Ei ja ehdottomasti ei.Artikkelin konteksti on kirjautuminen Google-tunnistetietoihin salasanalla. "Big 3" ja myös useat muut tarjoavat avainten turvatalletuksen ja palautuksen, mutta sivustot käyttävät salasanoja suoraan - jos käytät salasana Best Buyn kanssa, he eivät tarkista esimerkiksi Googlelta (ellet käytä "sosiaalisia kirjautumisia" kurssi). Tässä yhteydessä tilisi pyyhkiminen Googlella tarkoittaa vain sitä, että jos puhelimesi kuolee, asiat voivat mennä pilalle. Ne ovat pohjimmiltaan yubikey, jossa on palautusvaihtoehto - joten hieman vähemmän turvallisia, koska yksityinen avain on olemassa escrowissa, joka ratkaisee 50% yubkeyyn ongelmasta (hintalappu ja sovellustuki ovat loput kipu).Jokainen järjestelmä, joka näyttää pystyvän tallentamaan salasanat, näyttää vaativan, että luotat kolmeen suureen (Apple, Google, Microsoft), jotka eivät poista tiliäsi ilman varoitusta. Jos Apple poistaa iCloud-tilini ja avainnipuni, menetän pääsyn kaikkeen, mikä on suojattu salasanalla. Vertaa sitä siihen, mitä tapahtuu juuri nyt, jos tuhoan pää Yubikeyni: menen pankkiini, näytä heille kaksi Käytä fyysistä avaintani Yubikey-varmuuskopion hakemiseen kassakaapista ja jatka elämää.
En voi mitenkään käyttää tätä mahdollisuutta, ennen kuin siitä aiheutuu vakavia ja pysyviä seurauksia yksipuolisesti toimiville infrastruktuuripalveluja tarjoaville yrityksille. KeyPass/BitWarden voi luoda mielivaltaisen vahvoja salasanoja, voit ostaa niin monta Webauthn-avaimia kuin haluat useilta toimittajilta. Tunnuslukujen avulla olet yhden (automaattisen, ei neuvoteltavissa olevan) poiston päässä, jottei sinut lukittu pysyvästi pois koko online-elämästäsi.
Jos haluat antaa tuon vallan yritykselle, ole vieraanani. Odotan, kunnes sitä kohdellaan kuin vesi- tai sähköyhtiöt, jotka katkaisivat palvelun ilman näkyvää syytä: suuret ja loukkaavat sakot.
En ole varma, ymmärränkö, kuinka työnkulku vaatiiJos kopioit ja liität salasanoja (tai kirjoitat niitä muistista, mikä aiheuttaa muita suuria ongelmia), olet alttiina tietojenkalastelulle. Joten salasanat olisivat suuri tietoturvaparannus sinulle.
nappaa puhelintasi,
napauttamalla sovellusta,
ottamalla kuvan näytöstäsi ja
napauta mitä tehdä niillä tiedoilla......on "helpompi" toimenpide kuin salasanan syöttäminen muistista tai automaattinen täydennys salasanan hallinnan avulla tai kopiointi liittäminen salasanan hallinnan avulla.
Muita etuja voi olla, mutta se ei suinkaan ole helpompaa.
Olen rekisteröinyt käyttämäni YubiKeys-avaimet uudelleen Google-tiliä varten 2FA-salasanateiksi. 2FA: lla todennus oli Googlen salasana + FIDO U2F -laitteistoavain. Tunnusavaimilla se on FIDO2-laitteistoavain + avaimen FIDO2-PIN.
Yksikään "kolmesta suuresta" teknologiayrityksestä ei ole salasanojesi vartija. Tunnuslukuja säilytetään laitteessa. Jos et halua synkronoida salasanaasi jonkin palvelun kautta, aseta sama salasana useisiin laitteisiin. Sinulla on vain yksi laite Ja nyt se on poissa? Tämä on sama ongelma kuin salasananhallinnassa ilman synkronointia. Lopulta sinun on todennettava uudelleen eri palveluilla, kuten tekisit missä tahansa vastaavassa lukitustilanteessa. Useimmat ihmiset synkronoivat salasanansa samalla tavalla kuin salasanansa. Ja ei, jos Google sulkee tilisi, se ei voi poistaa käytöstä laitteillasi jo olevia avaimia. Menetät heidän synkronointipalvelunsa, mutta voit sitten alkaa käyttää toista sen sijaan.
Tunnuslukuja ei voi tietojenkalastelulla, niitä ei voi unohtaa, niitä ei voida saada tietovuotojen kautta, ja ne ovat luonnostaan ainutlaatuisia ja turvallisia. Ne ovat todella suuria parannuksia. Niitä on myös helpompi käyttää, koska kun ne ovat laitteellasi, todennus on yksinkertaista.
