Ei ja absoluutselt mitte.Artikli kontekst on pääsukoodiga Google'i mandaadile sisselogimine. "Suur 3" ja ka mitmed teised pakuvad võtmete deponeerimist ja taastamist, kuid saidid kasutavad parooli otse – kui kasutate Best Buy'i parooli, ei kontrolli nad näiteks Google'ilt (välja arvatud juhul, kui kasutate teenuse „sotsiaalseid sisselogimisi” muidugi). Selles kontekstis tähendab Google'i konto kustutamine lihtsalt seda, et kui teie telefon sureb, võivad asjad muutuda halvaks. Põhimõtteliselt on need taastamisvõimalusega yubikey – seega pisut vähem turvalised, kuna privaatvõti on olemas tingdeponeerimisel, mis lahendab 50% yubkeyysi probleemist (ülejäänud on hinnasilt ja rakenduse tugi valu).Tundub, et iga süsteem, mis näib olevat võimeline pääsuvõtmeid salvestama, eeldab, et peate usaldama kolme suurt (Apple, Google, Microsoft) oma kontot hoiatamata kustutama. Minu puhul, kui Apple kustutab minu iCloudi konto ja võtmehoidja, kaotan juurdepääsu kõigele, mis on pääsukoodiga kaitstud. Võrrelge seda sellega, mis juhtub praegu, kui ma hävitan oma peamise Yubikey: lähen oma panka, näitan neile kahte ID-vormingus, kasutage minu füüsilist võtit Yubikey varukoopia hankimiseks seifist ja jätkake elu.
Kuni ühepoolselt tegutsevatele infrastruktuuriteenuseid pakkuvatele ettevõtetele tõsiseid ja püsivaid tagajärgi ei ole, ei saa ma seda kuidagi kasutada. KeyPass/BitWarden võib genereerida meelevaldselt tugevaid paroole, saate osta erinevatelt müüjatelt nii palju Webauthni võtmeid, kui soovite. Pääsuvõtmetega olete ühe (automaatse, mittekaubeldava) kustutamise kaugusel, et teid kogu võrguelust jäädavalt välja ei jääks.
Kui soovite seda jõudu ettevõttele anda, olge minu külaline. Ootan, kuni seda käsitletakse nagu vee- või elektriettevõtteid, kes katkestavad teenuse ilma nähtava põhjuseta: suured ja valusad trahvid.
Ma pole kindel, kas ma mõistan, kuidas töövoog, mis nõuabKui kopeerite ja kleepite paroole (või sisestate need mälust, millel on muid ulatuslikke probleeme), olete andmepüügi suhtes haavatav. Nii et pääsukoodid oleksid teie jaoks suureks turvalisuse parandamiseks.
haarates oma telefoni,
rakendust puudutades,
ekraanipildi pildistamist ja
puudutage, mida selle teabega teha......on "lihtsam" toiming kui mälust parooli sisestamine või automaatne täitmine paroolihalduriga või kopeerimine paroolihalduriga.
Võib olla ka muid eeliseid, kuid see pole sugugi lihtsam.
Registreerisin oma Google'i konto jaoks oma YubiKeys, mida kasutasin 2FA-na, pääsukoodideks ümber. 2FA-ga oli autentimine Google'i parool + FIDO U2F riistvaravõti. Paroolide puhul on see FIDO2 riistvaravõti + võtme FIDO2 PIN-kood.
Ükski kolmest suurest tehnoloogiaettevõttest ei ole teie juurdepääsuvõtmete valvur. Pääsmeid hoitakse seadmes. Kui te ei soovi oma pääsuvõtit mõne teenuse kaudu sünkroonida, sisestage sama pääsuvõti mitmesse seadmesse. Teil on ainult üks seade ja nüüd on see kadunud? See on sama probleem kui sünkroonimata paroolihaldurid. Lõppkokkuvõttes peate erinevate teenustega uuesti autentima, nagu teeksite igal sarnasel juhul, kui olete välja lülitatud. Enamik inimesi sünkroonib oma paroolid samamoodi nagu paroole. Ja ei, kui Google teie konto sulgeb, ei saa ta keelata teie seadmetes juba olemasolevaid parooli. Kaotate nende sünkroonimisteenuse, kuid võite selle asemel hakata kasutama mõnda muud.
