Ne a zatraceně ne.Kontextem článku je přihlášení do přihlašovacích údajů Google pomocí přístupového klíče. „Velká 3“ a také několik dalších nabízí úschovu klíčů a obnovení, ale stránky používají přístupové klíče přímo – pokud použijete přístupový klíč s Best Buy, nebudou například kontrolovat u Google (Pokud nepoužijete „přihlášení ze sociálních sítí“ chod). V tomto kontextu znamená, že google vymazání vašeho účtu znamená, že pokud váš telefon zemře, může to být zvrácené. Jsou to v podstatě yubikey s možností obnovení - takže o něco méně bezpečné, protože existuje soukromý klíč v úschově, která řeší 50 % problému s yubikey (cenovka a podpora aplikací jsou zbývající bolest).Zdá se, že každý jednotlivý systém, který se zdá být schopen ukládat přístupové klíče, vyžaduje, abyste důvěřovali velké trojce (Apple, Google, Microsoft), že váš účet bez varování nesmaže. V mém případě, pokud Apple smaže můj účet iCloud a klíčenku, ztratím přístup ke všemu, co je zabezpečeno přístupovým klíčem. Porovnejte to s tím, co se stane právě teď, když zničím svou hlavní Yubikey: půjdu do své banky a ukážu jim dvě formy ID, použijte můj fyzický klíč k získání záložního Yubikey z bezpečnostní schránky a pokračujte dál život.
Dokud a pokud nebudou mít vážné a trvalé následky pro společnosti poskytující infrastrukturní služby, které jednají jednostranně, není způsob, jak toho využít. KeyPass/BitWarden může generovat libovolně silná hesla, můžete si koupit tolik klíčů Webauthn, kolik chcete, od různých prodejců. S přístupovými klíči vás dělí jedno (automatické, nesmlouvavé) vymazání od toho, abyste byli trvale uzamčeni z celého svého online života.
Pokud chcete dát tuto moc nějaké společnosti, buďte mým hostem. Počkám, až se s tím bude zacházet jako s vodárenskými nebo energetickými společnostmi, které přeruší službu bez zjevného důvodu: velké a bolestivé pokuty.
Nejsem si jistý, jestli rozumím tomu, jak to vyžaduje pracovní postupPokud kopírujete a vkládáte hesla (nebo je píšete z paměti, což má další problémy ve velkém měřítku), jste zranitelní vůči phishingu. Přístupové klíče by pro vás tedy byly velkým bezpečnostním vylepšením.
chytne tvůj telefon,
klepnutí do aplikace,
pořízení snímku obrazovky a
klepnutí na to, co s těmito informacemi udělat......je „snazší“ operace než zadávání hesla z paměti nebo automatické doplňování pomocí správce hesel nebo vkládání kopírování pomocí správce hesel.
Mohou existovat další výhody, ale v žádném případě to není jednodušší.
Pro svůj účet Google jsem znovu zaregistroval své klíče YubiKeys, které jsem používal jako 2FA, jako přístupové klíče. U 2FA bylo ověření heslo Google + hardwarový klíč FIDO U2F. U přístupových klíčů je to hardwarový klíč FIDO2 + PIN FIDO2 klíče.
Žádná z „velkých tří“ technologických společností nebude správcem vašich přístupových klíčů. Přístupové klíče jsou drženy na zařízení. Pokud nechcete svůj přístupový klíč synchronizovat prostřednictvím nějaké služby, vložte stejný klíč na více zařízení. Máte jen jedno zařízení A teď je pryč? To je stejný problém jako správci hesel bez synchronizace. Nakonec se budete muset znovu autentizovat s různými službami, stejně jako v jakémkoli podobném případě uzamčení. Většina lidí bude synchronizovat své přístupové klíče stejně jako svá hesla. A ne, pokud Google vypne váš účet, nemůže deaktivovat přístupové klíče, které již máte na svých zařízeních. Ztratíte jejich synchronizační službu, ale můžete místo ní začít používat jinou.
