Visszafejlodesmanias UX mernokurak sorozat - 1. resz - Passphrase

Egyre tobb az engem zavaro UX pattern, szoval osztogatok majd egy uj sorozatban egy kis trollkajat, ahol par gyoker megkerdezheti, hogy "mit sirok", meg "nem igaz, hogy nem birom ki, hogy ket kattintassal tobb", meg "akkor mi is a bajom, ott a 'not now' gomb". Aki meg az opt-in es opt-out kozotti kulonbseget se erti, ajanlom, hogy ne irjon alam, mert embertelenul csunyan meg fogom alazni. A sorozat a defaultok fontossagarol is szolni fog.

Mai tema: passphrase-ek - en csak cryptography washingnak hivom. Cherry pickeltek nehany metrikat, amiben jobb, mint a password, szabalyozatlan terulet, igy a Google es az Apple is elkeszithette a sajat vendor lock-inelt valtozatat, es ha veletlen egyszer elfelejtettem volna a "not now"-ra kattintani, mar ijedtemben vettem volna egy masik iPhone-t a mostani melle, es csinaltam volna egy masik sima jelszavas GMail cimet es kozben kinyomtattam volna a QR kodot ugy, ahogy nem ajanlott.

De nekem van is ehhez eszem. Meg penzem. Csak vannak nalam joval idosebbek. Akik "a hozzaertot" kerdezik mit csinaljanak mert "mar rakattintottak". Orulnek, ha a bankkartyajuk negy szamjegyu PIN kodjara sikerul emlekezni.

Komolyan: szerintetek jo otlet 70 eves usernek a sikeres GMail jelszo promptja utan megkerdezni, hogy passphrase-re akar-e valtani? Vagy amikor az Apple password managere kerdezi ezt random oldalnal?

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Hova fog ez vezetni? Tul vagyunk mar "az online ter megbizhatosaganak csucsan" ezek miatt?

Pont ezt akartam egyből kérdezni én is:

Password vagy

Passphrase vagy

Passkey?

What is a Passkey? - YouTube

Amúgy járna a faszkorbács ezért is az ipar elől rohanó hülyéinek: jó dolog a passkey (yubikey miatt ástam bele magam a témába, és TÉNYLEG okos megoldások), de hogy szamában dolgozó IT-sként is masszívan cikkek tömegét kell elolvasni nekem is h. próbáljam megérteni, pontosan hogyan működik és mi az amire valóban jó, mi az amivel nem lehet átverni.... hát nem egyszerű téma. Az átlagembereknek pedig TOTÁLISAN esélyük SEM lesz megérteni. Ott nagyon durva egyszerűsítések és lebutított magyarázatokra lesz szükség. Ami egyszerűsítés magában rejti annak a veszélyét, h. az emberek összemossák ezeket a dolgokat, az átverések is ebbe az irányba fognak menni, hogy kijátsszák az emberek zavarodottságát.

Szerintem social engineering risk szemszogbol a password a legveszelytelenebb mindent egybeveve. Es ez igy is fog maradni.

Jelenleg ezen nezetemmel szellel szemben pisilek. De egy nap kiderul, hogy igazam volt. Ahogy szellel szemben pisiltem jelszorotacio tekinteteben is, ma mar hivatalosan is ellenjavalt, mert tobb ev kesessel megtanultak figyelembe venni az uj jelszavat azonnal monitorra ragaszto user UX igenyeit.

Aktivált Passwordless: jön a scammer, ezen a PHISHING oldalon add meg a jelszavadat. Amit ellopva próbál belépni. De nem fog tudni, mert NINCS jelszó!

FIDO U2F: küldi a kamu oldalra szóló linket, ahol elvileg gondolkodás nélkül bedugod a yubikey-t. Csak hát a domain nem match-el azzal, ami a passkey-ben szerepel, így nem fog beengedni (pontosabban: nem fogja átadni az auth adatokat a kamu-oldalnak).

Szerintem ezek nagyon jó dolgok. Csak hát kell hozzá a hardver key. Az OS-be (windows, mobil OS-ek) beépített secure key storage nem tudom mennyire lesz ezzel egyenértékű.

Egy Security key-t (ez a legolcsóbb, csak FIDO-ra jó) simán adnék nekik: ezt kell bedugnia a gépbe, rányom az érzékelőre mikor villog, és beengedi a gmail, Hotmail, facebook stb. Jelszóra se kell emlékeznie innentől kezdve soha. A jelszót el sem tudják tőle lopni/kicsalni többé, mert ő maga nem is fogja tudni mi a jelszava. Passwordless-nél is van jelszó, de egy random-generált 128 karakteres valami, ami csak ott van, de senki nem ismeri. Elméleti esélye van, h. valaki tippeléssel eltalálja, de az univerzum hamarabb kihűl, mint ez bekövetkezne.

