Όχι και όχι.Το πλαίσιο του άρθρου είναι η σύνδεση σε ένα διαπιστευτήριο Google με κωδικό πρόσβασης. Το "big 3" και επίσης πολλά άλλα προσφέρουν μεσεγγύηση και ανάκτηση κλειδιών, αλλά οι ιστότοποι χρησιμοποιούν απευθείας κλειδιά πρόσβασης - εάν χρησιμοποιείτε κλειδί πρόσβασης με το Best Buy, δεν θα κάνουν έλεγχο με την Google για παράδειγμα (Εκτός εάν χρησιμοποιείτε "κοινωνικές συνδέσεις" του σειρά μαθημάτων). Σε αυτό το πλαίσιο, το Google που σκουπίζει τον λογαριασμό σας σημαίνει απλώς ότι εάν το τηλέφωνό σας πεθάνει, τα πράγματα θα μπορούσαν να γίνουν ζόρικα. Είναι βασικά ένα yubikey με δυνατότητα ανάκτησης - τόσο ελαφρώς λιγότερο ασφαλές επειδή υπάρχει το ιδιωτικό κλειδί σε μεσεγγύηση που λύνει το 50% του προβλήματος με το yubikeys (η τιμή και η υποστήριξη εφαρμογής είναι το υπόλοιπο πόνος).Κάθε σύστημα που φαίνεται να μπορεί να αποθηκεύει κωδικούς πρόσβασης φαίνεται να απαιτεί από εσάς να εμπιστεύεστε τα τρία μεγάλα (Apple, Google, Microsoft) να μην διαγράφουν τον λογαριασμό σας χωρίς προειδοποίηση. Στην περίπτωσή μου, εάν η Apple διαγράψει τον λογαριασμό μου στο iCloud και το keychain, χάνω την πρόσβαση σε οτιδήποτε είναι ασφαλισμένο με κωδικό πρόσβασης. Συγκρίνετε αυτό με αυτό που συμβαίνει αυτή τη στιγμή, αν καταστρέψω το κύριο Yubikey μου: πηγαίνω στην τράπεζά μου, τους δείξω δύο έντυπα ταυτότητας, χρησιμοποιήστε το φυσικό μου κλειδί για να ανακτήσετε το αντίγραφο ασφαλείας Yubikey από το χρηματοκιβώτιο και προχωρήστε με ΖΩΗ.
Μέχρι και αν υπάρξουν σοβαρές και μόνιμες συνέπειες για εταιρείες που παρέχουν υπηρεσίες υποδομής που ενεργούν μονομερώς, δεν υπάρχει περίπτωση να το χρησιμοποιήσω. Το KeyPass/BitWarden μπορεί να δημιουργήσει αυθαίρετα ισχυρούς κωδικούς πρόσβασης, μπορείτε να αγοράσετε όσα κλειδιά Webauthn θέλετε από διάφορους προμηθευτές. Με τους κωδικούς πρόσβασης, είστε μία (αυτοματοποιημένη, αδιαπραγμάτευτη) διαγραφή μακριά από το να κλειδωθείτε μόνιμα από ολόκληρη τη διαδικτυακή σας ζωή.
Αν θέλετε να δώσετε αυτή τη δύναμη σε μια εταιρεία, γίνετε καλεσμένος μου. Θα περιμένω μέχρι να αντιμετωπιστεί σαν εταιρείες ύδρευσης ή ηλεκτρικής ενέργειας που διακόπτουν την υπηρεσία χωρίς προφανή λόγο: μεγάλα και επιζήμια πρόστιμα.
Δεν είμαι σίγουρος ότι καταλαβαίνω πώς απαιτεί μια ροή εργασίαςΕάν κάνετε αντιγραφή κωδικών πρόσβασης (ή τους πληκτρολογείτε από τη μνήμη, κάτι που έχει άλλα προβλήματα σε κλίμακα), είστε ευάλωτοι στο ηλεκτρονικό ψάρεμα. Έτσι, οι κωδικοί πρόσβασης θα ήταν μια μεγάλη βελτίωση ασφάλειας για εσάς.