Přístupové klíče nelze phishing, nelze je zapomenout, nelze je získat prostřednictvím úniku dat a jsou ze své podstaty jedinečné a bezpečné. To jsou opravdu velká vylepšení. Také se snáze používají, protože jakmile jsou na vašem zařízení, je ověření jednoduché.
Používám k tomu Yubikey, ne Android nebo iOS. To znamená, že nejsem zavázán společnosti Google/Apple, abych mohl spravovat svůj klíč, ani se nemusím bát, že by můj účet byl kompromitován a tím pádem prozradil přístupový klíč.
Pro srovnání s přihlášením k účtu Google také již nějakou dobu používám tento Yubikey pro přístup ke svému účtu Microsoft.
Microsoft funguje ve všech hlavních prohlížečích na počítači (kromě Safari na MacOS, když jsem to naposledy kontroloval). Zdá se, že Google potřebuje Chrome.
Microsoft má pod polem s uživatelským jménem možnost se přihlásit jiným způsobem, pak vyberete Windows Hello nebo Bezpečnostní klíč, vložíte klíč do USB portu, zadáte PIN a stisknete tlačítko nahoře. Poté se vás zeptá, který účet (pokud máte uloženo více účtů), a jste rovnou přihlášeni. Nemusíte si ani pamatovat své uživatelské jméno/e-mailovou adresu.
Google vyžaduje, abyste zadali své uživatelské jméno/e-mail, poté požádá o vložení klíče. Poté musíte zadat PIN a ten vás přihlásí.
Z hlediska použitelnosti je Microsoft lepší v tom, že si nemusíte pamatovat svůj e-mail. Pro dav Ars je to pravděpodobně negativum. Ale pokud podporujete 70leté prarodiče, čím méně věcí si musí pamatovat, tím lépe. Nepotvrdil jsem, ale nevýhodou systému MS je, že Yubikey podporuje pouze určitý počet uložených přihlašovacích údajů, zatímco z toho, co jsem viděl ve svém výzkumu, metoda Google v podstatě umožňuje, aby Yubikey vygeneroval soukromý klíč speciálně pro tento web na interním soukromém klíči, váš PIN a některé informace poskytnuté webem a prohlížečem pokaždé, když potřebuje spustit autentizace. Zdá se, že oba používají interní soukromý klíč specifický pro Yubikey, váš PIN, některé informace o doméně poskytované prohlížečem a specifické informace poskytnuté z webu, který navštěvujete, za účelem provedení handshake, což brání tomu, aby útoky MITM byly úspěšné, protože to všechno nemohou zfalšovat data.
Nejsem si jistý, co chybí ve Firefoxu pro implementaci Google vs Microsoft, proč nepodporuje nový systém přístupových klíčů. Nebo je to jen to, že Google nepožaduje přístupový klíč, protože Firefox neimplementoval část Bluetooth, která má vedlejší účinek nepodpory Yubikeys/hardwarových tokenů, protože Firefox o to nepožaduje přihlášení Google místo.
--
Pokud ztratíte přístupový klíč a nemáte záložní přístupový klíč, záložním řešením zabezpečení je přihlásit se způsobem, jakým jste se přihlašovali před přístupovým klíčem. Obvykle tedy heslo + OTP. I když to znamená, že web podporuje méně bezpečný autentizační systém, jednou z výhod je, že jej nepodporujete používat heslo pravidelně, takže je méně pravděpodobné, že bude prozrazeno nebo zachyceno phishingem/MITM Záchvat.
--
Z hlediska zabezpečení můžete přístupové klíče zobrazit jako peněženku s hesly s omezenou podporou webu. Pokud používáte Yubikey, peněženka je hardwarové zařízení ve vaší kapse, chráněné kódem PIN. Pokud používáte přístupový klíč pro Android/iOS, je peněženka synchronizována v cloudovém systému a chráněna heslem vašeho účtu + biometrií. Pokud zařízení ztratíte, je to podobné jako ztráta souboru s hesly.
