Visszafejlodesmanias UX mernokurak sorozat - 1. resz - Passphrase

Egyre tobb az engem zavaro UX pattern, szoval osztogatok majd egy uj sorozatban egy kis trollkajat, ahol par gyoker megkerdezheti, hogy "mit sirok", meg "nem igaz, hogy nem birom ki, hogy ket kattintassal tobb", meg "akkor mi is a bajom, ott a 'not now' gomb". Aki meg az opt-in es opt-out kozotti kulonbseget se erti, ajanlom, hogy ne irjon alam, mert embertelenul csunyan meg fogom alazni. A sorozat a defaultok fontossagarol is szolni fog.

Mai tema: passphrase-ek - en csak cryptography washingnak hivom. Cherry pickeltek nehany metrikat, amiben jobb, mint a password, szabalyozatlan terulet, igy a Google es az Apple is elkeszithette a sajat vendor lock-inelt valtozatat, es ha veletlen egyszer elfelejtettem volna a "not now"-ra kattintani, mar ijedtemben vettem volna egy masik iPhone-t a mostani melle, es csinaltam volna egy masik sima jelszavas GMail cimet es kozben kinyomtattam volna a QR kodot ugy, ahogy nem ajanlott.

De nekem van is ehhez eszem. Meg penzem. Csak vannak nalam joval idosebbek. Akik "a hozzaertot" kerdezik mit csinaljanak mert "mar rakattintottak". Orulnek, ha a bankkartyajuk negy szamjegyu PIN kodjara sikerul emlekezni.

Komolyan: szerintetek jo otlet 70 eves usernek a sikeres GMail jelszo promptja utan megkerdezni, hogy passphrase-re akar-e valtani? Vagy amikor az Apple password managere kerdezi ezt random oldalnal?

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Hova fog ez vezetni? Tul vagyunk mar "az online ter megbizhatosaganak csucsan" ezek miatt?

Pont ezt akartam egyből kérdezni én is:

Password vagy

Passphrase vagy

Passkey?

What is a Passkey? - YouTube

Amúgy járna a faszkorbács ezért is az ipar elől rohanó hülyéinek: jó dolog a passkey (yubikey miatt ástam bele magam a témába, és TÉNYLEG okos megoldások), de hogy szamában dolgozó IT-sként is masszívan cikkek tömegét kell elolvasni nekem is h. próbáljam megérteni, pontosan hogyan működik és mi az amire valóban jó, mi az amivel nem lehet átverni.... hát nem egyszerű téma. Az átlagembereknek pedig TOTÁLISAN esélyük SEM lesz megérteni. Ott nagyon durva egyszerűsítések és lebutított magyarázatokra lesz szükség. Ami egyszerűsítés magában rejti annak a veszélyét, h. az emberek összemossák ezeket a dolgokat, az átverések is ebbe az irányba fognak menni, hogy kijátsszák az emberek zavarodottságát.

Szerintem social engineering risk szemszogbol a password a legveszelytelenebb mindent egybeveve. Es ez igy is fog maradni.

Jelenleg ezen nezetemmel szellel szemben pisilek. De egy nap kiderul, hogy igazam volt. Ahogy szellel szemben pisiltem jelszorotacio tekinteteben is, ma mar hivatalosan is ellenjavalt, mert tobb ev kesessel megtanultak figyelembe venni az uj jelszavat azonnal monitorra ragaszto user UX igenyeit.

Aktivált Passwordless: jön a scammer, ezen a PHISHING oldalon add meg a jelszavadat. Amit ellopva próbál belépni. De nem fog tudni, mert NINCS jelszó!

FIDO U2F: küldi a kamu oldalra szóló linket, ahol elvileg gondolkodás nélkül bedugod a yubikey-t. Csak hát a domain nem match-el azzal, ami a passkey-ben szerepel, így nem fog beengedni (pontosabban: nem fogja átadni az auth adatokat a kamu-oldalnak).