αρπάζοντας το τηλέφωνό σου,
πατώντας σε μια εφαρμογή,
λήψη φωτογραφίας της οθόνης σας και
πατώντας τι να κάνετε με αυτές τις πληροφορίες......είναι μια "ευκολότερη" λειτουργία από την εισαγωγή κωδικού πρόσβασης από τη μνήμη ή την αυτόματη συμπλήρωση με έναν διαχειριστή κωδικών πρόσβασης ή την επικόλληση αντιγραφής με έναν διαχειριστή κωδικών πρόσβασης.
Μπορεί να υπάρχουν άλλα οφέλη, αλλά σε καμία περίπτωση δεν είναι πιο εύκολο.
Για τον λογαριασμό μου Google, έχω καταχωρίσει ξανά τα YubiKeys που χρησιμοποιούσα ως 2FA ως κωδικούς πρόσβασης. Με το 2FA, ο έλεγχος ταυτότητας ήταν κωδικός πρόσβασης Google + κλειδί υλικού FIDO U2F. Με τους κωδικούς πρόσβασης, είναι το κλειδί υλικού FIDO2 + το FIDO2 PIN του κλειδιού.
Καμία από τις «τρεις μεγάλες» εταιρείες τεχνολογίας δεν θα είναι φύλακας των κλειδιών σας. Οι κωδικοί πρόσβασης διατηρούνται σε μια συσκευή. Εάν δεν θέλετε να συγχρονίσετε τον κωδικό πρόσβασής σας μέσω κάποιου είδους υπηρεσίας, τότε βάλτε τον ίδιο κωδικό πρόσβασης σε πολλές συσκευές. Έχετε μόνο μία συσκευή Και τώρα έφυγε; Αυτό είναι το ίδιο πρόβλημα με τους διαχειριστές κωδικών πρόσβασης χωρίς συγχρονισμό. Στο τέλος θα πρέπει να πραγματοποιήσετε εκ νέου έλεγχο ταυτότητας με διαφορετικές υπηρεσίες όπως ακριβώς θα κάνατε σε οποιαδήποτε παρόμοια περίπτωση αποκλεισμού. Οι περισσότεροι άνθρωποι θα συγχρονίσουν τους κωδικούς πρόσβασης τους όπως κάνουν τους κωδικούς πρόσβασής τους. Και όχι, αν η Google κλείσει τον λογαριασμό σας, δεν μπορεί να απενεργοποιήσει τους κωδικούς πρόσβασης που έχετε ήδη στις συσκευές σας. Θα χάσετε την υπηρεσία συγχρονισμού τους, αλλά στη συνέχεια θα μπορούσατε να αρχίσετε να χρησιμοποιείτε μια άλλη.
Οι κωδικοί πρόσβασης δεν μπορούν να υποστούν ηλεκτρονικό ψάρεμα, δεν μπορούν να ξεχαστούν, δεν μπορούν να ληφθούν μέσω διαρροών δεδομένων και είναι εγγενώς μοναδικοί και ασφαλείς. Αυτές είναι πραγματικά μεγάλες βελτιώσεις. Είναι επίσης πιο εύχρηστα, επειδή όταν βρίσκονται στη συσκευή σας, ο έλεγχος ταυτότητας είναι απλός.
Χρησιμοποιώ ένα Yubikey για αυτό, όχι Android ή iOS. Αυτό σημαίνει ότι δεν είμαι υπόχρεος της Google/Apple για να μπορώ να διαχειριστώ το κλειδί μου, ούτε πρέπει να ανησυχώ μήπως παραβιαστεί ο λογαριασμός μου και συνεπώς διαρρεύσει το κλειδί πρόσβασης.
Ως σημείο σύγκρισης με τη σύνδεση του Λογαριασμού Google, χρησιμοποιώ επίσης αυτό το Yubikey για πρόσβαση στον λογαριασμό μου Microsoft εδώ και λίγο καιρό.
Η Microsoft λειτουργεί σε όλα τα μεγάλα προγράμματα περιήγησης στην επιφάνεια εργασίας (εκτός από το Safari σε MacOS την τελευταία φορά που έλεγξα). Η Google φαίνεται να χρειάζεται τον Chrome.
