ muszáj™ őket használni, senki nem kényszerít™ pisztollyal™. Meg amúgy is, alapíthatsz céget, és csinálhatsz jobbat. :P

Meg amúgy is, hogy jössz ahhoz, hogy veszélyeztesd™ szegény 70 éveseket azzal, hogy instant lehozod őket a multik által kifejlesztett legkorszerűbb™, legbiztonságosabb™ megoldásokról? :D

( carlcolt | 2025. 04. 06., v – 00:00 )

Szerkesztve: 2025. 04. 06., v – 00:00

GNOME keyring es KDE Wallet pelda elmult 20 evbol: valahogy majdnem mindenkinek az elso olyan wifi halozat, amire az a gep csatlakozott ---> na annak a jelszava lett a GNOME keyring vagy a KDE wallet mesterjelszava is.

Miert?

Mert a userek nem olvasnak, azt hiszik rosszul utottek be a jelszot, vagy ledobta oket a wifi mas miatt es beutik megegyszer.

Ertitek mar, hogy honnan indulunk? UX a temakor tovabbra is, es nem crypto prok UX-e a tobbseg.