Kettő darabot kell venni, mindkettőre beállítani az összes account-ot, a 2.-at elzárod nála egy biztos helyre, és csak akkor kell elővenni, ha az 1.-t elhagyta, elromlott, ellopták stb. 25 ezer forintból biztosítva van az online tevékenysége.

Van egy olyan Yubikey "application" (ez a kifejezésük a különböző, yubikey-en tárolt típusú hitelesítő üzemmódokra), ami egy statikus jelszónak felel meg. Azt kb. ezzel a HID-keyboard-Paste módszerrel másolja be a fókuszban levő mezőbe.

De ettől még a FIDO credential-ök nem így működnek, és nem lehet azokat ilyen Keyboard-paste módon kicsalni belőle.

Javítom magam: a yubikey valóban HID emulációval küld adatot, kb. mint egy virtuális billentyűzet. De ettől még a FIDO biztonsága nem sérül.

Kis ön-reklám, ha már yubikey ismertető: 

https://hup.hu/node/186684

( buga v | 2025. 04. 04., p – 10:58 )

Google esetén én úgy értelmeztem, hogy a passkey használatának engedélyezése után is megmarad a lehetőség a passworddel történő belépésre is. Csak abban az esetben próbálkozik a passkey használatával, ha az az adott device-on elérhető.  Rosszul értettem?

Tegyuk fel hogy jol ertetted. Azt, hogy MOST ez a rendszer.

Ki garantalja, hogy az a jelszo 3 ev mulva beenged, ha osszetorod backup nelkul a passkey-es/passphrase-es telefonodat, pedig regota azzal leptel be?

Bonusz, ha meg eszedbe is jutott a passkey-t/passphrase-t atmenteni pl. egy Microsoft accountba, hogy "ott is meglegyen", csak az se volt egyszeru es rahagytad.

a passkey olyan mint az ssh privkey: csak az adott gepen*/devicen van. lehet tobb passkeyed, ahany deviced van. ettol fuggetlen a sima password (+2fa) login.

(windowson a hello is egy passkey device)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ha csak az adott device-on van, akkor miert ugy van eloadva, hogy "password helyett lesz egyszer", mert "a password elavult"? (Marketing anyagokban). Ha elromlik/elveszik a device, es nincs password lehetoseg, ugrott a belepes lehetosege.

Ebben a formaban nem vagyunk elorebb, mint egy "remember me" cookie-nal, csak "hozza van cryptozva valami biometrikus az adott gepen". Szep szines "eladhato", de nem veszi at a jelszo szerepet.

a passwordre ugy kell tekinteni mint egy backup belepesre. a passkey nem a passwordot egesziti ki mint a 2fa, hanem helyettesiti: a bongeszo lekuldi hogy csigabiga.hu domainhez kell a loginhoz a passkey (nyilvan challenge), akkor a device visszaadja (alairja) amit kell. ha a bongeszo a kamuoldalas csigaaaaabiga.hu domainhez ker passkeyt akkor a device elhajtja hogy oda nincs. igy a kamuoldal nem tudja megszerezni a loginodat.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Google-vel érdekes esetem volt mostanában. Nem szoktam böngészővel belépni rá, Gmailt Thunderbirdben vagy az Apple mail programjában szoktam kezelni, ott időnként feldob böngészőoldalt, ahol ismételten be kell lépni és kész.

Mostanában valami okból be akartam lépni a böngészőben, nos, akkor bekérte a jelszót - eddig OK -, majd közölte, hogy második faktorként a mobiltelefonom Google Photos alkalmazásán keresztül hitelesítsen. Nos, nem sokkal korábban cseréltem telefont, és az újon még egyáltalán nem használtam a Photos-t, jó nekem az Apple sajátja. Valahogy rávettem, hogy próbálja a tablet Photos alkalmazását, ha már eszköz alapú hitelesítést akar. Akkor meg kiderült, hogy azon olyan régen léptem be a Photosba, hogy már lejárt a hitelesítés. Aztán még néhány varázslási próbálkozás után a tablettel sikerült a login (nem emlékszem a pontos folyamatra, lényeg, hogy összejött), de nem sokon múlt, hogy deadlock legyen a dologból.

van egy kikapcsolt vm-em, amiben be vagyok lepve az ilyen helyekre. az ilyen "erositsd meg masik gepen" mokara pont jo. telegram loginnal is vagy sms kellett vagy egy masik device. neha frissiteni kell a logint, de hat ezvan.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Teljesen el vagy rugaszkodva a valosagtol. Hajbi sokkal kozelebb all a foldon jarashoz, mint te, pedig o is el van rugaszkodva (nala az inga a masik iranyba leng ki - kevesbe, mint nalad)

Read the room: UX vs biztonsag topikba irsz epp okorseget. Mar a nyito is a te hozzaallasod hibassagat magyarazta szajbaragosan es tetelesen.

