Les clés d'accès Google sont une évidence. Vous les avez allumés, n'est-ce pas ?

Non et absolument pas.

Chaque système qui semble capable de stocker des mots de passe semble vous obliger à faire confiance aux trois grands (Apple, Google, Microsoft) pour ne pas supprimer votre compte sans avertissement. Dans mon cas, si Apple supprime mon compte iCloud et le trousseau, je perds l'accès à tout ce qui est sécurisé par un mot de passe. Comparez cela à ce qui se passe actuellement, si je détruis ma Yubikey principale: je vais à ma banque, je leur montre deux pièces d'identité, utilisez ma clé physique pour récupérer la Yubikey de sauvegarde dans le coffre-fort et continuez avec vie.

Tant qu’il n’y aura pas de conséquences graves et durables pour les entreprises qui fournissent des services d’infrastructure agissant unilatéralement, je n’utiliserai pas cela. KeyPass/BitWarden peut générer des mots de passe arbitrairement forts, vous pouvez acheter autant de clés Webauthn que vous le souhaitez auprès de divers fournisseurs. Avec les mots de passe, vous êtes à une suppression (automatisée et non négociable) d'être exclu définitivement de toute votre vie en ligne.

Si vous souhaitez donner ce pouvoir à une entreprise, soyez mon invité. J'attendrai que cela soit traité comme si les compagnies d'eau ou d'électricité coupaient le service sans raison apparente: des amendes importantes et douloureuses.

Le contexte de l'article est la connexion à un identifiant Google avec un mot de passe. Les « 3 grands » et plusieurs autres proposent le dépôt et la récupération des clés, mais les sites utilisent directement les clés d'accès - si vous utilisez un mot de passe avec Best Buy, ils ne vérifieront pas auprès de Google par exemple (sauf si vous utilisez des « connexions sociales » de cours). Dans ce contexte, Google efface votre compte signifie simplement que si votre téléphone tombe en panne, les choses pourraient devenir risquées. Il s'agit essentiellement d'une yubikey avec une option de récupération - donc légèrement moins sécurisée car la clé privée existe en séquestre qui résout 50 % du problème avec les yubikeys (le prix et le support de l'application étant le reste douleur).
Je ne suis pas sûr de comprendre comment un flux de travail qui nécessite
en prenant ton téléphone,
accéder à une application,
prendre une photo de votre écran, et
en appuyant sur quoi faire avec ces informations...

... est une opération "plus simple" que la saisie d'un mot de passe depuis la mémoire, la saisie semi-automatique avec un gestionnaire de mots de passe, ou le copier-coller avec un gestionnaire de mots de passe.

Il peut y avoir d’autres avantages, mais ce n’est en aucun cas plus simple.

Si vous copiez-collez des mots de passe (ou si vous les saisissez de mémoire, ce qui pose d’autres problèmes à grande échelle), vous êtes vulnérable au phishing. Les mots de passe constitueraient donc une grande amélioration en matière de sécurité pour vous.
Vous pouvez créer des mots de passe avec des clés de sécurité matérielles FIDO2 comme YubiKey. Aucune raison de détester les mots de passe.

Pour mon compte Google, j'ai réenregistré mes YubiKeys que j'utilisais comme 2FA comme mots de passe. Avec 2FA, l'authentification était le mot de passe Google + la clé matérielle FIDO U2F. Avec les clés d'accès, il s'agit de la clé matérielle FIDO2 + du code PIN FIDO2 de la clé.

Soupir. On y va encore une fois. Le sujet des mots de passe fait ressortir le pire dans les commentaires ici et dans HN. Beaucoup de paranoïa et propagation générale du FUD.

Aucune des « trois grandes » entreprises technologiques ne sera la gardienne de vos mots de passe. Les clés d'accès sont conservées sur un appareil. Si vous ne souhaitez pas synchroniser votre mot de passe via une sorte de service, placez le même mot de passe sur plusieurs appareils. Vous n'avez qu'un seul appareil. Et maintenant, il n'est plus disponible? C'est le même problème que les gestionnaires de mots de passe sans synchronisation. En fin de compte, vous devrez vous réauthentifier auprès de différents services, comme vous le feriez dans tout cas similaire de verrouillage. La plupart des gens synchroniseront leurs mots de passe comme ils le font pour leurs mots de passe. Et non, si Google ferme votre compte, il ne peut pas désactiver les mots de passe que vous avez déjà sur vos appareils. Vous perdrez leur service de synchronisation, mais vous pourrez alors commencer à en utiliser un autre à la place.

Les clés d’accès ne peuvent pas être hameçonnées, ni oubliées, ni obtenues via des fuites de données, et sont intrinsèquement uniques et sécurisées. Ce sont de très grandes améliorations. Ils sont également plus faciles à utiliser car une fois qu’ils sont sur votre appareil, l’authentification est simple.

Ainsi, après avoir joué avec l'implémentation des mots de passe par Google pendant quelques jours, il semble s'être légèrement amélioré par rapport à la première fois que je l'ai configuré le jour de la sortie.

J'utilise un Yubikey pour cela, pas Android ou iOS. Cela signifie que je ne suis pas redevable à Google/Apple de pouvoir gérer ma clé, et je n'ai pas non plus à craindre que mon compte soit compromis et que le mot de passe soit divulgué.