Η Microsoft έχει μια επιλογή κάτω από το πεδίο ονόματος χρήστη για να συνδεθείτε με διαφορετικό τρόπο, στη συνέχεια επιλέγετε Windows Hello ή Κλειδί ασφαλείας, τοποθετείτε το κλειδί σε μια θύρα USB, εισάγετε το PIN και πατάτε το κουμπί στην κορυφή. Στη συνέχεια, θα σας ρωτήσει ποιος λογαριασμός (αν έχετε αποθηκευμένους πολλούς λογαριασμούς) και είστε συνδεδεμένοι απευθείας. Δεν χρειάζεται καν να θυμάστε το όνομα χρήστη/τη διεύθυνση email σας.
Η Google απαιτεί να εισαγάγετε το όνομα χρήστη/το email σας και, στη συνέχεια, ζητά την εισαγωγή του κλειδιού. Στη συνέχεια, πρέπει να εισαγάγετε το PIN και θα σας συνδέσει.
Από την άποψη της χρηστικότητας, η Microsoft είναι καλύτερη στο ότι δεν χρειάζεται να θυμάστε το email σας. Για το πλήθος του Ars, αυτό είναι μάλλον αρνητικό. Αλλά αν υποστηρίζετε 70χρονους παππούδες, όσο λιγότερα πράγματα πρέπει να θυμούνται, τόσο το καλύτερο. Δεν έχω επιβεβαιώσει, αλλά ένα μειονέκτημα του συστήματος MS είναι ότι το Yubikey υποστηρίζει μόνο έναν συγκεκριμένο αριθμό αποθηκευμένων διαπιστευτηρίων, ενώ από ό, τι μπόρεσα να δω στην έρευνά μου, η μέθοδος της Google βασικά έχει το Yubikey να δημιουργεί ένα ιδιωτικό κλειδί ειδικά σε αυτόν τον ιστότοπο που βασίζεται σε ένα εσωτερικό ιδιωτικό κλειδί, το PIN σας και ορισμένες πληροφορίες που παρέχονται από τον ιστότοπο και το πρόγραμμα περιήγησης, κάθε φορά που χρειάζεται να εκτελείται η αυθεντικοποίηση. Και οι δύο φαίνεται να χρησιμοποιούν ένα εσωτερικό ιδιωτικό κλειδί ειδικά για το Yubikey, το PIN σας, ορισμένες πληροφορίες σχετικά με τον τομέα που παρέχεται από το πρόγραμμα περιήγησης και συγκεκριμένα πληροφορίες που παρέχονται από τον ιστότοπο που επισκέπτεστε για να εκτελέσετε τη χειραψία, η οποία εμποδίζει τις επιθέσεις MITM να είναι επιτυχείς καθώς δεν μπορούν να παραπλανήσουν όλα αυτά δεδομένα.
Δεν είμαι σίγουρος τι λείπει στον Firefox για την εφαρμογή Google έναντι του Microsoft, γιατί δεν υποστηρίζει το νέο σύστημα κωδικών πρόσβασης. Ή απλώς η Google δεν ζητά τον κωδικό πρόσβασης επειδή ο Firefox δεν έχει εφαρμόσει το τμήμα Bluetooth, το οποίο έχει το παρενέργεια της μη υποστήριξης Yubikeys/χαρακτηριστικά υλικού επειδή ο Firefox δεν ζητείται από τα στοιχεία σύνδεσης της Google ιστοσελίδα.
--
Εάν χάσετε τον κωδικό πρόσβασης και δεν έχετε εφεδρικό κωδικό πρόσβασης, η εναλλακτική λύση ασφαλείας είναι να συνδεθείτε με τον τρόπο που συνδέατε πριν από τον κωδικό πρόσβασης. Συνήθως λοιπόν κωδικός + OTP. Αν και αυτό σημαίνει ότι ο ιστότοπος υποστηρίζει ένα λιγότερο ασφαλές σύστημα ελέγχου ταυτότητας, ένα πλεονέκτημα είναι ότι δεν το υποστηρίζετε χρησιμοποιώντας τον κωδικό πρόσβασης σε τακτική βάση, επομένως είναι λιγότερο πιθανό να διαρρεύσει ή να υποκλαπεί από ηλεκτρονικό ψάρεμα/MITM επίθεση.