Szerintem ezek nagyon jó dolgok. Csak hát kell hozzá a hardver key. Az OS-be (windows, mobil OS-ek) beépített secure key storage nem tudom mennyire lesz ezzel egyenértékű.

Egy Security key-t (ez a legolcsóbb, csak FIDO-ra jó) simán adnék nekik: ezt kell bedugnia a gépbe, rányom az érzékelőre mikor villog, és beengedi a gmail, Hotmail, facebook stb. Jelszóra se kell emlékeznie innentől kezdve soha. A jelszót el sem tudják tőle lopni/kicsalni többé, mert ő maga nem is fogja tudni mi a jelszava. Passwordless-nél is van jelszó, de egy random-generált 128 karakteres valami, ami csak ott van, de senki nem ismeri. Elméleti esélye van, h. valaki tippeléssel eltalálja, de az univerzum hamarabb kihűl, mint ez bekövetkezne.

Kettő darabot kell venni, mindkettőre beállítani az összes account-ot, a 2.-at elzárod nála egy biztos helyre, és csak akkor kell elővenni, ha az 1.-t elhagyta, elromlott, ellopták stb. 25 ezer forintból biztosítva van az online tevékenysége.

Van egy olyan Yubikey "application" (ez a kifejezésük a különböző, yubikey-en tárolt típusú hitelesítő üzemmódokra), ami egy statikus jelszónak felel meg. Azt kb. ezzel a HID-keyboard-Paste módszerrel másolja be a fókuszban levő mezőbe.

De ettől még a FIDO credential-ök nem így működnek, és nem lehet azokat ilyen Keyboard-paste módon kicsalni belőle.

Javítom magam: a yubikey valóban HID emulációval küld adatot, kb. mint egy virtuális billentyűzet. De ettől még a FIDO biztonsága nem sérül.

Kis ön-reklám, ha már yubikey ismertető: 

https://hup.hu/node/186684

( buga v | 2025. 04. 04., p – 10:58 )

Google esetén én úgy értelmeztem, hogy a passkey használatának engedélyezése után is megmarad a lehetőség a passworddel történő belépésre is. Csak abban az esetben próbálkozik a passkey használatával, ha az az adott device-on elérhető.  Rosszul értettem?

Tegyuk fel hogy jol ertetted. Azt, hogy MOST ez a rendszer.

Ki garantalja, hogy az a jelszo 3 ev mulva beenged, ha osszetorod backup nelkul a passkey-es/passphrase-es telefonodat, pedig regota azzal leptel be?

Bonusz, ha meg eszedbe is jutott a passkey-t/passphrase-t atmenteni pl. egy Microsoft accountba, hogy "ott is meglegyen", csak az se volt egyszeru es rahagytad.

a passkey olyan mint az ssh privkey: csak az adott gepen*/devicen van. lehet tobb passkeyed, ahany deviced van. ettol fuggetlen a sima password (+2fa) login.

(windowson a hello is egy passkey device)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ha csak az adott device-on van, akkor miert ugy van eloadva, hogy "password helyett lesz egyszer", mert "a password elavult"? (Marketing anyagokban). Ha elromlik/elveszik a device, es nincs password lehetoseg, ugrott a belepes lehetosege.

Ebben a formaban nem vagyunk elorebb, mint egy "remember me" cookie-nal, csak "hozza van cryptozva valami biometrikus az adott gepen". Szep szines "eladhato", de nem veszi at a jelszo szerepet.

a passwordre ugy kell tekinteni mint egy backup belepesre. a passkey nem a passwordot egesziti ki mint a 2fa, hanem helyettesiti: a bongeszo lekuldi hogy csigabiga.hu domainhez kell a loginhoz a passkey (nyilvan challenge), akkor a device visszaadja (alairja) amit kell. ha a bongeszo a kamuoldalas csigaaaaabiga.hu domainhez ker passkeyt akkor a device elhajtja hogy oda nincs. igy a kamuoldal nem tudja megszerezni a loginodat.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Google-vel érdekes esetem volt mostanában. Nem szoktam böngészővel belépni rá, Gmailt Thunderbirdben vagy az Apple mail programjában szoktam kezelni, ott időnként feldob böngészőoldalt, ahol ismételten be kell lépni és kész.

