Nein und absolut nicht.Der Kontext des Artikels ist die Anmeldung bei Google-Anmeldeinformationen mit einem Passkey. Die „Big 3“ und auch mehrere andere bieten Schlüsselhinterlegung und -wiederherstellung an, aber Websites verwenden direkt Passkeys – wenn Sie einen verwenden Passkey mit Best Buy, sie werden beispielsweise nicht bei Google nachfragen (es sei denn, Sie verwenden „soziale Anmeldungen“ von Kurs). In diesem Zusammenhang bedeutet die Löschung Ihres Kontos durch Google lediglich, dass es schwierig werden könnte, wenn Ihr Telefon ausfällt. Sie sind im Grunde ein Yubikey mit einer Wiederherstellungsoption – also etwas weniger sicher, da der private Schlüssel vorhanden ist in einem Treuhandkonto, das 50 % des Problems mit Yubikeys löst (der Preis und der App-Support sind der Rest). Schmerz).Jedes einzelne System, das offenbar in der Lage ist, Passkeys zu speichern, erfordert scheinbar, dass Sie den großen Drei (Apple, Google, Microsoft) vertrauen, Ihr Konto nicht ohne Vorwarnung zu löschen. Wenn Apple in meinem Fall mein iCloud-Konto und den Schlüsselbund löscht, verliere ich den Zugriff auf alles, was mit einem Passkey gesichert ist. Vergleichen Sie das mit dem, was jetzt passiert, wenn ich mein Haupt-Yubikey zerstöre: Ich gehe zu meiner Bank und zeige ihnen zwei Ausweisdokumente, benutze meinen physischen Schlüssel, um den Backup-Yubikey aus dem Safe zu holen, und fahre fort Leben.
Solange es nicht schwerwiegende und dauerhafte Konsequenzen für einseitig agierende Unternehmen gibt, die Infrastrukturdienstleistungen erbringen, werde ich dies auf keinen Fall nutzen. KeyPass/BitWarden kann beliebig sichere Passwörter generieren. Sie können bei verschiedenen Anbietern so viele Webauthn-Schlüssel kaufen, wie Sie möchten. Mit Passkeys sind Sie nur noch eine (automatische, nicht verhandelbare) Löschung davon entfernt, dauerhaft von Ihrem gesamten Online-Leben ausgeschlossen zu werden.
Wenn Sie einem Unternehmen diese Macht verleihen möchten, seien Sie mein Gast. Ich werde warten, bis es so behandelt wird, als würden Wasser- oder Energieversorger den Betrieb ohne ersichtlichen Grund einstellen: hohe und schmerzhafte Geldstrafen.
Ich bin mir nicht sicher, ob ich verstehe, wie ein Arbeitsablauf das erfordertWenn Sie Passwörter kopieren und einfügen (oder sie aus dem Gedächtnis eingeben, was andere große Probleme mit sich bringt), sind Sie anfällig für Phishing. Passkeys wären also eine große Sicherheitsverbesserung für Sie.
Nimm dein Handy,
Tippen auf eine App,
Machen Sie ein Foto von Ihrem Bildschirm und
Tippen Sie darauf, was mit diesen Informationen geschehen soll ...... ist ein „einfacherer“ Vorgang als die Eingabe eines Passworts aus dem Speicher, die automatische Vervollständigung mit einem Passwort-Manager oder das Einfügen von Kopien mit einem Passwort-Manager.
Es gibt vielleicht noch andere Vorteile, aber einfacher ist das keineswegs.
Für mein Google-Konto habe ich meine YubiKeys, die ich als 2FA verwendet habe, erneut als Passkeys registriert. Bei 2FA bestand die Authentifizierung aus Google-Passwort + FIDO U2F-Hardwareschlüssel. Bei Passkeys handelt es sich um den FIDO2-Hardwareschlüssel + die FIDO2-PIN des Schlüssels.