Käytän tähän Yubikeyä, en Androidia tai iOS: a. Tämä tarkoittaa, että en ole velvollinen Googlelle/Applelle voidakseni hallita avaintani, eikä minun tarvitse huolehtia tilini vaarantumisesta ja siten salasanan vuotamisesta.
Vertailun vuoksi Google-tilin kirjautumiseen olen myös käyttänyt tätä Yubikeyä päästäkseni Microsoft-tiliäni jo jonkin aikaa.
Microsoft toimii kaikilla tärkeimmillä työpöytäselaimilla (paitsi MacOS: n Safarissa, kun viimeksi tarkistin). Google näyttää tarvitsevan Chromen.
Microsoftilla on käyttäjätunnuskentän alla mahdollisuus kirjautua eri tavalla. Valitse sitten Windows Hello tai Suojausavain, aseta avain USB-porttiin, kirjoita PIN-koodi ja paina yläreunassa olevaa painiketta. Se kysyy sitten, mikä tili (jos sinulla on useita tilejä tallennettu), ja olet kirjautunut sisään suoraan. Sinun ei tarvitse edes muistaa käyttäjätunnustasi/sähköpostiosoitettasi.
Google vaatii sinua syöttämään käyttäjänimesi/sähköpostiosoitteesi, minkä jälkeen se pyytää lisäämään avaimen. Sinun on sitten syötettävä PIN-koodi, ja se kirjaa sinut sisään.
Käytettävyyden kannalta Microsoft on parempi siinä mielessä, että sinun ei tarvitse muistaa sähköpostiasi. Arsin yleisölle tämä on todennäköisesti negatiivinen asia. Mutta jos tuet 70-vuotiaita isovanhempia, mitä vähemmän asioita heidän tarvitsee muistaa, sen parempi. En ole vahvistanut, mutta MS-järjestelmän haittapuoli on, että Yubikey tukee vain tiettyä määrää tallennettuja valtuustietoja, kun taas Tutkimukseni perusteella Googlen menetelmässä Yubikey luo yksityisen avaimen nimenomaan kyseiselle sivustolle. sisäiseen yksityiseen avaimeen, PIN-koodiisi ja joitain sivuston ja selaimen antamia tietoja aina, kun sen on suoritettava todennus. Molemmat näyttävät käyttävän sisäistä yksityistä avainta, joka on ominaista Yubikeylle, PIN-koodillesi, joitain selaimen toimittamia tietoja verkkotunnuksesta ja tiettyjä vierailemastasi sivustosta saadut tiedot kättelyn suorittamiseksi, mikä estää MITM-hyökkäysten onnistumisen, koska ne eivät voi huijata kaikkea tiedot.
En ole varma, mitä Firefoxista puuttuu Googlen ja Microsoftin toteutuksesta, miksi se ei tue uutta salasanajärjestelmää. Vai onko se vain, että Google ei pyydä salasanaa, koska Firefox ei ole ottanut käyttöön Bluetooth-osiota, jossa on sivuvaikutus siitä, ettei Yubikey-/laitteistotunnuksia tueta, koska Google-kirjautuminen ei pyydä Firefoxia sivusto.
--
Jos kadotat salasanan, mutta sinulla ei ole vara-salasanaa, suojauksen varaavaimena on kirjautua sisään samalla tavalla kuin kirjauduit sisään ennen salasanaa. Joten yleensä salasana + OTP. Vaikka tämä tarkoittaa, että sivusto tukee vähemmän turvallista todennusjärjestelmää, etuna on, että et ole sitä käytät salasanaa säännöllisesti, joten on vähemmän todennäköistä, että se vuotaa tai sieppaa tietojenkalastelu/MITM hyökkäys.
--
Turvallisuusnäkökulmasta katsottuna voit tarkastella salasanoja salasanalompakona, jossa on rajoitettu sivustotuki. Jos käytät Yubikeyä, lompakko on taskussasi oleva laite, joka on suojattu PIN-koodilla. Jos käytät Android/iOS-salasanaa, lompakko synkronoidaan pilvijärjestelmässä ja suojataan tilisi salasanalla + biometrisilla tiedoilla. Jos kadotat laitteen, se muistuttaa salasanatiedoston menettämistä.
