PTT評價

Re: [情報] PSN通行鑰服務推出

看板PlayStation標題Re: [情報] PSN通行鑰服務推出作者
Kamikiri
(☒☒)
時間推噓14 推:14 噓:0 →:33

※ 引述《YoshiTilde (一頁本是難成書)》之銘言:
: https://youtu.be/uKfQrqMS9s8
: SIE表示『通行鑰是密碼的替代方案,提供更快、更輕鬆且更安全的方式來登入PlayStation
: Network帳戶。通行鑰讓您可以不用密碼來存取帳戶。您可以透過行動裝置或電腦,運用同
: 樣方便的裝置螢幕解鎖方法(例如指紋、臉部掃描或PIN碼)來登入。』
: https://www.playstation.com/zh-hant-tw/passkey/
: https://sonyinteractive.com/en/news/blog/passkeys-introducing-a-more-secure-more
: -convenient-way-to-play/
: http://tinyurl.com/cf9jw4kh

懶人包:連帳號制最晚起步的任天堂都做得比索尼好用 XD

如果「只」會用手機、平板之類的智慧裝置登入的話
開啟通行鑰功能是方便很多沒錯

但如果平時依然會用沒有生物認證功能的傳統裝置透過Web登入的話
我就非常不建議開啟這個功能
因為我個人覺得讓登入步驟變得繁雜很多
除非你願意建立USB實體通行鑰......

使用環境:PC端
Windows 10 專業版
Firefox

手機端
iOS 17.1
Safari
----------------------------------------------
傳統密碼Web登入:
1.輸入帳號
2.輸入密碼
※可能基於安全性需求,某次改版後帳號密碼就變成要分開輸入,也是很麻煩
3.機器人驗證
4.兩步驟驗證(有開啟的話)
5.登入完成
----------------------------------------------
智慧裝置的通行鑰登入:(Android理論上應該一樣?)
1.輸入帳號
※我實際使用時必須手動輸入帳號,沒有像官方影片那樣會自動跳出提醒
就算會自動跳出,擁有多國帳號的人還是得手動選擇
2.點選「使用通行鑰登入」進行生物認證
※為了測試這功能,我開啟通行鑰之後有停用過一次,然後再重新開啟
結果iOS裡面會同時存有兩個Sony的通行鑰,登入時必須選擇要用哪個
但是選項上根本看不出差異,所以有可能選錯導致登入失敗......
必須到手機系統裡手動刪除舊的通行鑰
3.登入完成
----------------------------------------------
PS主機的通行鑰登入:
1.使用儲存了通行鑰的智慧裝置下載PS App
2.使用通行鑰登入PS App
3.App登入完成
4.在主機上執行登入步驟
5.自動觸發手機App發送通知,詢問是否允許登入
6.主機登入完成
※不太確定如果沒安裝PS App的話會怎麼進行
※其實就算是用密碼登入,步驟也一樣
主要只差在登入App時是用密碼還是通行鑰
----------------------------------------------
開啟通行鑰後的傳統裝置Web登入:
1.輸入帳號
2.因為開啟通行鑰會關閉密碼登入,只好點選「無法使用通行鑰登入」
3.機器人驗證
4.使用智慧裝置開啟相機掃描QRCODE 或 傳送驗證信
※如果有安裝第三方的DarkMode瀏覽器外掛,可能還得關掉才能掃到QR
※我使用驗證信登入只會跳回步驟1.無限循環,根本無法登入......
5.掃描成功後,輸入QRCODE下面的6位數字
※這個步驟反而完全不需要通行鑰生物認證,好像有點奇怪......
或是其實已經登入過了,才沒有被重複要求認證?
有興趣的人可以測試看看
6.驗證成功,按下「確定」
7.登入完成
----------------------------------------------
停用通行鑰:
1.想辦法使用前面提到的部分登入成功
2.選擇「編輯」通行鑰
3.必須選擇「建立密碼」才能停用通行鑰
3.新密碼不能跟開啟通行鑰之前用的舊密碼相同
4.被迫換個跟舊密碼不同的新密碼......
5.停用通行鑰成功
6.重新開啟兩步驟驗證,拿手機掃QRCODE,諸如此類雜七雜八
7.把被迫修改的新密碼改回原本習慣的舊密碼......
----------------------------------------------
反觀任天堂的通行鑰登入:
1.通行鑰登入 與 密碼登入 同時存在,互不衝突
2.在有生物認證的智慧裝置上,可直接使用 通行鑰登入
※硬要用 密碼登入 也行,步驟如3.
3.在所有裝置上,都能繼續使用 密碼 進行Web登入
只需要點選「其他確認為本人的方法」
4.輸入兩步驟驗證碼
5.登入完成