Keines der „großen drei“ Technologieunternehmen wird Ihre Schlüssel behalten. Passschlüssel werden auf einem Gerät gespeichert. Wenn Sie Ihren Passkey nicht über einen Dienst synchronisieren möchten, geben Sie denselben Passkey auf mehreren Geräten ein. Sie haben nur ein Gerät und jetzt ist es weg? Das ist das gleiche Problem wie bei Passwort-Managern ohne Synchronisierung. Am Ende müssen Sie sich bei anderen Diensten erneut authentifizieren, genau wie in jedem ähnlichen Fall einer Aussperrung. Die meisten Leute synchronisieren ihre Passkeys genauso wie ihre Passwörter. Und nein, wenn Google Ihr Konto schließt, können die Passkeys, die Sie bereits auf Ihren Geräten haben, nicht deaktiviert werden. Sie verlieren ihren Synchronisierungsdienst, können aber stattdessen einen anderen verwenden.
Passschlüssel können nicht gefälscht werden, können nicht vergessen werden, können nicht durch Datenlecks erlangt werden und sind von Natur aus einzigartig und sicher. Das sind wirklich große Verbesserungen. Sie sind auch einfacher zu verwenden, da die Authentifizierung einfach ist, sobald sie auf Ihrem Gerät installiert sind.
Ich verwende dafür ein Yubikey, kein Android oder iOS. Das bedeutet, dass ich nicht Google/Apple verpflichtet bin, meinen Schlüssel zu verwalten, und ich muss mir auch keine Sorgen machen, dass mein Konto kompromittiert wird und dadurch der Hauptschlüssel verloren geht.
Im Vergleich zum Google-Konto-Login nutze ich diesen Yubikey schon seit einiger Zeit auch für den Zugriff auf mein Microsoft-Konto.
Microsoft funktioniert mit allen gängigen Browsern auf dem Desktop (außer Safari unter MacOS, als ich das letzte Mal nachgeschaut habe). Google scheint Chrome zu brauchen.
Microsoft bietet unter dem Feld „Benutzername“ die Möglichkeit, sich auf andere Weise anzumelden. Wählen Sie dann „Windows Hello“ oder „Sicherheitsschlüssel“ aus, stecken Sie den Schlüssel in einen USB-Anschluss, geben Sie die PIN ein und drücken Sie die Taste oben. Anschließend werden Sie gefragt, um welches Konto es sich handelt (wenn Sie mehrere Konten gespeichert haben) und Sie werden direkt angemeldet. Sie müssen sich nicht einmal Ihren Benutzernamen/Ihre E-Mail-Adresse merken.
Google verlangt von Ihnen die Eingabe Ihres Benutzernamens/Ihrer E-Mail-Adresse und fordert dann zur Eingabe des Schlüssels auf. Anschließend müssen Sie die PIN eingeben und schon werden Sie angemeldet.
Aus Sicht der Benutzerfreundlichkeit ist Microsoft insofern besser, als Sie sich Ihre E-Mail-Adresse nicht merken müssen. Für die Ars-Leute ist das wahrscheinlich negativ. Aber wenn Sie 70-jährige Großeltern unterstützen, gilt: Je weniger Dinge sie sich merken müssen, desto besser. Ich habe es nicht bestätigt, aber ein Nachteil des MS-Systems ist, dass das Yubikey nur eine bestimmte Anzahl gespeicherter Anmeldeinformationen unterstützt Nach dem, was ich in meinen Recherchen sehen konnte, generiert die Google-Methode im Grunde genommen einen privaten Schlüssel speziell für diese Website auf einen internen privaten Schlüssel, Ihre PIN und einige von der Website und dem Browser bereitgestellte Informationen, jedes Mal, wenn dieser ausgeführt werden muss Authentifizierung. Beide scheinen einen für Yubikey spezifischen internen privaten Schlüssel, Ihre PIN, einige vom Browser bereitgestellte Informationen über die Domäne und spezifische Informationen zu verwenden Informationen, die von der Website bereitgestellt werden, die Sie besuchen, um den Handshake durchzuführen, was den Erfolg von MITM-Angriffen verhindert, da sie nicht alles fälschen können Daten.
Ich bin mir nicht sicher, was in Firefox für die Google-Implementierung im Vergleich zur Microsoft-Implementierung fehlt und warum das neue Passkey-System nicht unterstützt wird. Oder fordert Google einfach nicht den Passkey an, weil Firefox den Bluetooth-Teil nicht implementiert hat, der über den verfügt Nebeneffekt, wenn Yubikeys/Hardware-Tokens nicht unterstützt werden, da Firefox vom Google-Login nicht danach gefragt wird Website.