Nezetem szerint: "a fajtad" miatt fogunk ujra eljutni oda, hogy semmiben nem fogunk bizni, csak a szemelyes jelenletben - mint tobbsegi tarsadalom.

Ne ülj fel erre, teljesen zsákutca ez a VM dolog.

A Google-nél ez konkrétan úgy működik, hogy a mobilodon ~bármelyik Google app tud 2FA lenni. Akár egy YouTube. Szerintem aki IT-analfabéta, annak ez pont könnyítés, mert nem kell mindenféle auth appot telepíteni és konfigurálnia, hanem megy OOTB. 

A backup nem oldja meg, ha a server timeoutol. Onnantól a virtuális géped sincs bejelentkezve, akkor se, ha előveszed backupból. A korábbi elbeszélésemben a tablet lett volna a backup, azon fenn volt a Photos alkalmazás, amiből nem léptem ki, csak a Google döntött úgy, hogy mivel régen találkozott vele, az már nem érdekes, újra be kell jelentkezni.

jo hat ha csak akadalyokat gorgesz magad ele

Nem tunt fel, hogy nem mi gorgetjuk az akadalyokat magunk ele? Csak hasznalni szeretnenk a szolgaltatasokat.

nekem mukodik a megoldas

Remekul demonstralod, hogy a problema resze vagy, raadasul nagy pofaval es buszken. Ezzel a hozzaallasoddal remelem senki nem enged teged UX dontesek kozelebe. De elnezve, hogy milyen UX tervezesi hibak tortennek ahhoz kepest kinosan nagy cegeknel, attol tartok beengednek a tervezek megvitatasaba olyanokat, mint te - hibasan.

( SkyNET | 2025. 04. 05., szo – 15:11 )

a google felhasználó felületét én sem tartom ux szempontból - magam számára legalábbis - ideálisnak, a login lapfolyamra ez főleg igaz. Viszont, a jelszómentes felhasználó azonosítást nem ux hanem biztonsági kérdésnek gondolom, ahol utóbbi érdekében előbbi sérülhet (=nem baj, ha nem kényelmes, legyen nem kikerülhető, megszokják). Egy adott szolgáltatás / felhasználó / eszköz vonatkozásban a passkey fido discoverable credential (nem tudom magyarul mi ennek a neve felderíthető azonosítóadat, a lényeg hogy nem a user "írja be") tudom hogy a hordozhatóság nincsen szabványosítva még, de pl. a bitwarden vault exportra/importra lehetőséget ad - vault klónozásba nem kerül bele. 

Nem tudom, a dáp technikailag hogy működik valami webauthn credential-t használva, vagy passkey vagy sem, egy biztos az általad hivatkozott felhasználói körbe tartozó Édesapám Ügyfélkapus portálokhoz kényelmesebbnek tartja, mint a 2FA-t azt használtattam vele a dáp előtt. Biometrikus azonosítás van a telefonja beállítva, ujjlenyomatával igazolja hogy a készüléket ő használja (képernyőzár feloldáskor és a dápban is), ez neki kényelmesebb mint a pin / jelszó, a többit meg elvégzi a dáp (nem tudom milyen protokollal, lehet nem passkey, fogalmam nincsen).

( hajbazer v | 2025. 04. 05., szo – 16:14 )

Szerkesztve: 2025. 04. 05., szo – 16:14

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Egyértelműen evil UX, nagging, a gyanútlan felhasználó noszogatása, csőbehúzása. Valamivel extraprofitot is kell termelni.

:D

Ahogy elnézem, még nemigen találtak ide a fősodratú mérnök urak, de amint idetalálnak, te leszel a hibás™, hogy kritizálni mered a tech-multik szolgáltatásait úgy, hogy közben használod őket. Nem™ muszáj™ őket használni, senki nem kényszerít™ pisztollyal™. Meg amúgy is, alapíthatsz céget, és csinálhatsz jobbat. :P

Meg amúgy is, hogy jössz ahhoz, hogy veszélyeztesd™ szegény 70 éveseket azzal, hogy instant lehozod őket a multik által kifejlesztett legkorszerűbb™, legbiztonságosabb™ megoldásokról? :D

( carlcolt | 2025. 04. 06., v – 00:00 )

Szerkesztve: 2025. 04. 06., v – 09:55

GNOME keyring es KDE Wallet pelda elmult 20 evbol: valahogy majdnem mindenkinek az elso olyan wifi halozat, amire az a gep csatlakozott ---> na annak a jelszava lett a GNOME keyring vagy a KDE wallet mesterjelszava is.