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.160.40.35 (臺灣)

※ 文章網址:
https://www.ptt.cc/PlayStation/E.gAvQiI7F_D5w

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 15:50:58

aaaaooo02/28 15:49不用為了捧任亂說 通行鑰登入有避免因為密碼外洩被盜帳號

aaaaooo02/28 15:50這個原因被開發出來 兩種不能共存才是理想狀況

你要覺得我是在捧任也行,你的自由 但實際操作起來,就是讓我覺得很難用 安全 跟 好不好用,本來就是兩回事

Makeinu02/28 15:56我手上的yubikey只有在微軟能用WebAuthn,所以你第一段說

Makeinu02/28 15:56的野不成立...

Makeinu02/28 15:57然後SONY

Makeinu02/28 15:58好像也不能將passkey存在1password或bitwarden這些第三方

Makeinu02/28 15:58密碼管理器

沒用過實體通行鑰,這方面我就不熟了,看之後有沒有人要分享心得

Makeinu02/28 16:26不好意思,我訂正一下,剛剛親自實測在PC上確實可以使用

Makeinu02/28 16:26USB實體金鑰,不過我也比較認同一樓的說法,passkey本來

Makeinu02/28 16:26就是要來取代密碼搭配其他MFA

避免誤會我也訂正一下,主要受影響的還是傳統裝置的Web登入

louis15233402/28 16:28我剛剛去測試一下,就改完我主機要登入

louis15233402/28 16:28手機按一下確認就好

我覺得這就是奇怪的地方 為什麼Web登入掃完QRCODE之後是走輸入代碼 而不是像通行鑰登入那樣,使用手機進行生物認證?

sony173302/28 16:38sony就是只能搞硬體 軟體對他們來說.........

laipenguin02/28 16:38第三方的我用1pass也沒辦法正常使用 改回Apple自己的

laipenguin02/28 16:39才順利使用,不過我有另外再存一個yubikey當保險

laipenguin02/28 16:43剛無聊再試了一下結果登陸實體金鑰反而不給我掃QR==

太酷了吧 XDDD

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 16:49:00

laipenguin02/28 16:51感覺他好像會認最後一個登陸的passkey當預設登入

laipenguin02/28 16:51好了這下問題來了 passkey的頁面沒寫這東西誰是誰==

laipenguin02/28 16:52這下我要怎麼"管理"...哭了

剛才又重新測試了一下 我發現開啟通行鑰之後,如果是走掃描QRCODE進行Web登入 整個過程好像完全都不用經過通行鑰的生物認證 (或是已經登入過了,才沒有被重複要求認證?) 所以智慧裝置上的登入變安全了,但是傳統裝置的Web登入好像反而有漏洞? 我在想之後會不會有實況主在實況時用QRCODE登入,結果被觀眾掃碼 有興趣的人可以測試看看,我懶得再測試第3次了 XD