--
Wenn Sie den Passschlüssel verlieren und keinen Ersatz-Passschlüssel haben, besteht der Sicherheitsfall darin, sich auf die gleiche Weise anzumelden, wie Sie sich vor dem Passschlüssel angemeldet haben. Also normalerweise Passwort + OTP. Dies bedeutet zwar, dass die Website ein weniger sicheres Authentifizierungssystem unterstützt, ein Vorteil besteht jedoch darin, dass Sie dies nicht tun Verwenden Sie das Passwort regelmäßig, damit es weniger wahrscheinlich durchsickern oder von einem Phishing/MITM abgefangen wird Attacke.
--
Aus Sicherheitsgründen können Sie Passkeys als Passwort-Wallet mit eingeschränkter Site-Unterstützung betrachten. Wenn Sie ein Yubikey verwenden, ist das Wallet ein Hardware-Gerät in Ihrer Tasche, geschützt durch eine PIN. Wenn Sie den Android/iOS-Passschlüssel verwenden, wird die Brieftasche in einem Cloud-System synchronisiert und durch Ihr Kontopasswort + Biometrie geschützt. Wenn Sie das Gerät verlieren, ähnelt dies dem Verlust der Passwortdatei.
Sobald sie alle Probleme geklärt haben, hat dies das Potenzial, viele Dinge in der Sicherheitslandschaft zu verändern, wie es auch bei nicht sicherheitsbewussten Personen der Fall sein wird Widerstehen Sie nicht mehr den Anforderungen an sichere Passwörter oder müssen Sie herausfinden, wie Sie eine Passwort-Wallet richtig verwenden und wie Sie über mehrere hinweg darauf zugreifen bzw. diese synchronisieren können Geräte. Indem sie im Grunde genommen zu einer Passwort-Wallet werden, generieren die Passkeys wirklich sichere, wirklich zufällige Passwörter für jede Website, auf der sie verwendet werden, und sind auf Phishing-Resistenz ausgelegt.
Wie kann das abgelehnt werden? Es ist zu 100 % wahr.
Es ist WHO, nicht Was Auf der Titelseite. Keine Begeisterung für Google auf der Titelseite, so dass ihre Unterstützung die Menge gegen sich aufgebracht hat ein Industriestandard.
Es ist dumm.
Nochmals, liebe Leser, schenken Sie diesen Kommentatoren keine Beachtung.
Die Verwendung eines Passworts sollte nicht die Antwort auf etwas sein, das Passwörter ersetzen soll.
Das ist irgendwie lächerlich. Wie sonst würden Sie sich bei einem vorhandenen Dienst authentifizieren? um Ihren Authentifizierungsmechanismus zu aktualisieren? Abgesehen von der bereits diskutierten QR-und-Bluetooth-Methode. Und auch wenn die Angriffsfläche auf der Serverseite nicht unbedingt durch die Aktivierung der Anmeldung mit Passschlüssel verringert wird, anstatt sie zu erfordern, ist dies der Fall bedeutend reduziert die Angriffsfläche auf der Clientseite, da Sie ausschließlich einen Schlüsselaustausch durchführen, der durch Authentifizierung auf Betriebssystemebene ermöglicht wird. Und das ist ein Gewinn für alle.
Wenn Sie so weit sind, dass Sie den Sicherheitsfunktionen Ihres Betriebssystems nicht mehr vertrauen können, können Sie Ihre Computergeräte genauso gut wegwerfen und auf einer tropischen Insel oder so etwas in Betrieb nehmen. Bei Irgendwann Einer Software muss ein gewisses Maß an Vertrauen entgegengebracht werden.