--
Από την άποψη της ασφάλειας, μπορείτε να δείτε τους κωδικούς πρόσβασης ως πορτοφόλι κωδικού πρόσβασης με περιορισμένη υποστήριξη ιστότοπου. Εάν χρησιμοποιείτε Yubikey, το πορτοφόλι είναι μια συσκευή υλικού στην τσέπη σας, που προστατεύεται από ένα PIN. Εάν χρησιμοποιείτε τον κωδικό πρόσβασης Android/iOS, το πορτοφόλι συγχρονίζεται σε σύστημα cloud και προστατεύεται από τον κωδικό πρόσβασης του λογαριασμού σας + βιομετρικά στοιχεία. Εάν χάσετε τη συσκευή, είναι παρόμοιο με το να χάσετε το αρχείο κωδικού πρόσβασης.
Μόλις καταλάβουν όλες τις στροφές, αυτό έχει τη δυνατότητα να αλλάξει πολλά πράγματα στο τοπίο ασφαλείας, όπως θα κάνουν άτομα που δεν έχουν επίγνωση της ασφάλειας. δεν αντιστέκεστε πλέον στις απαιτήσεις ασφαλούς κωδικού πρόσβασης ή δεν χρειάζεται να καταλάβετε πώς να χρησιμοποιήσετε σωστά ένα πορτοφόλι κωδικών πρόσβασης και πώς να το προσπελάσετε/συγχρονίσετε σε πολλά συσκευές. Με το να γίνουν βασικά ένα πορτοφόλι κωδικών πρόσβασης, τα κλειδιά πρόσβασης δημιουργούν πραγματικά ασφαλείς, πραγματικά τυχαίους κωδικούς πρόσβασης για κάθε ιστότοπο στον οποίο χρησιμοποιούνται και είναι κατασκευασμένοι με γνώμονα την αντίσταση στο phishing.
Πώς μπορεί αυτό να καταψηφιστεί; Είναι 100% αλήθεια.
Του ΠΟΥ, δεν τι στην πρώτη σελίδα. Καμία αγάπη για την Google στην πρώτη σελίδα, έτσι ώστε η υποστήριξή τους να έχει στρέψει το πλήθος εναντίον ένα βιομηχανικό πρότυπο.
Είναι ανόητο.
Και πάλι, αναγνώστες, μην δίνετε καμία σημασία σε αυτούς τους σχολιαστές.
Η χρήση κωδικού πρόσβασης δεν πρέπει να είναι η απάντηση σε κάτι που προορίζεται να αντικαταστήσει τους κωδικούς πρόσβασης.
Αυτό είναι κάπως γελοίο. Πώς αλλιώς θα κάνατε έλεγχο ταυτότητας σε μια υπάρχουσα υπηρεσία προκειμένου να ενημερώσετε τον μηχανισμό ελέγχου ταυτότητας; Εκτός από την ήδη συζητημένη μέθοδο QR-and-bluetooth. Και ενώ η επιφάνεια επίθεσης στην πλευρά του διακομιστή δεν μειώνεται απαραίτητα με την ενεργοποίηση αντί για την απαίτηση σύνδεσης με κωδικό πρόσβασης, σημαντικά μειώνει την επιφάνεια επίθεσης από την πλευρά του πελάτη, καθώς συμμετέχετε αυστηρά σε μια ανταλλαγή κλειδιών, η οποία ενεργοποιείται από τον έλεγχο ταυτότητας σε επίπεδο λειτουργικού συστήματος. Και αυτό είναι μια νίκη για όλους.
Εάν είστε σε σημείο που δεν μπορείτε να εμπιστευτείτε καμία από τις λειτουργίες ασφαλείας του λειτουργικού σας συστήματος, μπορείτε επίσης να πετάξετε τις υπολογιστικές συσκευές σας και να μεταβείτε σε ένα τροπικό νησί ή κάτι τέτοιο. Στο κάποιο σημείο κάποιο επίπεδο εμπιστοσύνης πρέπει να δοθεί σε κάποιο κομμάτι λογισμικού.