Kun he ovat saaneet selville kaikki mutkat, tämä voi muuttaa monia asioita turvallisuusympäristössä, koska turvallisuustietoiset ihmiset tekevät sen. sinun ei tarvitse enää vastustaa suojatun salasanan vaatimuksia tai selvittää, kuinka salasanalompakkoa käytetään oikein ja kuinka käyttää/synkronoida sitä useiden kesken laitteet. Pääsääntöisesti salasanalompakoksi muodostuessaan salasanat luovat todella turvallisia, todella satunnaisia salasanoja jokaiselle sivustolle, jolla niitä käytetään, ja ne on rakennettu tietojenkalasteluturvallisuutta ajatellen.
Miten tämä voi saada miinusäänestyksen? Se on 100% totta.
Sen WHO, ei mitä etusivulla. Etusivulla ei ole rakkautta Googlea kohtaan, joten heidän tukensa on kääntänyt yleisön vastaan alan standardi.
Se on typerää.
Jälleen, lukijat, älkää kiinnittäkö näihin kommentoijiin mitään huomiota.
Salasanan käyttämisen ei pitäisi olla vastaus johonkin, joka on tarkoitettu salasanojen korvaamiseen.
Tämä on jotenkin naurettavaa. Miten muuten tunnistautuisit olemassa olevaan palveluun? päivittääksesi todennusmekanismisi? Lukuun ottamatta jo keskusteltua QR-ja Bluetooth-menetelmää. Ja vaikka palvelinpuolen hyökkäyspinta ei välttämättä vähennä salasanan sisäänkirjautumisen sallimista sen sijaan, että se vaadittaisiin merkittävästi vähentää hyökkäyspinnan asiakaspuolen, koska olet tiukasti mukana avainten vaihdossa, jonka käyttöjärjestelmätason todennus mahdollistaa. Ja se on voitto kaikille.
Jos olet siinä pisteessä, että et voi luottaa mihinkään käyttöjärjestelmäsi suojausominaisuuksiin, voit yhtä hyvin heittää tietokonelaitteesi pois ja lähteä lähetykseen trooppiselle saarelle tai vastaavalle. klo jokin kohta Jollekin ohjelmistolle on annettava jonkinlainen luottamus.
Luulen, että tässä on paljon hämmennystä, koska kokonainen tekniikkapino on kaadettu meille ja esitetty fait accompli. Anna minun tietämättömänä yrittää purkaa se analogisesti sen kanssa, mitä ymmärrän: SSH-avainparit. Kehotan muita poimimaan reikiä siinä, mitä teen väärin.1. Julkiset/yksityiset todennusavaimet. Tämä toimii suunnilleen samalla tavalla kuin SSH. Verkkosivusto tietää vain julkisen avaimesi, ja allekirjoitat viestit todistaaksesi, että sinulla on yksityinen avaimesi.
2. Tietojenkalasteluturva. Avaimet ovat sivustokohtaisia, joten tietojenkalastelusivusto saa eri avaimen. SSH: lla on isäntäavaimet tähän, oletan, että keypass käyttää jotain tekemistä TLS-isäntäavaimien kanssa? Käyttääkö selaimesi sitä valitaksesi mitä näppäintä haluat käyttää? Vai vain DNS-nimellä?
3. Keinot avainten lukituksen avaamiseen sen osoittamiseksi, että oikea käyttäjä käyttää niitä. SSH: ssa on salalauseita, oletan, että tässä tulee biometrinen / Bluetooth-juttu? SSH voi myös avata avainten lukituksen älykorteilla, joten oletan, että biometriset tiedot ovat vähän kuin toinen lukituksen avaustila?
4. Avaimien synkronointi laitteiden välillä. Tässä ilmeisesti tulevat esiin pilviekosysteemit, kuten iCloudin ja Chromen salasanan synkronointi? SSH: lle ei ole tukea, mutta voit valmistaa omasi rsyncillä tai millä tahansa?
Mitä tein väärin?
Jos yllä oleva on pääpiirteissään oikein, voisin kuvitella rakentavani avoimen pinon, joka toimii periaatteessa samoin kuin SSH, käyttämällä tiedostopinoa ~/.ssh- ja rsync-muodossa laitteiden välillä liikkumiseen. Tämä on "polkupyörä" lähestymistapa, jossa kaikki liikkuvat osat ovat esillä ja helppo ymmärtää, mitä tapahtuu.