Ich glaube, hier herrscht große Verwirrung, weil ein ganzer Tech-Stack auf uns abgeladen und als vollendete Tatsachen dargestellt wird. Lassen Sie mich als Ignorant versuchen, es anhand der Analogie zu dem zu dekonstruieren, was ich verstehe: SSH-Schlüsselpaare. Ich lade andere ein, Löcher in das zu bohren, was ich falsch mache.1. Öffentliche/private Authentifizierungsschlüssel. Dies funktioniert ungefähr genauso wie SSH. Die Website kennt nur Ihren öffentlichen Schlüssel und Sie signieren Nachrichten, um zu beweisen, dass Sie im Besitz des privaten Schlüssels sind.
2. Anti-Phishing-Schutz. Schlüssel sind spezifisch für eine Site, sodass eine Phishing-Site einen anderen Schlüssel erhält. SSH verfügt dafür über Hostschlüssel. Ich gehe davon aus, dass Keypass etwas mit TLS-Hostschlüsseln zu tun hat. Ihr Browser verwendet dies, um auszuwählen, welcher Schlüssel verwendet werden soll? Oder nur nach DNS-Namen?
3. Mittel zum Entsperren der Schlüssel, um zu beweisen, dass der richtige Benutzer sie verwendet. SSH hat Passphrasen, ich nehme an, hier kommt die biometrische/Bluetooth-Sache ins Spiel? SSH kann auch Schlüssel mit Smartcards entsperren, und daher gehe ich davon aus, dass die Biometrie ein bisschen wie ein anderer Entsperrmodus ist?
4. Schlüssel zwischen Geräten synchronisieren. Hier kommen vermutlich Cloud-„Ökosysteme“ ins Spiel, wie die Passwortsynchronisierung von iCloud und Chrome? Für SSH gibt es keine Unterstützung, aber Sie können Ihr eigenes mit rsync oder was auch immer erstellen?
Was habe ich falsch gemacht?
Wenn das oben Gesagte im Großen und Ganzen stimmt, könnte ich mir vorstellen, einen offenen Stapel zu erstellen, der im Grunde das Gleiche tut wie SSH, indem er einen Stapel von Dateien in ~/.ssh und rsync verwendet, um zwischen Geräten zu wechseln. Das ist der „Fahrrad“-Ansatz, bei dem alle beweglichen Teile sichtbar sind und man leicht verstehen kann, was vor sich geht.
Es wird nicht nur den Leuten überlassen – es handelt sich um ein Update von FIDO2, selbst die zweite Version des Standards. U2F war FIDO1; Dies ist CTAP 2.2 ([Bearbeiten: Korrigiert aus meiner WAG von 2.4, die falsch war, danke, immer noch falsch!]), Teil von FIDO2/WebAuthn. Das ist wirklich nichts Kompliziertes... Sie haben die Anforderungen an den Authentifikator gelockert, sodass der private Schlüssel sicher kopiert werden kann (muss...), und einige Javascript-Funktionen hinzugefügt, um das Leben einfacher zu machen. Passwortlose Anmeldungen? Mit FIDO2 war das schon immer möglich. Das ist das Schöne daran: FIDO1 kann nur MFA sein. Fügen Sie Ihrem Browser einen privaten Schlüssel hinzu, der im TPM oder im sicheren Element gespeichert ist? War schon immer möglich und wurde zuvor in Chrome, Firefox und Safari implementiert. Neu ist, dass es über das BT/QR-Rigmarole synchronisiert und abgerufen werden kann. Früher wurde es als „plattformspezifischer Schlüssel“ bezeichnet (und auf Websites gekennzeichnet), im Gegensatz zu den tragbaren Schlüsseln, bei denen es sich um Hardwaregeräte handelte. Jetzt heißt es PassKeys.
Da der Sinn des Passkey-Systems offenbar darin besteht, Passwörter loszuwerden, möchte ich einige der Vorteile von Passwörtern auflisten:
- Sie sind einfach genug, um von jedem verstanden zu werden, der geistig in der Lage ist, ein elektronisches Gerät zu bedienen
- Sie sind leicht zu merken, wenn Sie sich die Mühe machen und sie regelmäßig verwenden
- Sie funktionieren sofort auf allen Betriebssystemen
- Sie benötigen keinen Internetzugang (einige Systeme sind aus gutem Grund offline).