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 16:58:50

Makeinu02/28 16:58對,樓上這個問題我也很疑惑,任天堂跟PS的Passkey管理頁

Makeinu02/28 16:58面上都不能自己取名,根本很難識別

新增了PS主機的通行鑰登入過程 主要只差在登入App時是用密碼還是通行鑰 手機自動跳通知允許登入是原本就有的功能

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 17:11:30

laipenguin02/28 17:14檢查了一下 這好像是我PC端的問題 用行動裝置就沒有

laipenguin02/28 17:14不給選擇哪種passkey

laipenguin02/28 17:17只是要能辨識這是哪個金鑰大概只能分開日期登錄

我去iOS系統設定要刪除重複的通行鑰時,也是差不多狀況,日期都是今天 XD 而且第一次建立通行鑰還會直接跟原本的密碼登入放在同一個項目裡 所幸的是,可以單獨刪除通行鑰,不用連原本儲存的密碼也刪除 是說,如果開啟通行鑰會讓登入過程變麻煩變難用,導致想用的人減少 又要怎麼達到「避免密碼外洩被盜帳號」的目的?

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 17:43:58

rabbit6167702/28 18:06剛剛測發現我手機建立的密碼金鑰無法用來登入PC網頁

rabbit6167702/28 18:06選手機密碼金鑰,手機也會連線驗證,但顯示密碼錯誤

rabbit6167702/28 18:06後來乾脆PC登入後建一組windows hello的密碼金鑰

rabbit6167702/28 18:16變成行動裝置可以用手機驗證,電腦只能用hello驗證

rabbit6167702/28 18:16不過後來想一下,家裡電腦多建一組密碼金鑰也可以

rabbit6167702/28 18:16至少PC沒遺失風險,只是PC應該要能用手機登入才對

想請問一下你的使用環境是什麼,還有怎麼設定的? 是指PC端的Hello可以用來儲存Passkey完成傳統的Web登入嗎? 我在PC端進行傳統的Web登入時,完全沒辦法跳轉手機的生物認證

janwoei02/28 18:17前幾天有透過第三方app 1passwrd綁passkey,目前用下來

janwoei02/28 18:17Mac/PC網頁端都能免打帳號一鍵登入,PS APP也能正常登入

janwoei02/28 18:17(掃face id兩次,帳號一次passkey一次)

所以用第三方App反而可以讓傳統的Web登入正常跳轉手機生物認證嗎?

rabbit6167702/28 18:18懷疑是Sony的行動裝置跟windows介接api沒寫好

rabbit6167702/28 18:26因為我是android手機,也可能是chrome的問題就是了

shinmori02/28 19:09有說可以用1password,可是我設好了卻沒辦法用,一直要

shinmori02/28 19:09我拿另一隻手機掃qrcode又登不進去,只好又重設回帳密

shinmori02/28 19:09和二段式

看來就算用同個方法,也不一定都會成功,太奇怪了......

tsairay02/28 19:54其實密碼不要共用也不要儲存,外洩也沒那麼容易

tsairay02/28 19:54只是現代人就懶得記密碼,所以各種服務就出來啦

vsepr5502/28 20:07誰會去記一百個密碼,跟懶不懶根本無關==

我覺得即使儲存密碼也沒關係 有些軟體的密碼庫是抓用戶自己的離線空間或雲端空間,非軟體端管理 重點還是在有沒有兩階段驗證 其實就算密碼多達100個,只要採用自己專屬的規律,其實還是記得住 我的密碼庫有300組帳號,大部分密碼都還是想得起來 不過要如何讓自己的規律不容易被猜到,就是另一回事

※ 編輯: Kamikiri (118.160.40.35 臺灣), 02/28/2024 20:52:20

aaaaooo02/28 20:53要每個都用不一樣的高強度密碼唯一方法是手抄密碼帳

Makeinu02/28 21:00痾 樓上是在反串嗎? 現在市面上一堆密碼管理器能用,如果

Makeinu02/28 21:00怕像之前lastpass外洩事件重演,你也能選擇自託管或離線

Makeinu02/28 21:00的方案

letoh02/29 10:21要搞密碼以外的方案大概都是希望認證時不傳送固定密碼

letoh02/29 10:23傳送固定的認證資料就容易產生可操作的空間