Se ei koske vain ihmisiä - tämä on päivitys FIDO2:een, joka on itse standardin toinen versio. U2F oli FIDO1; tämä on CTAP 2.2 ([edit: korjattu WAG: stani 2.4, joka oli väärä, kiitos Still Incorrect!]), osa FIDO2/WebAuthn. Tässä ei todellakaan ole mitään monimutkaista... he ovat keventäneet Authenticator-vaatimuksia, jotta yksityinen avain voidaan (täytyy...) kopioida turvallisesti, ja lisänneet joitain Javascript-ominaisuuksia elämän helpottamiseksi. Salasanattomat kirjautumiset? FIDO2:lla ollut aina mahdollista. Se on siisti osa asiaa - FIDO1 voisi olla vain MFA. Lisätäänkö TPM- tai suojauselementtiin tallennettu yksityinen avain selaimeesi? Aina ollut mahdollista ja oli aiemmin toteutettu Chromessa, Firefoxissa ja Safarissa. Uutta on, että se voidaan synkronoida ja käyttää BT/QR-riippuvuuden kautta. Aiemmin siihen viitattiin (ja merkittiin web-sivustoille) "alustakohtaisina avaimina" toisin kuin kannettavissa, jotka olivat laitteistolaitteita. Nyt se on PassKeys.
Koska koko salasanajärjestelmän tarkoitus näyttää olevan salasanoista eroon pääseminen, haluan luetella joitain salasanojen etuja:
- ne ovat riittävän yksinkertaisia kaikille, jotka kykenevät käyttämään elektronisia laitteita
- ne on helppo muistaa, jos yrität ollenkaan ja käytät niitä säännöllisesti
- ne toimivat kaikissa käyttöjärjestelmissä heti valmiina
- ne eivät vaadi Internet-yhteyttä (jotkut järjestelmät ovat offline-tilassa hyvästä syystä)
- ne eivät vaadi minkään kolmannen osapuolen yhteistyötä
- ne eivät vaadi älypuhelimen tai muun vempaimen läsnäoloa
- ne eivät vaadi Bluetoothia, WiFiä, kameroita tai akkuja
- ne voidaan - hätätilanteessa - varastoida ilman sähkön tarvetta
- ne voidaan helposti siirtää toiselle henkilölle ilman minkään laitteen käyttöä
- jos et ole vammainen etkä käytä älypuhelinta, salasanalla todennus kestää vain muutaman sekunnin
Pistesi 1, 2 ja 10 ovat vain vääriä – kysy kaikilta teknisen tuen parissa työskenteleviltä, kuinka usein heidän on nollattava salasana, koska joku unohtivat salasanansa, jättivät caps lock -näppäimen päälle (tai laittoivat kätensä väärin näppäimistölle) tai näppäilivät sitä sormella tarpeeksi monta kertaa lukittuakseen ulos. Joo, joo, tiedän, että sinä henkilökohtaisesti suoritat sen aina täydellisesti, mutta luota minuun, jokaisella, joka saa helpdesk-puheluita, on... vähemmän optimistinen... näkemys ihmisyydestä. Lisään myös, että tuen monia sokeita käyttäjiä ja salasanan syöttämistä massiivisesti ikävää heille, koska monilla sivustoilla on monimutkaisuusvaatimuksia, jotka ovat vaikeita näytönlukuohjelman käyttäjille, ja jos et ole taitava kosketuskonekirjoittaja, sen ääneen sanominen ei ole hienoa. Se on markkinarako, mutta sitä monien todennusjärjestelmiä rakentavien ihmisten on myös lain mukaan tuettava hyvin, ja se on yksi syistä, miksi olen kiinnostunut tekniikkaa, koska "Haluatko kirjautua sisään salasanallasi?" "Kyllä" on ainakin yhden suuruusluokan nopeampi ja helpompi kuin mikään salasana + MFA monille niille käyttäjiä.
Kohta 3 pätee WebAuthn MFA: han, mutta aina salasanat – Yubikey kaltainen toimii missä tahansa, jossa on USB/NFC, mutta saatat täytyy asettaa PIN-koodi tai käyttää niiden biometristen sarjan avaimia salasanan käyttöönottajille, kuten Google.com, jotka vaativat muutakin kuin yksinkertaisen napauta.
Pisteet 5, 6, 7 ja 8 koskevat myös kaikkia WebAuthn-muotoja – sekä MFA: ta että salasanaa. Kohta 4 on totta, paitsi ensimmäistä kertaa, kun rekisteröit laitteen, kun synkronoit olemassa olevaa avainta. Kun olet synkronoinut avaimesi ensimmäisen kerran, et tarvitse verkkoyhteyttä. Jos et halua synkronoida, voit myös ostaa pari Yubikey-biometristä avainta, jotka toimivat jälleen täysin offline-tilassa missä tahansa, jossa on USB tai NFC.