- Sie erfordern keine Mitarbeit Dritter
- Sie erfordern kein Smartphone oder ein anderes Gerät
- Sie benötigen weder Bluetooth, WLAN, Kameras noch Batterien
- Sie können im Notfall auch ohne Strom gespeichert werden
- Sie können problemlos und ohne Verwendung eines Geräts an eine andere Person übertragen werden
- Wenn Sie nicht gehbehindert sind und kein Smartphone nutzen, dauert die Authentifizierung mit einem Passwort nur wenige Sekunden
Ihre Punkte Nr. 1, Nr. 2 und Nr. 10 sind einfach falsch – fragen Sie jeden, der im technischen Support arbeitet, wie oft er sein Passwort wegen jemandem zurücksetzen muss Sie haben ihr Passwort vergessen, die Feststelltaste eingeschaltet gelassen (oder ihre Hand falsch auf der Tastatur positioniert) oder so oft herumgefingert, dass die Tastatur gesperrt wurde aus. Ja, ja, ich weiß, dass Sie es persönlich immer perfekt hinbekommen, aber glauben Sie mir, jeder, der Helpdesk-Anrufe erhält, hat eine … weniger optimistische … Sicht auf die Menschheit. Ich füge auch hinzu, dass ich viele blinde Benutzer und die Passworteingabe unterstütze massiv Für sie ist das scheiße, weil viele Websites Komplexitätsanforderungen haben, die für Benutzer von Bildschirmleseprogrammen schwierig sind, und wenn man kein erfahrener Touch-Schreiber ist, ist es nicht so toll, es laut auszusprechen. Das ist eine Nische, aber viele Leute, die Authentifizierungssysteme entwickeln, müssen diese auch gesetzlich gut unterstützen, und das ist einer der Gründe, warum ich mich dafür interessiere die Technologie seit „Möchten Sie sich mit Ihrem Passkey anmelden?“ „Ja“ ist für viele mindestens eine Größenordnung schneller und einfacher als jede Form von Passwort + MFA Benutzer.
Punkt Nr. 3 gilt für WebAuthn MFA, aber immer mit Passkeys – so etwas wie ein Yubikey funktioniert überall dort, wo Sie USB/NFC haben, aber Sie könnten es tun Sie müssen eine PIN festlegen oder ihre biometrischen Serienschlüssel für Passkey-Implementierer wie Google.com verwenden, die mehr als einen einfachen Schlüssel erfordern klopfen.
Die Punkte Nr. 5, Nr. 6, Nr. 7 und Nr. 8 gelten auch für alle Formen von WebAuthn – sowohl MFA als auch Passkeys. Punkt Nr. 4 ist wahr, außer wenn Sie ein Gerät zum ersten Mal registrieren, wenn Sie einen vorhandenen Schlüssel synchronisieren. Nachdem Sie Ihre Schlüssel zum ersten Mal synchronisiert haben, benötigen Sie keine Netzwerkverbindung mehr. Wenn Sie keine Synchronisierung wünschen, können Sie auch ein paar biometrische Yubikey-Schlüssel kaufen, die wieder vollständig offline funktionieren, wo immer Sie über USB oder NFC verfügen.
Damit bleibt Nummer 9 übrig, was eine schlechte Praxis ist und nach Möglichkeit vermieden werden sollte. Moderne Systeme verfügen über Dinge wie rollenbasierte Authentifizierung, bei der Personen niemals Passwörter teilen, sondern mehrere Personen eine bestimmte Rolle übernehmen dürfen, oder Dinge wie Legacy oder Delegierte Konten, bei denen Sie niemals Passwörter weitergeben, sondern einer oder noch besser mehreren Personen gemeinsam die Möglichkeit geben, beispielsweise Ihr Passwort zurückzusetzen oder die Kontrolle darüber zu erlangen Ihre Dateien.
Nur weil etwas neu ist und Sie nicht gelernt haben, wie es funktioniert, heißt das nicht, dass es schlecht ist oder vermieden werden sollte. Passkeys stellen für die meisten von uns eine große Veränderung dar – mit Ausnahme von .gov, da PIV/CAC dort bis ins vorige Jahrhundert zurückreicht, auch wenn es nur wenige andere Orte gibt haben es übernommen – aber sie bieten zusätzlich zu den Sicherheitsvorteilen eine Reihe von Verbesserungen in der Benutzerfreundlichkeit, und es gibt einen klaren Weg für die Weiterentwicklung Einige der fehlenden Teile (z. B. möchte ich unbedingt die Möglichkeit haben, einen Apple-/Google-Passkey mit einem Yubikey zu synchronisieren, damit ich ihn gleich in meinen Safe legen kann Fall).