Mostanában valami okból be akartam lépni a böngészőben, nos, akkor bekérte a jelszót - eddig OK -, majd közölte, hogy második faktorként a mobiltelefonom Google Photos alkalmazásán keresztül hitelesítsen. Nos, nem sokkal korábban cseréltem telefont, és az újon még egyáltalán nem használtam a Photos-t, jó nekem az Apple sajátja. Valahogy rávettem, hogy próbálja a tablet Photos alkalmazását, ha már eszköz alapú hitelesítést akar. Akkor meg kiderült, hogy azon olyan régen léptem be a Photosba, hogy már lejárt a hitelesítés. Aztán még néhány varázslási próbálkozás után a tablettel sikerült a login (nem emlékszem a pontos folyamatra, lényeg, hogy összejött), de nem sokon múlt, hogy deadlock legyen a dologból.

van egy kikapcsolt vm-em, amiben be vagyok lepve az ilyen helyekre. az ilyen "erositsd meg masik gepen" mokara pont jo. telegram loginnal is vagy sms kellett vagy egy masik device. neha frissiteni kell a logint, de hat ezvan.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Teljesen el vagy rugaszkodva a valosagtol. Hajbi sokkal kozelebb all a foldon jarashoz, mint te, pedig o is el van rugaszkodva (nala az inga a masik iranyba leng ki - kevesbe, mint nalad)

Read the room: UX vs biztonsag topikba irsz epp okorseget. Mar a nyito is a te hozzaallasod hibassagat magyarazta szajbaragosan es tetelesen.

Nezetem szerint: "a fajtad" miatt fogunk ujra eljutni oda, hogy semmiben nem fogunk bizni, csak a szemelyes jelenletben - mint tobbsegi tarsadalom.

Ne ülj fel erre, teljesen zsákutca ez a VM dolog.

A Google-nél ez konkrétan úgy működik, hogy a mobilodon ~bármelyik Google app tud 2FA lenni. Akár egy YouTube. Szerintem aki IT-analfabéta, annak ez pont könnyítés, mert nem kell mindenféle auth appot telepíteni és konfigurálnia, hanem megy OOTB. 

A backup nem oldja meg, ha a server timeoutol. Onnantól a virtuális géped sincs bejelentkezve, akkor se, ha előveszed backupból. A korábbi elbeszélésemben a tablet lett volna a backup, azon fenn volt a Photos alkalmazás, amiből nem léptem ki, csak a Google döntött úgy, hogy mivel régen találkozott vele, az már nem érdekes, újra be kell jelentkezni.

jo hat ha csak akadalyokat gorgesz magad ele

Nem tunt fel, hogy nem mi gorgetjuk az akadalyokat magunk ele? Csak hasznalni szeretnenk a szolgaltatasokat.

nekem mukodik a megoldas

Remekul demonstralod, hogy a problema resze vagy, raadasul nagy pofaval es buszken. Ezzel a hozzaallasoddal remelem senki nem enged teged UX dontesek kozelebe. De elnezve, hogy milyen UX tervezesi hibak tortennek ahhoz kepest kinosan nagy cegeknel, attol tartok beengednek a tervezek megvitatasaba olyanokat, mint te - hibasan.

( SkyNET | 2025. 04. 05., szo – 15:11 )

a google felhasználó felületét én sem tartom ux szempontból - magam számára legalábbis - ideálisnak, a login lapfolyamra ez főleg igaz. Viszont, a jelszómentes felhasználó azonosítást nem ux hanem biztonsági kérdésnek gondolom, ahol utóbbi érdekében előbbi sérülhet (=nem baj, ha nem kényelmes, legyen nem kikerülhető, megszokják). Egy adott szolgáltatás / felhasználó / eszköz vonatkozásban a passkey fido discoverable credential (nem tudom magyarul mi ennek a neve felderíthető azonosítóadat, a lényeg hogy nem a user "írja be") tudom hogy a hordozhatóság nincsen szabványosítva még, de pl. a bitwarden vault exportra/importra lehetőséget ad - vault klónozásba nem kerül bele. 