Pääsukoode ei saa andmepüügiks teha, neid ei saa unustada, neid ei saa andmelekke kaudu ning need on oma olemuselt ainulaadsed ja turvalised. Need on tõesti suured täiustused. Neid on ka lihtsam kasutada, sest kui need on teie seadmes, on autentimine lihtne.
Ma kasutan selleks Yubikeyt, mitte Androidi ega iOS-i. See tähendab, et ma ei saa oma võtit hallata Google'ile/Apple'ile, samuti ei pea ma muretsema selle pärast, et minu konto satub ohtu ja seega pääsuvõti lekib.
Võrdluseks Google'i konto sisselogimisega olen juba mõnda aega kasutanud seda Yubikeyt ka oma Microsofti kontole juurdepääsuks.
Microsoft töötab kõigis suuremates töölauabrauserites (välja arvatud MacOS-i Safari, kui viimati kontrollisin). Tundub, et Google vajab Chrome'i.
Microsoftil on kasutajanime välja all võimalus muul viisil sisse logida. Seejärel valite Windows Hello või Turvavõti, sisestate võtme USB-porti, sisestage PIN-kood ja vajutage ülal olevat nuppu. Seejärel küsib see, milline konto (kui teil on mitu kontot salvestatud), ja olete otse sisse logitud. Sa ei pea isegi oma kasutajanime/e-posti aadressi meeles pidama.
Google nõuab oma kasutajanime/e-posti aadressi sisestamist, seejärel palub sisestada võti. Seejärel peate sisestama PIN-koodi ja see logib teid sisse.
Kasutatavuse seisukohast on Microsoft parem selle poolest, et te ei pea oma e-posti meeles pidama. Arsi rahvahulga jaoks on see ilmselt negatiivne. Aga kui toetate 70-aastaseid vanavanemaid, siis mida vähem asju nad peavad meeles pidama, seda parem. Ma ei ole kinnitanud, kuid MS-süsteemi negatiivne külg on see, et Yubikey toetab ainult teatud arvu salvestatud mandaate, samas kui oma uurimistööst nähtu põhjal võib öelda, et Google'i meetod loob Yubikey privaatvõtme spetsiaalselt selle saidi alusel. sisemise privaatvõtme, teie PIN-koodi ja saidi ja brauseri pakutava teabe iga kord, kui see peab käivitama autentimine. Tundub, et mõlemad kasutavad Yubikey spetsiifilist sisemist privaatvõtit, teie PIN-koodi, mõnda teavet brauseri pakutava domeeni kohta ja konkreetset külastatavalt saidilt saadud teave käepigistuse tegemiseks, mis takistab MITM-i rünnakute edukat toimimist, kuna nad ei saa kõike seda võltsida andmeid.
Ma ei ole kindel, mis on Firefoxis puudu Google'i ja Microsofti juurutamise jaoks, miks see ei toeta uut paroolisüsteemi. Või ei küsi Google lihtsalt pääsuvõtit, kuna Firefox pole rakendanud Bluetoothi osa, millel on Yubikeyde/riistvaramärkide mittetoetamise kõrvalmõju, kuna Google'i sisselogimine ei küsi Firefoxi saidile.
--
Kui kaotate pääsukoodi ja teil pole varupääsuvõtit, on turvalisuse tagavaraks sisselogimine nii, nagu logisite sisse enne pääsukoodi. Nii et tavaliselt parool + OTP. Kuigi see tähendab, et sait toetab vähem turvalist autentimissüsteemi, on üks eelis, et te seda ei tee parooli regulaarselt kasutades, nii et on väiksem tõenäosus, et see lekib või andmepüügi/MITM-i vahele jääb rünnak.
--
Turvalisuse seisukohast saate vaadata paroolivõtmeid piiratud saidi toega paroolirahakotina. Yubikey kasutamisel on rahakott teie taskus olev riistvaraseade, mis on kaitstud PIN-koodiga. Kui kasutate Androidi/iOS-i pääsuvõtit, sünkroonitakse rahakott pilvesüsteemis ja kaitstakse teie konto parooli + biomeetriaga. Kui kaotate seadme, sarnaneb see paroolifaili kaotamisega.