Υπάρχει πολλή σύγχυση εδώ, νομίζω επειδή μια ολόκληρη τεχνολογική στοίβα έχει πέσει πάνω μας και παρουσιάζεται ως τετελεσμένο γεγονός. Επιτρέψτε μου, ως αδαής, να προσπαθήσω να το αποδομήσω κατ' αναλογία με αυτό που καταλαβαίνω: ζεύγη κλειδιών SSH. Προσκαλώ άλλους να μαζέψουν τρύπες σε αυτό που κάνω λάθος.1. Δημόσια/ιδιωτικά κλειδιά ελέγχου ταυτότητας. Αυτό λειτουργεί περίπου το ίδιο με το SSH. Ο ιστότοπος γνωρίζει μόνο το δημόσιο κλειδί σας και υπογράφετε μηνύματα για να αποδείξετε ότι κρατάτε το ιδιωτικό κλειδί.
2. Προστασία κατά του phishing. Τα κλειδιά είναι συγκεκριμένα για έναν ιστότοπο, επομένως ένας ιστότοπος phishing λαμβάνει διαφορετικό κλειδί. Το SSH έχει κλειδιά κεντρικού υπολογιστή για αυτό, υποθέτω ότι το keypass χρησιμοποιεί κάποια σχέση με τα κλειδιά κεντρικού υπολογιστή TLS; Το πρόγραμμα περιήγησής σας το χρησιμοποιεί για να επιλέξει ποιο κλειδί θα χρησιμοποιήσει; Ή απλώς με το όνομα DNS;
3. Μέσα για να ξεκλειδώσετε τα κλειδιά για να αποδείξετε ότι ο σωστός χρήστης τα χρησιμοποιεί. Το SSH έχει φράσεις πρόσβασης, υποθέτω ότι εδώ μπαίνει το στοιχείο βιομετρίας / Bluetooth; Το SSH μπορεί επίσης να ξεκλειδώσει κλειδιά με έξυπνες κάρτες, και έτσι υποθέτω ότι το βιομετρικό είναι λίγο σαν μια άλλη λειτουργία ξεκλειδώματος;
4. Συγχρονισμός πλήκτρων μεταξύ συσκευών. Εδώ πιθανώς έρχονται τα «οικοσυστήματα» του cloud, όπως ο συγχρονισμός κωδικού πρόσβασης iCloud και Chrome; Για το SSH δεν υπάρχει υποστήριξη, αλλά μπορείτε να μαγειρέψετε μόνοι σας με το rsync ή οτιδήποτε άλλο;
Τι έκανα λάθος;
Εάν τα παραπάνω είναι σε γενικές γραμμές σωστά, θα μπορούσα να φανταστώ τη δημιουργία μιας ανοιχτής στοίβας που ουσιαστικά κάνει το ίδιο με το SSH χρησιμοποιώντας ένα σωρό αρχείων σε ~/.ssh και rsync για να μετακινηθείτε μεταξύ συσκευών. Αυτή είναι η προσέγγιση «ποδηλάτου» όπου όλα τα κινούμενα μέρη είναι εκτεθειμένα και είναι εύκολο να καταλάβουμε τι συμβαίνει.
Δεν απορρίπτεται μόνο στους ανθρώπους - αυτή είναι μια ενημέρωση του FIDO2, η ίδια η δεύτερη έκδοση του προτύπου. Το U2F ήταν FIDO1. αυτό είναι το CTAP 2.2 ([επεξεργασία: Διορθώθηκε από το WAG του 2.4 που ήταν λάθος, ευχαριστώ Ακόμα Λάθος!]), μέρος του FIDO2/WebAuthn. Αυτό δεν είναι τίποτα περίπλοκο όπως πάει... έχουν χαλαρώσει τις απαιτήσεις του Authenticator, ώστε το ιδιωτικό κλειδί να μπορεί (πρέπει να...) να αντιγραφεί με ασφάλεια, και έχουν προσθέσει ορισμένες λειτουργίες Javascript για να κάνουν τη ζωή πιο εύκολη. Συνδέσεις χωρίς κωδικό πρόσβασης; Πάντα ήταν δυνατό με το FIDO2. Αυτό είναι το προσεγμένο μέρος του - το FIDO1 θα μπορούσε να είναι μόνο MFA. Προσθέτετε ένα ιδιωτικό κλειδί στο πρόγραμμα περιήγησής σας που είναι αποθηκευμένο στο στοιχείο TPM ή στο ασφαλές στοιχείο; Πάντα ήταν δυνατό, και είχε εφαρμοστεί στο παρελθόν σε Chrome, Firefox και Safari. Το νέο είναι ότι μπορεί να συγχρονιστεί και να προσπελαστεί μέσω του BT/QR rigmarole. Προηγουμένως, αναφερόταν (και επισημάνθηκε σε ιστοσελίδες) ως "πλατφόρμα ειδικά κλειδιά", σε αντίθεση με τα φορητά που ήταν συσκευές υλικού. Τώρα είναι PassKeys.