Jakmile si uvědomí všechny nedostatky, má to potenciál změnit spoustu věcí v oblasti bezpečnosti, protože jednotlivci, kteří si neuvědomují bezpečnost, již nebudete muset odolávat požadavkům na bezpečné heslo nebo muset přijít na to, jak správně používat peněženku s hesly a jak k ní přistupovat/synchronizovat zařízení. Tím, že se v podstatě stávají peněženkou hesel, generují přístupové klíče skutečně bezpečná, skutečně náhodná hesla pro každý web, na kterém jsou používány, a jsou vytvořeny s ohledem na odolnost proti phishingu.
Jak to může dostat proti? je to 100% pravda.
Své SZO, ne co na titulní straně. Žádná láska ke Googlu na titulní stránce, takže jejich podpora obrátila dav proti průmyslový standard.
je to hloupé.
Znovu, čtenáři, nevěnujte těmto komentátorům žádnou pozornost.
Použití hesla by nemělo být odpovědí na něco, co má nahradit hesla.
To je trochu směšné. Jak jinak byste se ověřili u existující služby abyste aktualizovali svůj ověřovací mechanismus? Kromě již diskutované metody QR-and-bluetooth. A přestože plocha útoku na straně serveru není nutně redukována povolením, nikoli vyžadováním přihlášení pomocí přístupového klíče, ano výrazně snižuje útočnou plochu na straně klienta, protože se přísně účastníte výměny klíčů, kterou umožňuje ověřování na úrovni operačního systému. A to je výhra pro všechny.
Pokud jste do bodu, že nemůžete důvěřovat žádné z bezpečnostních funkcí vašeho operačního systému, můžete také jednoduše zahodit svá výpočetní zařízení a jít žít na tropický ostrov nebo tak něco. Na nějaký bod určitému kousku softwaru je třeba dát určitou úroveň důvěry.
Myslím, že je zde spousta zmatku, protože na nás byl vyhozen celý technologický balík a prezentován jako hotová věc. Dovolte mi, abych to jako ignorant zkusil dekonstruovat analogií s tím, čemu rozumím: páry klíčů SSH. Vyzývám ostatní, aby hledali díry v tom, co dělám špatně.1. Veřejné/soukromé ověřovací klíče. Funguje to zhruba stejně jako SSH. Web zná pouze váš veřejný klíč a vy podepisujete zprávy, abyste prokázali, že vlastníte soukromý klíč.
2. Ochrana proti phishingu. Klíče jsou specifické pro web, takže phishingový web získá jiný klíč. SSH má pro to hostitelské klíče, předpokládám, že keypass používá něco společného s hostitelskými klíči TLS? Používá to váš prohlížeč k výběru klíče, který chcete použít? Nebo jen podle DNS jména?
3. Prostředky odemykání klíčů, aby se prokázalo, že je používá správný uživatel. SSH má přístupové fráze, předpokládám, že sem přichází ta biometrická / Bluetooth věc? SSH umí odemykat klíče i pomocí čipových karet, takže předpokládám, že biometrika je trochu jako jiný režim odemykání?
4. Synchronizace klíčů mezi zařízeními. Zde pravděpodobně přicházejí cloudové „ekosystémy“, jako je synchronizace hesel iCloud a Chrome? Pro SSH neexistuje žádná podpora, ale můžete si uvařit vlastní pomocí rsync nebo cokoli jiného?
co jsem udělal špatně?
Pokud je výše uvedené obecně správné, dovedu si představit vytvoření otevřeného zásobníku, který v podstatě dělá totéž, co dělá SSH pomocí hromady souborů v ~/.ssh a rsync pro pohyb mezi zařízeními. To je přístup „na kole“, kde jsou všechny pohyblivé části vystaveny a snadno pochopitelné, co se děje.