Es muss natürlich nicht nur während der Synchronisierung verfügbar sein, sondern auch während der Authentifizierung, da es dafür verwendet wird. Und es muss auch bei der Erstregistrierung verfügbar sein.Und das versuche ich Ihnen zu erklären: Es wäre einfach, sich mit einem vorhandenen Gerät zu authentifizieren und dieses zu verwenden Gerät, um einen anderen öffentlichen Schlüssel hinzuzufügen, der auf einem anderen, neuen Gerät generiert und von einigen an das alte Gerät gesendet wird bedeutet. Beispielsweise könnte ich auf meinem Desktop-Rechner ein neues Schlüsselpaar aus geheimem Schlüssel und öffentlichem Schlüssel erstellen, den öffentlichen Schlüssel an meinen Laptop senden, mich mit meinem Laptop anmelden und den öffentlichen Desktop-Schlüssel hinzufügen. Ich mache ständig ähnliche Dinge mit SSH.
Hier gibt es keine technische Hürde. Wenn dies mit Passkeys nicht möglich ist, ist dies freiwillig.
Der private Schlüssel ist nicht zugänglich. Warum nicht nachschlagen, anstatt eine Unwahrheit immer wieder zu wiederholen?
Und jetzt bin ich verwirrter als vor Beginn – ich habe den Artikel an meine CS-Hauptfachperson/bessere Hälfte weitergeleitet, um die Dinge zu erklären, aber das reicht möglicherweise nicht aus.
Passwörter sind leicht zu verstehen. 2FA ist einfach zu erklären. Passschlüssel machen irgendwie Sinn, aber gerade als ich denke, dass ich sie bekommen könnte, lese ich den nächsten Absatz und verliere mehr.
Der Himmel stehe meinen Geschwistern und Eltern bei.
Danke, dass du das gesagt hast. Die Antworten von Dan und anderen (z. B. @WbdDer von mir beworbene Kommentar, der meinen zitiert, basiert auf einer grundsätzlichen Fehlinterpretation des Kommentars.Ihnen ist doch klar, dass sowohl 1Password als auch Bitwarden an der Passkey-Unterstützung arbeiten, oder?Ich möchte meinem Betriebssystemanbieter (in meinem Fall Apple sowohl für mobile als auch für Desktop-Geräte) keine Passschlüssel anvertrauen und die Antwort lautet immer wieder „Aber du.“ VERTRAUEN SIE GOOGLE BEREITS MIT IHREM PASSWORT.“ Ja, gut, ich gebe ein langes zufälliges Passwort von BitWarden/KeePass ein, schließe mein Yubikey an und drücke die Taste. Es ist zu keinem Zeitpunkt von meinem Betriebssystemanbieter abhängig.
Und natürlich gibt es im Moment die Möglichkeit, keine Passschlüssel zu verwenden und wie bisher ein Passwort zu verwenden, aber der gesamte Tech-Hype-Zug ist auf dem Weg zu „KEINE PASSWÖRTER MEHR PASSSCHLÜSSEL FÜR.“ EVERYONE“-Station und wenn ich sage: „Aber Moment, wenn ich von allen anderen Konten ausgeschlossen werde, weil mein Betriebssystemanbieter entscheidet, dass er mich nicht mag, was passiert dann?“, werde ich als Troll bezeichnet und falsch informiert. Es gibt auch so viele Randfälle, bei denen ich mir vorstellen kann, dass das nicht funktioniert, und anstatt zu sagen: „Ja, die.“ „Sind berechtigte Bedenken in der Zukunft, in der es nur um Schlüssel geht, die wir wollen“, gibt es diese anhaltende Kritik an jedem Befragung.
1Password ist sogar so weit zu sagen, dass Passkeys „die Zukunft der Authentifizierung“ sind: https://www.future.1password.com/passkeys/