Kui nad on kõik nüansid selgeks saanud, võib see julgeolekumaastikul paljusid asju muuta, kuna turvateadlikud inimesed teevad seda. ei pea enam vastu seista turvalisele paroolinõuetele ega pea välja mõtlema, kuidas paroolirahakotti õigesti kasutada ja kuidas sellele juurde pääseda/sünkroonida mitme vahel seadmeid. Põhimõtteliselt muutudes paroolide rahakotiks, genereerivad pääsukoodid tõeliselt turvalised, tõeliselt juhuslikud paroolid iga saidi jaoks, millel neid kasutatakse, ning on loodud andmepüügikindlust silmas pidades.
Kuidas saab seda mahahääletada? See on 100% tõsi.
See on WHO, mitte mida esilehel. Esilehel puudub armastus Google'i vastu, nii et nende toetus on rahvahulga vastu pööranud tööstuse standard.
See on rumal.
Jällegi, lugejad, ärge pöörake neile kommenteerijatele tähelepanu.
Parooli kasutamine ei tohiks olla vastus millelegi, mis on mõeldud paroolide asendamiseks.
See on omamoodi naeruväärne. Kuidas muidu saaksite olemasoleva teenusega autentida? oma autentimismehhanismi värskendamiseks? Peale juba arutatud QR- ja Bluetooth-meetodi. Ja kuigi serveripoolset ründepinda ei vähenda tingimata pääsukoodi sisselogimise lubamine, mitte nõudmine, oluliselt vähendab ründepinda kliendi poolt, kuna osalete rangelt võtmevahetuses, mis on lubatud OS-i tasemel autentimise kaudu. Ja see on võit kõigile.
Kui te ei saa usaldada ühtegi oma OS-i turvafunktsiooni, võite oma arvutiseadmed lihtsalt minema visata ja minna troopilisele saarele või midagi sellist. Kell mingi punkt mingile osale tarkvarale tuleb usaldada.
Ma arvan, et siin on palju segadust, sest terve tehnikavirn on meie peale visatud ja esitatud kui fait accompli. Lubage mul kui võhiklikult seda dekonstrueerida analoogia põhjal sellega, mida ma mõistan: SSH võtmepaarid. Kutsun teisi üles tegema auke selles, mis mul valesti läheb.1. Avalikud/privaatsed autentimisvõtmed. See töötab ligikaudu samamoodi nagu SSH. Veebisait teab ainult teie avalikku võtit ja te allkirjastate sõnumeid, et tõestada, et teil on privaatvõti.
2. Andmepüügivastane kaitse. Võtmed on saidile omased, seega saab andmepüügisait erineva võtme. SSH-l on selle jaoks hostivõtmed, eeldan, et Keypass kasutab midagi TLS-i hostivõtmetega? Teie brauser kasutab seda, et valida, millist klahvi kasutada? Või lihtsalt DNS-nime järgi?
3. Võtmete avamise vahendid, et tõestada, et õige kasutaja neid kasutab. SSH-l on paroolid, ma eeldan, et see on koht, kus biomeetriline / Bluetoothi asi tuleb? SSH saab ka kiipkaartidega võtmeid avada ja seega ma eeldan, et biomeetria sarnaneb mõne teise avamisrežiimiga?
4. Võtmete sünkroonimine seadmete vahel. See on ilmselt koht, kus tulevad esile pilve ökosüsteemid, nagu iCloud ja Chrome'i paroolide sünkroonimine? SSH jaoks pole tuge, kuid saate rsynci või muuga ise valmistada?
Mis mul valesti läks?
Kui eelnev on üldjoontes õige, võiksin ette kujutada avatud virna ehitamist, mis teeb põhimõtteliselt sama, mida SSH, kasutades seadmete vahel liikumiseks failide hunnikut kaustas ~/.ssh ja rsync. See on "jalgratta" lähenemisviis, kus kõik liikuvad osad on nähtaval ja toimuvast on lihtne aru saada.