Není to jen na lidech – jedná se o aktualizaci FIDO2, samotné druhé verze standardu. U2F byl FIDO1; toto je CTAP 2.2 ([upravit: Opraveno z mého WAG 2.4, které bylo špatně, díky Stále nesprávně!]), součást FIDO2/WebAuthn. Opravdu to není nic složitého, jak to chodí... uvolnili požadavky na Authenticator, aby soukromý klíč mohl být (musí být...) bezpečně zkopírován, a přidali některé funkce Javascriptu, které usnadňují život. Přihlašování bez hesla? S FIDO2 to bylo vždy možné. To je ta správná část – FIDO1 může být pouze MFA. Přidání soukromého klíče do prohlížeče uloženého v TPM nebo zabezpečeném prvku? Vždy to bylo možné a byl dříve implementován v prohlížečích Chrome, Firefox a Safari. Novinkou je, že jej lze synchronizovat a přistupovat k němu přes BT/QR rigmarole. Dříve byl označován (a označen na webových stránkách) jako „klíče specifické pro platformu“, na rozdíl od přenosných, což byla hardwarová zařízení. Nyní jsou to PassKeys.
Protože se zdá, že smyslem systému přístupových klíčů je zbavit se hesel, dovolte mi uvést některé z výhod hesel:
- jsou dostatečně jednoduché na to, aby je pochopil každý, kdo je mentálně schopný ovládat elektronické zařízení
- jsou snadno zapamatovatelné, pokud se vůbec snažíte a pravidelně je používáte
- fungují na všech operačních systémech ihned po vybalení
- nevyžadují přístup k internetu (některé systémy jsou offline z dobrého důvodu)
- nevyžadují spolupráci žádné třetí strany
- nevyžadují přítomnost chytrého telefonu nebo jiného gadgetu
- nevyžadují Bluetooth, WiFi, kamery ani baterie
- mohou být - v případě nouze - skladovány bez potřeby elektřiny
- lze je snadno přenést na jinou osobu bez použití jakéhokoli zařízení
- pokud nejste handicapovaní a nepoužíváte chytrý telefon, ověření heslem zabere jen několik sekund
Vaše body #1, #2 a #10 jsou prostě špatné – zeptejte se kohokoli, kdo pracuje v technické podpoře, jak často musí resetovat hesla, protože někdo zapomněli své heslo, nechali zapnutou klávesu Caps Lock (nebo špatně umístili ruku na klávesnici) nebo ji šmátrali tolikrát, aby se uzamkli ven. Jo, jo, vím, že ty osobně to vždycky perfektně vytloukáš, ale věř mi, že kdokoli, kdo zavolá na helpdesk, má… méně optimistický… pohled na lidstvo. Ještě dodám, že podporuji hodně nevidomých uživatelů a zadávání hesel masivně naštve je, protože mnoho webů má požadavky na složitost, které jsou pro uživatele čteček obrazovky těžké, a pokud nejste zdatný písař, když to říkáte nahlas, není to skvělé. To je výklenek, ale je to výklenek, který musí ze zákona dobře podporovat i mnoho lidí, kteří vytvářejí autentizační systémy, a je to jeden z důvodů, proč se o to zajímám technologie od doby "Chcete se přihlásit pomocí svého přístupového klíče?" „Ano“ je pro mnohé přinejmenším o jeden řád rychlejší a jednodušší než jakákoli forma hesla + MFA uživatelů.
Bod #3 platí pro WebAuthn MFA, ale vždy jsou přístupné klíče – něco jako Yubikey funguje všude, kde máte USB/NFC, ale můžete potřebují nastavit PIN nebo použít své biometrické klíče pro implementátory přístupových klíčů, jako je Google.com, které vyžadují více než jednoduché klepnout.
Body #5, #6, #7 a #8 platí také pro všechny formy WebAuthn – jak MFA, tak přístupové klíče. Bod #4 je pravdivý, s výjimkou prvního zápisu zařízení při synchronizaci existujícího klíče. Po první synchronizaci klíčů nepotřebujete připojení k síti. Pokud nechcete synchronizovat, můžete si také koupit pár biometrických klíčů Yubikey, které opět fungují plně offline všude, kde máte USB nebo NFC.