Δεδομένου ότι το όλο θέμα του συστήματος κλειδιού πρόσβασης φαίνεται να είναι να απαλλαγούμε από τους κωδικούς πρόσβασης, επιτρέψτε μου να αναφέρω μερικά από τα πλεονεκτήματα των κωδικών πρόσβασης:
- είναι αρκετά απλά για να τα κατανοήσει κάποιος που είναι διανοητικά ικανός να χειριστεί μια ηλεκτρονική συσκευή
- είναι εύκολο να τα θυμάστε αν κάνετε οποιαδήποτε προσπάθεια και τα χρησιμοποιείτε τακτικά
- λειτουργούν σε όλα τα λειτουργικά συστήματα εκτός συσκευασίας
- δεν απαιτούν πρόσβαση στο Διαδίκτυο (ορισμένα συστήματα είναι εκτός σύνδεσης για καλό λόγο)
- δεν απαιτούν τη συνεργασία οποιουδήποτε τρίτου
- δεν απαιτούν την παρουσία smartphone ή άλλου gadget
- δεν απαιτούν Bluetooth, WiFi, κάμερες ή μπαταρίες
- μπορούν -σε περίπτωση έκτακτης ανάγκης- να αποθηκευτούν χωρίς την ανάγκη ηλεκτρικού ρεύματος
- μπορούν εύκολα να μεταδοθούν σε άλλο άτομο χωρίς τη χρήση οποιασδήποτε συσκευής
- Εάν δεν είστε άτομα με ειδικές ανάγκες και δεν χρησιμοποιείτε smartphone, ο έλεγχος ταυτότητας με κωδικό πρόσβασης διαρκεί μόνο λίγα δευτερόλεπτα
Τα σημεία #1, #2 και #10 είναι απλά λάθος – ρωτήστε οποιονδήποτε εργάζεται στην τεχνική υποστήριξη πόσο συχνά πρέπει να κάνει επαναφορά κωδικού πρόσβασης επειδή κάποιος ξέχασαν τον κωδικό πρόσβασής τους, άφησαν ανοιχτό το πλήκτρο caps lock (ή τοποθέτησαν λάθος το χέρι τους στο πληκτρολόγιο) ή το έβαλαν με το δάχτυλο αρκετές φορές για να κλειδωθούν έξω. Ναι, ναι, ξέρω ότι εσείς προσωπικά πάντα τα καταφέρνετε τέλεια, αλλά πιστέψτε με, όποιος δέχεται κλήσεις στο γραφείο υποστήριξης έχει μια … λιγότερο αισιόδοξη… άποψη για την ανθρωπότητα. Θα προσθέσω επίσης ότι υποστηρίζω πολλούς τυφλούς χρήστες και εισαγωγή κωδικού πρόσβασης μαζικά είναι χάλια για αυτούς γιατί πολλοί ιστότοποι έχουν απαιτήσεις πολυπλοκότητας που είναι δύσκολες για τους χρήστες ανάγνωσης οθόνης και αν δεν είστε ικανός δακτυλογράφος αφής να το πείτε δυνατά δεν είναι υπέροχο. Αυτό είναι μια θέση, αλλά είναι κάτι που πολλοί άνθρωποι που κατασκευάζουν συστήματα ελέγχου ταυτότητας υποχρεούνται νομικά να υποστηρίζουν καλά, επίσης, και είναι ένας από τους λόγους για τους οποίους με ενδιαφέρει η τεχνολογία από το "Θέλετε να συνδεθείτε με τον κωδικό πρόσβασής σας;" Το "ναι" είναι τουλάχιστον μία τάξη μεγέθους ταχύτερο και ευκολότερο από οποιαδήποτε μορφή κωδικού πρόσβασης + MFA για πολλούς χρήστες.