Nem tudom, a dáp technikailag hogy működik valami webauthn credential-t használva, vagy passkey vagy sem, egy biztos az általad hivatkozott felhasználói körbe tartozó Édesapám Ügyfélkapus portálokhoz kényelmesebbnek tartja, mint a 2FA-t azt használtattam vele a dáp előtt. Biometrikus azonosítás van a telefonja beállítva, ujjlenyomatával igazolja hogy a készüléket ő használja (képernyőzár feloldáskor és a dápban is), ez neki kényelmesebb mint a pin / jelszó, a többit meg elvégzi a dáp (nem tudom milyen protokollal, lehet nem passkey, fogalmam nincsen).

( hajbazer v | 2025. 04. 05., szo – 16:14 )

Szerkesztve: 2025. 04. 05., szo – 16:14

Szerintetek ez evil ux, atgondolatlan ux, vagy a "tulsagosan szocialisan erzekeny ux tervezest var el a hisztis blogger ur, igenis megerdemli aki 70 evesen olvasas nelkul kattint, hogy a gyogyszerlistajat se tudja jovo heten az emailjeibol kiolvasni" esete?

Egyértelműen evil UX, nagging, a gyanútlan felhasználó noszogatása, csőbehúzása. Valamivel extraprofitot is kell termelni.

:D

Ahogy elnézem, még nemigen találtak ide a fősodratú mérnök urak, de amint idetalálnak, te leszel a hibás™, hogy kritizálni mered a tech-multik szolgáltatásait úgy, hogy közben használod őket. Nem™ muszáj™ őket használni, senki nem kényszerít™ pisztollyal™. Meg amúgy is, alapíthatsz céget, és csinálhatsz jobbat. :P

Meg amúgy is, hogy jössz ahhoz, hogy veszélyeztesd™ szegény 70 éveseket azzal, hogy instant lehozod őket a multik által kifejlesztett legkorszerűbb™, legbiztonságosabb™ megoldásokról? :D

( carlcolt | 2025. 04. 06., v – 00:00 )

Szerkesztve: 2025. 04. 06., v – 09:55

GNOME keyring es KDE Wallet pelda elmult 20 evbol: valahogy majdnem mindenkinek az elso olyan wifi halozat, amire az a gep csatlakozott ---> na annak a jelszava lett a GNOME keyring vagy a KDE wallet mesterjelszava is.

Miert?

Mert a userek nem olvasnak, azt hiszik rosszul utottek be a jelszot, vagy ledobta oket a wifi mas miatt es beutik megegyszer.

Ertitek mar, hogy honnan indulunk? UX a temakor tovabbra is. A crypto proknak megfelelo UX ritkan felel meg a tobbsegnek.

nem is a konkrét példa a lényeg hanem az a gyakorlat, hogy egy adott funkciót egyszer ilyen, máskor meg egy másik lapfolyam valósít meg. Pl. google login, attól függően hogy épp valamilyen nem kötelező metaadatod akarják belőled kiszedni, vagy - egy egyébként számodra is előnyös - hitelesítési megoldásra akarnak átterelni. Ezt nem így kellene. Vagy amikor nincsen meg a felületelemek konzisztenciája a rendszer egyes komponensei között, és olyan állapot alakul ki mint itt a fentebb említett. 

aki fel odaadni azokat a "titkos" metaadatokat a googlenek, az ne hasznalja a gmailt. van masik  100 email szolgaltato akinek nemkell semmi. en orulok hogy megakadalyozza hogy bangladesbol valaki belepjen az accomba.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Kezdetnek a GNOME Keyringes / KWalletes megoldasban az is eleg lett volna, ha a masodik dialogusablak kert volna be mesterjelszot. Es lett volna elotte egy elso, hogy "te ezt amugy akarod-e" es a latvanyos default lett volna a "NEM / Később".