See ei ole lihtsalt inimeste peale visatud – see on FIDO2 värskendus, mis ise on standardi teine versioon. U2F oli FIDO1; see on CTAP 2.2 ([redigeeri: parandatud minu WAG-st 2.4, mis oli vale, aitäh Still Incorrect!]), osa FIDO2/WebAuthnist. Selles pole tegelikult midagi keerulist... nad on lõdvendanud Authenticatori nõudeid, et privaatvõtit saaks (peab olema...) turvaliselt kopeerida, ja lisanud mõned Javascripti funktsioonid elu hõlbustamiseks. Paroolita sisselogimised? FIDO2-ga alati võimalik olnud. See on asja kena osa – FIDO1 võiks olla ainult MFA. Kas lisate oma brauserisse privaatvõtme, mis on salvestatud TPM-i või turvaelementi? Alati olnud võimalik ja oli varem rakendatud Chrome'is, Firefoxis ja Safaris. Uus on see, et seda saab sünkroonida ja sellele pääseb juurde BT/QR rigmarooli kaudu. Varem nimetati seda (ja märgiti veebisaitidel) "platvormipõhisteks võtmeteks", mitte kaasaskantavatele võtmetele, mis olid riistvaraseadmed. Nüüd on see PassKeys.
Kuna pääsukoodisüsteemi kogu mõte näib olevat paroolidest vabanemine, lubage mul loetleda mõned paroolide eelised:
- need on piisavalt lihtsad, et aru saada kõigile, kes on vaimselt võimelised elektroonilist seadet kasutama
- neid on lihtne meeles pidada, kui vähegi pingutate ja regulaarselt kasutate
- need töötavad kõikides operatsioonisüsteemides juba karbist välja
- nad ei vaja Interneti-juurdepääsu (mõned süsteemid on mõjuval põhjusel võrguühenduseta)
- need ei nõua ühegi kolmanda osapoole koostööd
- nad ei nõua nutitelefoni või muu vidina olemasolu
- nad ei vaja Bluetoothi, WiFi-d, kaameraid ega akusid
- neid saab hädaolukorras hoiustada ilma elektrita
- neid saab hõlpsasti teisele inimesele edastada ilma ühtegi seadet kasutamata
- kui te ei ole puudega ega kasuta nutitelefoni, võtab parooliga autentimine aega vaid mõne sekundi
Teie punktid 1, 2 ja 10 on lihtsalt valed – küsige kõigilt, kes tehnilise toega töötavad, kui tihti nad peavad parooli lähtestama, kuna keegi unustasid parooli, jätsid suurtäheluku klahvi sisse (või asetasid oma käe valesti klaviatuuril) või näppusid seda lukustumiseks piisavalt palju välja. Jah, jah, ma tean, et te isiklikult lööte selle alati suurepäraselt välja, kuid uskuge mind, kõigil, kes saavad kasutajatoe kõnesid, on … vähem optimistlik … vaade inimkonnale. Lisan ka, et toetan paljusid pimedaid kasutajaid ja parooli sisestamist massiliselt See on nende jaoks nõme, sest paljudel saitidel on keerukuse nõuded, mis on ekraanilugeja kasutajatele rasked, ja kui te pole vilunud puutemasinate kirjutaja, ei ole see hea öelda. See on nišš, kuid seda peavad ka paljud autentimissüsteeme loovad inimesed seadusega hästi toetama ja see on üks põhjusi, miks mind huvitab. tehnoloogia alates "Kas soovite oma pääsukoodiga sisse logida?" "Jah" on paljude jaoks vähemalt ühe suurusjärgu võrra kiirem ja lihtsam kui mis tahes parool + MFA kasutajad.
Punkt nr 3 kehtib WebAuthni MFA kohta, kuid alati paroolid – midagi nagu Yubikey töötab kõikjal, kus teil on USB/NFC, kuid võite peavad määrama PIN-koodi või kasutama nende biomeetrilisi seeria võtmeid pääsukoodi juurutajatele, nagu Google.com, mis nõuavad enamat kui lihtsat puudutage.
Punktid 5, 6, 7 ja 8 kehtivad ka kõigi WebAuthni vormide puhul – nii MFA kui ka pääsukoodide kohta. Punkt 4 on tõsi, välja arvatud juhul, kui registreerite seadme esimest korda olemasoleva võtme sünkroonimisel. Pärast võtmete esmakordset sünkroonimist ei vaja te võrguühendust. Kui te ei soovi sünkroonida, võite osta ka paar Yubikey biomeetrilist võtit, mis töötavad jällegi võrguühenduseta kõikjal, kus teil on USB või NFC.