Το σημείο #3 ισχύει για το WebAuthn MFA, αλλά πάντα κωδικούς πρόσβασης – κάτι σαν Yubikey λειτουργεί οπουδήποτε έχετε USB/NFC, αλλά μπορεί να πρέπει να ορίσετε ένα PIN ή να χρησιμοποιήσετε τα κλειδιά βιομετρικής σειράς για εφαρμογές υλοποίησης κλειδιού πρόσβασης όπως το Google.com που απαιτούν περισσότερα από ένα απλό παρακέντηση.
Τα σημεία #5, #6, #7 και #8 ισχύουν επίσης για όλες τις μορφές WebAuthn – τόσο MFA όσο και κωδικούς πρόσβασης. Το σημείο #4 είναι αληθές εκτός από την πρώτη φορά που εγγράφετε μια συσκευή όταν συγχρονίζετε ένα υπάρχον κλειδί. Μετά την πρώτη φορά που θα συγχρονίσετε τα κλειδιά σας, δεν χρειάζεστε σύνδεση δικτύου. Εάν δεν θέλετε να κάνετε συγχρονισμό, μπορείτε επίσης να αγοράσετε μερικά βιομετρικά κλειδιά Yubikey που λειτουργούν και πάλι πλήρως εκτός σύνδεσης οπουδήποτε έχετε USB ή NFC.
Αυτό αφήνει το #9, που είναι κακή πρακτική και θα πρέπει να αποφεύγεται αν είναι δυνατόν. Τα σύγχρονα συστήματα έχουν πράγματα όπως έλεγχο ταυτότητας βάσει ρόλων, όπου οι άνθρωποι δεν μοιράζονται ποτέ κωδικούς πρόσβασης, αλλά επιτρέπεται σε πολλά άτομα να αναλάβουν έναν συγκεκριμένο ρόλο ή πράγματα όπως παλαιού τύπου ή ανάθεση λογαριασμοί στους οποίους δεν μοιράζεστε ποτέ ξανά κωδικούς πρόσβασης, αλλά δίνετε σε ένα ή, ακόμα καλύτερα, σε πολλά άτομα που απαιτούνται σε συνδυασμό τη δυνατότητα να κάνουν κάτι όπως επαναφορά του κωδικού πρόσβασής σας ή να αποκτήσετε τον έλεγχο του τα αρχεία σας.
Ακριβώς επειδή κάτι είναι καινούργιο και δεν έχετε μάθει πώς λειτουργεί δεν σημαίνει ότι είναι κακό ή πρέπει να το αποφύγετε. Οι κωδικοί πρόσβασης είναι μια μεγάλη αλλαγή για τους περισσότερους από εμάς – εξαιρείται το .gov αφού το PIV/CAC πηγαίνει πίσω στον προηγούμενο αιώνα, ακόμα κι αν είναι λίγα άλλα μέρη το υιοθέτησαν – αλλά έχουν μια σειρά από βελτιώσεις χρηστικότητας εκτός από τα οφέλη ασφαλείας, και υπάρχει μια σαφής διαδρομή για την ανάπτυξη μερικά από τα εξαρτήματα που λείπουν (π.χ. θέλω πολύ τη δυνατότητα συγχρονισμού ενός κωδικού πρόσβασης Apple/Google με ένα Yubikey, ώστε να μπορώ να το βάλω στο χρηματοκιβώτιο μου υπόθεση).
Προφανώς πρέπει να είναι διαθέσιμο όχι μόνο κατά τον συγχρονισμό, αλλά και κατά τον έλεγχο ταυτότητας, καθώς χρησιμοποιείται για αυτό. Και πρέπει επίσης να είναι διαθέσιμο κατά την αρχική εγγραφή.Και αυτό προσπαθώ να σας εξηγήσω: Θα ήταν εύκολο να γίνει έλεγχος ταυτότητας με μια υπάρχουσα συσκευή και να τη χρησιμοποιήσετε συσκευή για να προσθέσετε ένα άλλο δημόσιο κλειδί, το οποίο δημιουργείται σε μια άλλη, νέα, συσκευή και αποστέλλεται στην παλιά συσκευή από κάποιους που σημαίνει. Για παράδειγμα, θα μπορούσα να δημιουργήσω ένα νέο ζεύγος μυστικού κλειδιού / δημόσιου κλειδιού στον επιτραπέζιο υπολογιστή μου, να στείλω το δημόσιο κλειδί στον φορητό υπολογιστή μου, να συνδεθώ με τον φορητό υπολογιστή μου και να προσθέσω το δημόσιο κλειδί του επιτραπέζιου υπολογιστή. Κάνω παρόμοια πράγματα με το SSH όλη την ώρα.