Meg jobb: egy link a dialoguson, hogy "ha fejlettebb jelszovedelmet szeretne allitson be egy mesterjelszot itt. Vagy kesobb systemsettings --> akarmi --> lofasz --> kwallet --> master password security" Es csak egy "OK" (ami a "nem/kesobb"), ha valaki nem a linkre megy.

Es ezek az Open Source projektek, ahol az emberi muveltseg hianya vitte ilyen iranyba a UX-et. A corporate UX tervezes eseten attol tartok a marketingesek es datasok gonosz kozos dontesei rontanak a helyzeten...

(Ja es a userek 95%-a nem diszlexias - hanem atlagember)

a diszlexiara nem az ux lebutitasa a megoldas.

A szarul-húgyul implementált UX-re nem a felhasználó hibáztatása és diszlexiásozása a megoldás.

Ettől még igaz lehet, hogy a felhasználók nem olvasnak, de a UX pont az a terület, ahol ez a kiindulópont, vagyis elsősorban workflow-kat kell alkotni, nem szövegeket fogalmazgatni.

mit kene csinalni?

Mondjuk nem a WiFi jelszó beírásakor kéne beállíttatni a keyring jelszót, ha még nincs beállítva. Hanem mondjuk első bejelentkezéskor.

Hanem mondjuk első bejelentkezéskor.

Azt sem kene szerintem. Default: a login jelszava - egy prompt utana mesterjelszot is csinal abbol az inputbol (first time). (macOS megoldasa amugy ehhez hasonlo kicsit, de lattam mar azt is usert megkavarni, meg ott az a baj, hogy ha nincs harom mukodo es gyakran hasznalt Apple eszkozod, mason verzel el).

Masik megoldas: "gyengebben randomizaltan kulcsot nem a legbiztonsagosabban tarolva" "titkositani" by default. Es az elso wifi jelszo beutese utan "biztonsagosabb jelszotarolas beallitasa itt, vagy kesobb a settings --> lofasz --> akarmi --> wallet menuben" - "Rendben, most nem" gomb jo naggyal.

Es mondjuk elso 5 jelszonal hanyja fel ezt a dialogot aztan hagyja beken a usert.

"Attol fugg, milyen adatot vedesz es miert." mar minert kene elso alkalomkor valakit azzal traktalni hogy mesterjelszot allitson be, ha sosem fogja hasznalni. ha meg hasznalni fogja akkor ertsen mar hozza annyira hogy elso login utan elinditja a gnomekeyringet, es beallitja. akar meg wifi csatlakozas elott....

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Eléggé úgy fest, hogy csak mindenjóahogyvankodik. Ha a Red Hat UX-ökrei nem úgy kérnék be a keyringet, ahogy most, akkor az lenne neki a favorit és minden más elvetendő lenne. Aki kritizálni meri, az meg usererror™.

Ami késik, nem múlik. Kezdenek idetalálni a fősodratú mérnök urak. :)

( carlcolt | 2025. 04. 06., v – 14:09 )

Szerkesztve: 2025. 04. 06., v – 14:09

(Valaki szoljon mar Aadaamnak, hogy buli van a hupkon. Ures ez a topik nelkule. :) )

( stormer | 2025. 04. 08., k – 21:54 )

Orulnek, ha a bankkartyajuk negy szamjegyu PIN kodjara sikerul emlekezni.

Vegyenek hardver tokent.

Nem akarlak azzal nagyon megzavarni, hogy pont emiatt ajánlgatja minden normálisabb felület is, hogy állíts be passkeyt (FIDO2 kompatibilis hardver tokent pl).

Mert ha nem passkeyt használ a user, akkor 3 lehetőség van: 1) gyenge jelszót használ, amit viszont meg tud jegyezni (általában ez a jelszó több szivárgásban is érintett így bármikor nyitható az accountja (vagy pl az AVDH-ja az ügyfélkapuban és indulhat is az ajándekozási szerződés. Nyilván okkal szünt meg ez a sima jelszavas belépés lehetősége.)).