Nii jääb number 9, mis on halb tava ja mida tuleks võimalusel vältida. Kaasaegsetes süsteemides on sellised asjad nagu rollipõhine autentimine, kus inimesed ei jaga kunagi paroole, vaid mitmel inimesel on lubatud teatud roll võtta, või selliseid asju nagu pärand või delegeeritud kontod, kus te ei jaga enam kunagi paroole, vaid annate ühele või, mis veelgi parem, mitmele inimesele koos võimaluse näiteks parooli lähtestada või üle kontrolli saada. teie failid.
See, et miski on uus ja te pole õppinud, kuidas see töötab, ei tähenda, et see on halb või seda tuleks vältida. Pääsmed on enamikule meist suur muutus – välja arvatud .gov, kuna PIV/CAC ulatub seal tagasi eelmisesse sajandisse, isegi kui vähesed muud kohad võtsid selle vastu – kuid lisaks turvaeelistele on neil mitmeid kasutusmugavuse täiustusi ja väljaehitamiseks on selge tee mõned puuduvad osad (nt ma tõesti tahan Apple'i/Google'i pääsukoodi Yubikey'ga sünkroonida, et saaksin selle kohe oma seifi panna juhtum).
Ilmselgelt peab see olema saadaval mitte ainult sünkroonimise, vaid ka autentimise ajal, kuna seda kasutatakse selleks. Ja see peab olema saadaval ka esmase registreerimise ajal.Ja seda ma üritan teile selgitada: olemasoleva seadmega oleks lihtne autentida ja seda kasutada seade, et lisada teine avalik võti, mis genereeritakse teises uues seadmes ja saadetakse vanale seadmele tähendab. Näiteks saan luua oma lauaarvutis uue salajase võtme / avaliku võtme võtmepaari, saata avaliku võtme oma sülearvutisse, logida sisse oma sülearvutiga ja lisada töölaua avaliku võtme. Ma teen SSH-ga pidevalt sarnaseid asju.
Siin pole tehnilisi takistusi. Kui see pole pääsuvõtmetega võimalik, on see valikuline.
Privaatvõti pole ligipääsetav. Miks mitte seda otsida, selle asemel, et valet ikka ja jälle korrata.
Ja nüüd olen rohkem segaduses kui enne alustamist – edastasin artikli oma CS-i erialale/parema poole, et asju selgitada, kuid sellest ei pruugi piisata.
Paroolid on kergesti seeditavad. 2FA on lihtne seletada. Pääsmed on omamoodi mõttekad, kuid just siis, kui arvan, et saan selle kätte, loen järgmist lõiku ja eksin rohkem.
Taevas aidaku mu õdesid-vendi ja vanemaid.
Aitäh, et seda ütlesid. Dani ja teiste vastused (näiteks @Wbdkasutaja reklaamitud kommentaar, mis tsiteerib minu oma) põhineb kommentaari põhimõttelisel valesti lugemisel.Kas teate, et nii 1Password kui ka Bitwarden töötavad paroolitoe kallal, eks?Ma ei taha usaldada oma OS-i pakkujat (minu puhul Apple'i nii mobiil- kui ka lauaarvutite jaoks) pääsuvõtmetega ja vastuseks on korduvalt "Aga sina JUBA USKALDAGE OMA parooliga Google'i." Jah, hästi, ma sisestan BitWardenist/KeePassist pika juhusliku parooli, ühendan oma Yubikey ja vajutan nuppu nuppu. See ei sõltu kunagi minu OS-i pakkujast.
Ja kindlasti on praegu võimalus pääsuvõtmeid mitte kasutada ja parooli kasutada nagu varem, kuid kogu tehniline hüperong on teel "NO MORE PASSWORDS PASSKEYS FOR KÕIK” jaama ja kui ma ütlen: „aga oodake, kui ma kaotan juurdepääsu kõikidele teistele kontodele, kuna mu OS-i pakkuja otsustab, et ma talle ei meeldi, siis mis juhtub”, kutsutakse mind trolliks ja valesti informeeritud. Samuti on nii palju äärmuslikke juhtumeid, et ma mõtlen, kus see ei tööta, ja selle asemel, et öelda "jah, need on kehtivad probleemid, mis puudutavad ainult pääsukoodiga tulevikus, mida me tahame," on see pidev kriitika kõigi kohta küsitlemine.
1Password on jõudnud nii kaugele, et öelda, et paroolid on "autentimise tulevik": https://www.future.1password.com/passkeys/