Tästä jää numero 9, mikä on huono käytäntö ja jota tulisi välttää, jos suinkin mahdollista. Nykyaikaisissa järjestelmissä on asioita, kuten roolipohjainen todennus, jossa ihmiset eivät koskaan jaa salasanoja, mutta useat ihmiset voivat ottaa tietyn roolin, tai asioita, kuten vanha tai delegoitu. tilit, joilla et enää koskaan jaa salasanoja, vaan annat yhdelle tai, mikä vielä parempi, useille ihmisille yhdessä mahdollisuuden tehdä jotain, kuten nollata salasanasi tai hallita tiedostosi.
Se, että jokin on uutta, etkä ole oppinut sen toimintaa, ei tarkoita, että se olisi huono tai vältettävä. Salasanat ovat suuri muutos useimmille meistä – .gov paitsi, koska PIV/CAC juontaa juurensa edelliselle vuosisadalle, vaikka harvassa muussa paikassa ottivat sen käyttöön – mutta niissä on useita käytettävyyden parannuksia tietoturvaetujen lisäksi, ja niiden rakentamiseen on selkeä tie jotkin puuttuvat osat (esim. haluan todellakin synkronoida Applen/Googlen salasanan Yubikeyyn, jotta voisin pudottaa sen kassakaappiini tapaus).
Ilmeisesti sen on oltava käytettävissä ei vain synkronoinnin, vaan myös todennuksen aikana, koska sitä käytetään siihen. Ja sen on oltava saatavilla myös ensimmäisen rekisteröinnin yhteydessä.Ja sitä yritän selittää sinulle: Olisi helppoa todentaa olemassa olevalla laitteella ja käyttää sitä laite lisäämään toisen julkisen avaimen, joka luodaan toisella uudella laitteella ja jonka joku lähettää vanhaan laitteeseen tarkoittaa. Voisin esimerkiksi luoda uuden salaisen avaimen / julkisen avaimen avainparin pöytäkoneelleni, lähettää julkisen avaimen kannettavaan tietokoneeseeni, kirjautua sisään kannettavallani ja lisätä työpöydän julkisen avaimen. Teen samanlaisia asioita SSH: n kanssa koko ajan.
Tässä ei ole teknistä estettä. Jos se ei ole mahdollista salasanoilla, se on oma valinta.
Yksityinen avain ei ole käytettävissä. Mikset etsi sitä sen sijaan, että toistaisi valhetta yhä uudelleen.
Ja nyt olen enemmän hämmentynyt kuin ennen aloittamistani – olen lähettänyt artikkelin edelleen CS-aineeseeni/paremmalle puolikkaalleni selittämään asioita, mutta se ei ehkä riitä.
Salasanat sulautuvat helposti. 2FA on helppo selittää. Salasanat ovat tavallaan järkeviä, mutta juuri kun luulen saavani sen, luen seuraavan kappaleen ja eksyn enemmän.
Taivas auttakoon sisaruksiani ja vanhempiani.
Kiitos kun sanoit sen. Danin ja muiden vastaukset (esim. @Wbd's ylennetty kommentti, joka lainaa omaani) perustuu kommentin perustavanlaatuiseen väärinymmärrykseen.Tiedätkö, että sekä 1Password että Bitwarden työskentelevät salasanan tuen parissa, eikö niin?En halua luottaa käyttöjärjestelmän toimittajaani (Apple minun tapauksessani sekä mobiili- että pöytätietokoneisiin) pääsyavaimiin ja vastaus kuuluu toistuvasti "Mutta sinä LUOTA JO SALASANASI GOoGLukseen." Kyllä, hyvä, syötän pitkän satunnaisen salasanan BitWardenista/KeePassista, liitän Yubikeyni ja painan -painiketta. Se ei ole missään vaiheessa riippuvainen käyttöjärjestelmän tarjoajastani.
Ja toki, juuri nyt on mahdollisuus olla käyttämättä salasanoja ja käyttää salasanaa kuten ennenkin, mutta koko tekninen hype-juna on matkalla kohti "NO MORE PASSWORDS PASSKEYS FOR KAIKKI" -asema ja jos sanon "mutta odota, jos minut lukitaan pois kaikista muista tileistä, koska käyttöjärjestelmän toimittajani päättää, että se ei pidä minusta, mitä tapahtuu", minua kutsutaan peikkoksi ja väärin tiedotettu. On myös niin monia reunatapauksia, joissa voin ajatella, missä tämä ei toimi, ja sen sijaan että sanoisin "joo, ne ovat päteviä huolenaiheita vain salasanaa käyttävässä tulevaisuudessa, jonka haluamme", on tämä jatkuva kritiikki kaikista kyseenalaistaa.
1Password on mennyt niin pitkälle, että se on sanonut, että salasanat ovat "todennuksen tulevaisuus": https://www.future.1password.com/passkeys/