Δεν υπάρχει κανένα τεχνικό εμπόδιο εδώ. Εάν αυτό δεν είναι δυνατό με τους κωδικούς πρόσβασης, τότε αυτό είναι από επιλογή.
Το ιδιωτικό κλειδί δεν είναι προσβάσιμο. Γιατί να μην το ψάξετε αντί να επαναλαμβάνετε ένα ψέμα ξανά και ξανά.
Και τώρα είμαι πιο μπερδεμένος από ό, τι πριν ξεκινήσω - έχω προωθήσει το άρθρο στο CS major/καλύτερο μισό μου για να εξηγήσω τα πράγματα, αλλά αυτό μπορεί να μην είναι αρκετό.
Οι κωδικοί πρόσβασης χωνεύονται εύκολα. Το 2FA είναι εύκολο να εξηγηθεί. Οι κωδικοί πρόσβασης έχουν κάποιο νόημα, αλλά ακριβώς όταν σκέφτομαι ότι μπορεί να το καταλάβω, διαβάζω την επόμενη παράγραφο και χάνομαι περισσότερο.
Ο Παράδεισος βοηθά τα αδέρφια και τους γονείς μου.
Ευχαριστώ που το είπες. Οι απαντήσεις από τον Dan και άλλους (για παράδειγμα, @Wbdτο προωθημένο σχόλιο του οποίου παραθέτει το δικό μου) βασίζεται σε μια θεμελιώδη εσφαλμένη ανάγνωση του σχολίου.Αντιλαμβάνεστε ότι τόσο το 1Password όσο και το Bitwarden εργάζονται για την υποστήριξη κωδικού πρόσβασης, σωστά;Δεν θέλω να εμπιστεύομαι τον πάροχο λειτουργικού συστήματος (στην περίπτωσή μου την Apple για φορητές και επιτραπέζιους υπολογιστές) με κωδικούς πρόσβασης και η απάντηση είναι επανειλημμένα "Αλλά εσύ ΕΜΠΙΣΤΕΥΤΕΙΤΕ ΗΔΗ ΤΟΝ ΚΩΔΙΚΟ ΣΑΣ ΣΤΟ GOOGLE." Ναι, εντάξει, εισάγω έναν μακρύ τυχαίο κωδικό πρόσβασης από το BitWarden/KeePass και συνδέω το Yubikey μου και πατάω το κουμπί. Σε κανένα σημείο δεν εξαρτάται από τον πάροχο του λειτουργικού μου συστήματος.
Και σίγουρα, αυτή τη στιγμή υπάρχει η επιλογή να μην χρησιμοποιείτε κωδικούς πρόσβασης και να χρησιμοποιείτε κωδικό πρόσβασης όπως πριν, αλλά ολόκληρο το τεχνολογικό συρμό της διαφημιστικής εκστρατείας είναι καθ' οδόν προς το "NO MORE PASSWORDS Passkeys FOR ΟΛΟΙ» και αν πω, «αλλά υπομονή, αν κλειδωθώ έξω από κάθε άλλο λογαριασμό επειδή ο πάροχος του λειτουργικού μου συστήματος αποφασίσει ότι δεν μου αρέσει, τι συμβαίνει» με λένε τρολ και παραπληροφορημένος. Υπάρχουν επίσης τόσες πολλές ακραίες περιπτώσεις που μπορώ να σκεφτώ όπου αυτό δεν λειτουργεί και αντί να πω, "ναι, αυτά είναι έγκυρες ανησυχίες για το μέλλον μόνο με κωδικό πρόσβασης που θέλουμε», υπάρχει αυτή η συνεχής κριτική για οποιονδήποτε προβληματισμός.
Το 1Password έφτασε στο σημείο να πει ότι οι κωδικοί πρόσβασης είναι "το μέλλον του ελέγχου ταυτότητας": https://www.future.1password.com/passkeys/