Zbývá tedy # 9, což je špatný postup a je třeba se mu vyhnout, pokud je to možné. Moderní systémy mají věci, jako je autentizace na základě rolí, kde lidé nikdy nesdílejí hesla, ale více lidí může převzít danou roli, nebo věci jako starší nebo delegované účty, kde už nikdy nesdílíte hesla, ale dáváte jednomu nebo ještě lépe více lidem v kombinaci možnost provést něco jako resetování hesla nebo získání kontroly nad vaše soubory.
To, že je něco nového a vy jste se nenaučili, jak to funguje, neznamená, že je to špatné nebo že se tomu chcete vyhnout. Přístupové klíče jsou pro většinu z nás velkou změnou – s výjimkou .gov, protože PIV/CAC se tam vrací do minulého století, i když na několika místech přijali – ale kromě bezpečnostních výhod mají řadu vylepšení použitelnosti a existuje jasná cesta pro budování některé z chybějících částí (např. opravdu chci mít možnost synchronizovat přístupový klíč Apple / Google s Yubikey, abych ho mohl vhodit do svého trezoru pouzdro).
Samozřejmě musí být k dispozici nejen při synchronizaci, ale také při ověřování, protože se k tomu používá. A také musí být k dispozici při počáteční registraci.A to se vám snažím vysvětlit: Bylo by snadné ověřit pomocí stávajícího zařízení a použít zařízení přidat další veřejný klíč, který je vygenerován na jiném, novém, zařízení a některými odeslán do starého zařízení prostředek. Mohl bych například vytvořit nový tajný klíč / pár klíčů veřejného klíče na svém stolním počítači, odeslat veřejný klíč do svého notebooku, přihlásit se pomocí svého notebooku a přidat veřejný klíč plochy. Dělám podobné věci s SSH neustále.
Není zde žádná technická překážka. Pokud to není možné pomocí přístupových klíčů, pak je to na základě volby.
Soukromý klíč není přístupný. Proč si to nevyhledat místo opakování nepravdy znovu a znovu.
A teď jsem zmatenější, než jsem byl předtím, než jsem začal – přeposlal jsem článek svému CS majoru/lepší polovičce, abych věci vysvětlil, ale to nemusí stačit.
Hesla jsou snadno stravitelná. 2FA je snadné vysvětlit. Přístupové klíče dávají smysl, ale právě když si myslím, že bych je mohl získat, přečtu si další odstavec a ztratím se více.
Nebe pomoz mým sourozencům a rodičům.
Děkuji, že jsi to řekl. Odpovědi od Dana a dalších (např. @Wbdpropagovaný komentář citující můj) je založen na zásadním nesprávném čtení komentáře.Uvědomujete si, že 1Password i Bitwarden pracují na podpoře přístupových klíčů, že?Nechci věřit svému poskytovateli OS (v mém případě Apple pro mobilní i stolní zařízení) s přístupovými klíči a odpověď je opakovaně „Ale ty JIŽ DŮVĚŘUJTE GOOGLU SVÉMU HESLU." Ano, dobře, zadám dlouhé náhodné heslo z BitWarden/KeePass, zapojím Yubikey a stisknu tlačítko knoflík. V žádném případě není závislý na mém poskytovateli OS.
A jistě, právě teď je tu možnost nepoužívat přístupové klíče a používat heslo jako dříve, ale celý technologický hype vlak je na cestě k „ŽÁDNÉ VÍCE HESEL PASSKEYS FOR KAŽDÝ“ stanice a když řeknu: „ale počkejte, pokud se mi zablokuje každý jiný účet, protože se můj poskytovatel OS rozhodne, že mě nemá rád, co se stane“, říkám mi troll a špatně informován. Také mě napadá tolik okrajových případů, kdy to nefunguje, a místo toho, abych řekl: „Jo, tyhle jsou oprávněné obavy v budoucnosti pouze s přístupovým klíčem, kterou chceme,“ zní vytrvalá kritika každého dotazování.
1Password zašlo tak daleko, že říká, že přístupové klíče jsou „budoucností autentizace“: https://www.future.1password.com/passkeys/