Miert?

Mert a userek nem olvasnak, azt hiszik rosszul utottek be a jelszot, vagy ledobta oket a wifi mas miatt es beutik megegyszer.

Ertitek mar, hogy honnan indulunk? UX a temakor tovabbra is. A crypto proknak megfelelo UX ritkan felel meg a tobbsegnek.

nem is a konkrét példa a lényeg hanem az a gyakorlat, hogy egy adott funkciót egyszer ilyen, máskor meg egy másik lapfolyam valósít meg. Pl. google login, attól függően hogy épp valamilyen nem kötelező metaadatod akarják belőled kiszedni, vagy - egy egyébként számodra is előnyös - hitelesítési megoldásra akarnak átterelni. Ezt nem így kellene. Vagy amikor nincsen meg a felületelemek konzisztenciája a rendszer egyes komponensei között, és olyan állapot alakul ki mint itt a fentebb említett. 

aki fel odaadni azokat a "titkos" metaadatokat a googlenek, az ne hasznalja a gmailt. van masik  100 email szolgaltato akinek nemkell semmi. en orulok hogy megakadalyozza hogy bangladesbol valaki belepjen az accomba.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Kezdetnek a GNOME Keyringes / KWalletes megoldasban az is eleg lett volna, ha a masodik dialogusablak kert volna be mesterjelszot. Es lett volna elotte egy elso, hogy "te ezt amugy akarod-e" es a latvanyos default lett volna a "NEM / Később".

Meg jobb: egy link a dialoguson, hogy "ha fejlettebb jelszovedelmet szeretne allitson be egy mesterjelszot itt. Vagy kesobb systemsettings --> akarmi --> lofasz --> kwallet --> master password security" Es csak egy "OK" (ami a "nem/kesobb"), ha valaki nem a linkre megy.

Es ezek az Open Source projektek, ahol az emberi muveltseg hianya vitte ilyen iranyba a UX-et. A corporate UX tervezes eseten attol tartok a marketingesek es datasok gonosz kozos dontesei rontanak a helyzeten...

(Ja es a userek 95%-a nem diszlexias - hanem atlagember)

a diszlexiara nem az ux lebutitasa a megoldas.

A szarul-húgyul implementált UX-re nem a felhasználó hibáztatása és diszlexiásozása a megoldás.

Ettől még igaz lehet, hogy a felhasználók nem olvasnak, de a UX pont az a terület, ahol ez a kiindulópont, vagyis elsősorban workflow-kat kell alkotni, nem szövegeket fogalmazgatni.

mit kene csinalni?

Mondjuk nem a WiFi jelszó beírásakor kéne beállíttatni a keyring jelszót, ha még nincs beállítva. Hanem mondjuk első bejelentkezéskor.

Hanem mondjuk első bejelentkezéskor.

Azt sem kene szerintem. Default: a login jelszava - egy prompt utana mesterjelszot is csinal abbol az inputbol (first time). (macOS megoldasa amugy ehhez hasonlo kicsit, de lattam mar azt is usert megkavarni, meg ott az a baj, hogy ha nincs harom mukodo es gyakran hasznalt Apple eszkozod, mason verzel el).

Masik megoldas: "gyengebben randomizaltan kulcsot nem a legbiztonsagosabban tarolva" "titkositani" by default. Es az elso wifi jelszo beutese utan "biztonsagosabb jelszotarolas beallitasa itt, vagy kesobb a settings --> lofasz --> akarmi --> wallet menuben" - "Rendben, most nem" gomb jo naggyal.

Es mondjuk elso 5 jelszonal hanyja fel ezt a dialogot aztan hagyja beken a usert.

"Attol fugg, milyen adatot vedesz es miert." mar minert kene elso alkalomkor valakit azzal traktalni hogy mesterjelszot allitson be, ha sosem fogja hasznalni. ha meg hasznalni fogja akkor ertsen mar hozza annyira hogy elso login utan elinditja a gnomekeyringet, es beallitja. akar meg wifi csatlakozas elott....

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( carlcolt | 2025. 04. 06., v – 14:09 )

Szerkesztve: 2025. 04. 06., v – 14:09

(Valaki szoljon mar Aadaamnak, hogy buli van a hupkon. Ures ez a topik nelkule. :) )