2) felírta, kinyomtatta a jelszót és a gépre ráragasztotta.

3) jelszókezelőt használ (de aki hardver tokent nem tud használni az majd konfigurálgat többplatformos jelszókezelőt?)

Konzervativ voltam jelszokezelok tekinteteben, de azt onmagaban muszaj vagyok feladni, es elismerni, hogy azok gyoztek, akik hasznaltak. Mar csak a legplatformfuggetlenebb nemlastpass-t keresem epp. :)

A passkey viszont ezekre szerintem nem megoldas. Le is irtam miert.

A hardver token meg altalaban addig tart amig "multiek" ra nem beszelnek, hogy sose vidd magaddal ne legyen baj, ha nem talalod mert sosem vitted magaddal, mert az okostelefonod ugyanazt le tudja generalni az appjukban. ;)

Ebben a tekintetben fentebb gelei Google apps-os meglatasa a legerdekesebb: "multiek" adnak egyre tobb lehetoseget, userek egyre tobb akadalynak latjak, mert eggyel tobb faktor, ami elromolhat, foleg, ha lejarnak a tokenek.

Nekem eddig az Enpass jött be. Fut mindkét mobilplatformon, van hozzá Windows, MacOS és Linux kliens, a szinkronizálást pedig meg lehet valósítani Dropboxon, Onedrive-on, WebDAVon, és lehet, hogy van más is. Lényeg, hogy oldd meg magad, nincs cloud account. Böngésző-kiterjesztések is vannak, időnként upgrade-nál van akadás, ami annyit jelent, hogy akkor nem a böngésző kiterjesztés dolgozik, hanem az aktuális alkalmazás. Sajnos egyre drágább, de még mindig van egyszeri vásárlási lehetőség, nem pedig előfizetés (pedig nyilván mindenki próbál arra terelni).

Ebben a tekintetben fentebb gelei Google apps-os meglatasa a legerdekesebb

Nem kihátrálva a fentebbi állításomból, azért az hozzátartozik, hogy a Google valóban élen jár a confusing MFA opciókban. Átlag B2C környezetben bőven elég lenne, hogy jön a második faktor valamelyik telefonos Google appon, ami épp fent van, meg van egy backup factor, mondjuk alternatív email, vagy telefonszám vagy akármi. És itt le is lehetne zárni a sztorit azzal, hogy többé-kevésbé egyszerű és többé-kevésbé biztonságos. 

Az átlag gmail usernek teljesen felesleges az arcába tolni, hogy nézd, itt van egy új auth app, amit használhatsz akkor is, ha mondjuk elnyomó diktatúrában vagy ellenzéki oknyomozó újságíró. (A nevére már nem emlékszem, de volt ilyen, és konkrétan ilyesmi marketingszöveggel jött)

szerk: btw nekem az Apple megoldása tetszik legjobban. Ha van bármilyen Apple eszközöd, arra megjön a push notification a 2FA-val, aztán szevasz. Egyszerű, nem lehet elbaszni. 

Az Apple megoldasaval van egy baj: kell 3 mukodokepes Apple eszkoz, hogy ne legyen eselyed kizarni magad. Elromlik a telefonod, kizar a Mac-ed, es nincs se masik telefonod, se iPaded se masik Mac-ed, akkor azert erhet meglepetes

Linuxos bongeszokbol lepegetek be iCloudra de a "Trust this browser" gomb is aranyhal memoriaju.

Nem kell. :) szerk: vagyis hát csak annyira kell backup eszköz, mint bárhol máshol, de ennek már nem feltétlenül kell Apple-nek lennie.

De ha minden kötél szakad, akkor a support megoldja gondolom. Itt legalább van hús-vér agent, akit fel tudsz hívni.

A bitwardennek van self-hosted verziója, maga a kliens, a böngésző bővítmény pedig open source. A szerver oldal nem open source, de van egy open source klónja a vaultwarden. Én ezt használom, nekem elég jól működik. Van az asztali géphez mindenféle böngészőhöz bővítmény, androidra pedig app.