推 aaaaooo: 不用為了捧任亂說 通行鑰登入有避免因為密碼外洩被盜帳號02/28 15:49
→ aaaaooo: 這個原因被開發出來 兩種不能共存才是理想狀況02/28 15:50
你要覺得我是在捧任也行,你的自由
但實際操作起來,就是讓我覺得很難用
安全 跟 好不好用,本來就是兩回事
推 Makeinu: 我手上的yubikey只有在微軟能用WebAuthn,所以你第一段說02/28 15:56
→ Makeinu: 的野不成立...02/28 15:56
→ Makeinu: 然後SONY02/28 15:57
→ Makeinu: 好像也不能將passkey存在1password或bitwarden這些第三方02/28 15:58
→ Makeinu: 密碼管理器02/28 15:58
沒用過實體通行鑰,這方面我就不熟了,看之後有沒有人要分享心得
推 Makeinu: 不好意思,我訂正一下,剛剛親自實測在PC上確實可以使用02/28 16:26
→ Makeinu: USB實體金鑰,不過我也比較認同一樓的說法,passkey本來02/28 16:26
→ Makeinu: 就是要來取代密碼搭配其他MFA02/28 16:26
避免誤會我也訂正一下,主要受影響的還是傳統裝置的Web登入
推 louis152334: 我剛剛去測試一下,就改完我主機要登入02/28 16:28
→ louis152334: 手機按一下確認就好02/28 16:28
我覺得這就是奇怪的地方
為什麼Web登入掃完QRCODE之後是走輸入代碼
而不是像通行鑰登入那樣,使用手機進行生物認證?
推 sony1733: sony就是只能搞硬體 軟體對他們來說.........02/28 16:38
推 laipenguin: 第三方的我用1pass也沒辦法正常使用 改回Apple自己的02/28 16:38
→ laipenguin: 才順利使用,不過我有另外再存一個yubikey當保險 02/28 16:39
→ laipenguin: 剛無聊再試了一下結果登陸實體金鑰反而不給我掃QR== 02/28 16:43
太酷了吧 XDDD
※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 16:49:00
→ laipenguin: 感覺他好像會認最後一個登陸的passkey當預設登入 02/28 16:51
→ laipenguin: 好了這下問題來了 passkey的頁面沒寫這東西誰是誰== 02/28 16:51
→ laipenguin: 這下我要怎麼"管理"...哭了 02/28 16:52
剛才又重新測試了一下
我發現開啟通行鑰之後,如果是走掃描QRCODE進行Web登入
整個過程好像完全都不用經過通行鑰的生物認證
(或是已經登入過了,才沒有被重複要求認證?)
所以智慧裝置上的登入變安全了,但是傳統裝置的Web登入好像反而有漏洞?
我在想之後會不會有實況主在實況時用QRCODE登入,結果被觀眾掃碼
有興趣的人可以測試看看,我懶得再測試第3次了 XD
※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 16:58:50
推 Makeinu: 對,樓上這個問題我也很疑惑,任天堂跟PS的Passkey管理頁 02/28 16:58
→ Makeinu: 面上都不能自己取名,根本很難識別 02/28 16:58
新增了PS主機的通行鑰登入過程
主要只差在登入App時是用密碼還是通行鑰
手機自動跳通知允許登入是原本就有的功能
※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 17:11:30
→ laipenguin: 檢查了一下 這好像是我PC端的問題 用行動裝置就沒有 02/28 17:14
→ laipenguin: 不給選擇哪種passkey 02/28 17:14
→ laipenguin: 只是要能辨識這是哪個金鑰大概只能分開日期登錄 02/28 17:17
我去iOS系統設定要刪除重複的通行鑰時,也是差不多狀況,日期都是今天 XD
而且第一次建立通行鑰還會直接跟原本的密碼登入放在同一個項目裡
所幸的是,可以單獨刪除通行鑰,不用連原本儲存的密碼也刪除
是說,如果開啟通行鑰會讓登入過程變麻煩變難用,導致想用的人減少
又要怎麼達到「避免密碼外洩被盜帳號」的目的?
※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 17:43:58
推 rabbit61677: 剛剛測發現我手機建立的密碼金鑰無法用來登入PC網頁 02/28 18:06
→ rabbit61677: 選手機密碼金鑰,手機也會連線驗證,但顯示密碼錯誤 02/28 18:06
→ rabbit61677: 後來乾脆PC登入後建一組windows hello的密碼金鑰 02/28 18:06
→ rabbit61677: 變成行動裝置可以用手機驗證,電腦只能用hello驗證 02/28 18:16
→ rabbit61677: 不過後來想一下,家裡電腦多建一組密碼金鑰也可以 02/28 18:16
→ rabbit61677: 至少PC沒遺失風險,只是PC應該要能用手機登入才對 02/28 18:16
想請問一下你的使用環境是什麼,還有怎麼設定的?
是指PC端的Hello可以用來儲存Passkey完成傳統的Web登入嗎?
我在PC端進行傳統的Web登入時,完全沒辦法跳轉手機的生物認證
推 janwoei: 前幾天有透過第三方app 1passwrd綁passkey,目前用下來 02/28 18:17
→ janwoei: Mac/PC網頁端都能免打帳號一鍵登入,PS APP也能正常登入 02/28 18:17
→ janwoei: (掃face id兩次,帳號一次passkey一次) 02/28 18:17
所以用第三方App反而可以讓傳統的Web登入正常跳轉手機生物認證嗎?
→ rabbit61677: 懷疑是Sony的行動裝置跟windows介接api沒寫好 02/28 18:18
→ rabbit61677: 因為我是android手機,也可能是chrome的問題就是了 02/28 18:26
推 shinmori: 有說可以用1password,可是我設好了卻沒辦法用,一直要 02/28 19:09
→ shinmori: 我拿另一隻手機掃qrcode又登不進去,只好又重設回帳密 02/28 19:09
→ shinmori: 和二段式 02/28 19:09
看來就算用同個方法,也不一定都會成功,太奇怪了......
推 tsairay: 其實密碼不要共用也不要儲存,外洩也沒那麼容易 02/28 19:54
→ tsairay: 只是現代人就懶得記密碼,所以各種服務就出來啦 02/28 19:54
推 vsepr55: 誰會去記一百個密碼,跟懶不懶根本無關== 02/28 20:07
我覺得即使儲存密碼也沒關係
有些軟體的密碼庫是抓用戶自己的離線空間或雲端空間,非軟體端管理
重點還是在有沒有兩階段驗證
其實就算密碼多達100個,只要採用自己專屬的規律,其實還是記得住
我的密碼庫有300組帳號,大部分密碼都還是想得起來
不過要如何讓自己的規律不容易被猜到,就是另一回事
※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 20:52:20
推 aaaaooo: 要每個都用不一樣的高強度密碼唯一方法是手抄密碼帳 02/28 20:53
→ Makeinu: 痾 樓上是在反串嗎? 現在市面上一堆密碼管理器能用,如果 02/28 21:00
→ Makeinu: 怕像之前lastpass外洩事件重演,你也能選擇自託管或離線 02/28 21:00
→ Makeinu: 的方案 02/28 21:00
推 letoh: 要搞密碼以外的方案大概都是希望認證時不傳送固定密碼 02/29 10:21
→ letoh: 傳送固定的認證資料就容易產生可操作的空間 02/29 10:23