À titre de comparaison avec la connexion au compte Google, j'utilise également cette Yubikey pour accéder à mon compte Microsoft depuis un certain temps maintenant.

Microsoft fonctionne sur tous les principaux navigateurs de bureau (sauf Safari sur MacOS la dernière fois que j'ai vérifié). Google semble avoir besoin de Chrome.

Microsoft propose une option sous le champ du nom d'utilisateur pour vous connecter d'une manière différente, puis vous sélectionnez Windows Hello ou la clé de sécurité, insérez la clé dans un port USB, entrez le code PIN et appuyez sur le bouton en haut. Il vous demandera ensuite quel compte (si vous avez plusieurs comptes enregistrés) et vous êtes directement connecté. Vous n'avez même pas besoin de vous souvenir de votre nom d'utilisateur/adresse e-mail.

Google vous demande de saisir votre nom d'utilisateur/e-mail, puis il vous demande d'insérer la clé. Vous devez ensuite saisir le code PIN et il vous connecte.

Du point de vue de la convivialité, Microsoft est meilleur dans la mesure où vous n'avez pas besoin de vous souvenir de votre courrier électronique. Pour le public d’Ars, c’est probablement un point négatif. Mais si vous soutenez des grands-parents de 70 ans, moins ils doivent se souvenir de choses, mieux c'est. Je n'ai pas confirmé, mais l'inconvénient du système MS est que le Yubikey ne prend en charge qu'un nombre spécifique d'informations d'identification stockées, alors que d'après ce que j'ai pu voir dans mes recherches, la méthode Google demande essentiellement à Yubikey de générer une clé privée spécifiquement basée sur ce site. sur une clé privée interne, votre code PIN et certaines informations fournies par le site et le navigateur, à chaque fois que celui-ci a besoin d'exécuter le authentification. Les deux semblent utiliser une clé privée interne spécifique à la Yubikey, votre code PIN, certaines informations sur le domaine fournies par le navigateur et des informations spécifiques sur le domaine. informations fournies par le site que vous visitez pour effectuer la négociation, ce qui empêche les attaques MITM de réussir car elles ne peuvent pas usurper tout cela données.

Je ne suis pas sûr de ce qui manque dans Firefox pour l'implémentation de Google par rapport à celle de Microsoft, pourquoi il ne prend pas en charge le nouveau système de mot de passe. Ou est-ce simplement que Google ne demande pas le mot de passe parce que Firefox n'a pas implémenté la partie Bluetooth, qui a le effet secondaire de ne pas prendre en charge les Yubikeys/jetons matériels car Firefox n'est pas demandé par la connexion Google site.

--

Si vous perdez la clé d'accès et n'avez pas de clé d'accès de secours, la solution de sécurité consiste à vous connecter de la même manière que vous vous connectiez avant l'utilisation de la clé d'accès. Donc généralement mot de passe + OTP. Bien que cela signifie que le site prend en charge un système d'authentification moins sécurisé, l'un des avantages est que vous n'êtes pas utiliser le mot de passe régulièrement, il est donc moins susceptible d'être divulgué ou intercepté par un phishing/MITM attaque.

--

Du point de vue de la sécurité, vous pouvez considérer les clés d'accès comme un portefeuille de mots de passe avec une prise en charge limitée du site. Si vous utilisez une Yubikey, le portefeuille est un périphérique matériel dans votre poche, protégé par un code PIN. Si vous utilisez le mot de passe Android/iOS, le portefeuille est synchronisé dans un système cloud et protégé par le mot de passe de votre compte + la biométrie. Si vous perdez l'appareil, cela équivaut à perdre le fichier de mots de passe.

Une fois qu’ils auront compris tous les problèmes, cela pourrait potentiellement changer beaucoup de choses dans le paysage de la sécurité, car les individus non soucieux de la sécurité le feront. ne résisterez plus aux exigences de mot de passe sécurisé ou n'aurez plus à comprendre comment utiliser correctement un portefeuille de mots de passe et comment y accéder/le synchroniser sur plusieurs dispositifs. En devenant essentiellement un portefeuille de mots de passe, les mots de passe génèrent des mots de passe vraiment sécurisés et vraiment aléatoires pour chaque site sur lequel ils sont utilisés, et sont conçus dans un souci de résistance au phishing.

Comment cela peut-il être rejeté? C'est 100% vrai.

C'est OMS, pas quoi en première page. Pas d'amour pour Google en première page, à tel point que leur soutien a retourné la foule contre une norme de l'industrie.

C'est idiot.

Encore une fois, lecteurs, ne prêtez aucune attention à ces commentateurs.

L’utilisation d’un mot de passe ne devrait pas être la réponse à quelque chose destiné à remplacer les mots de passe.

C'est un peu ridicule. Autrement, comment vous authentifier auprès d'un service existant? afin de mettre à jour votre mécanisme d'authentification? Mis à part la méthode QR et Bluetooth déjà évoquée. Et même si la surface d'attaque côté serveur n'est pas nécessairement réduite en activant plutôt qu'en exigeant la connexion par mot de passe, elle significativement réduit la surface d'attaque côté client, car vous vous engagez strictement dans un échange de clés, activé par l'authentification au niveau du système d'exploitation. Et c'est une victoire pour tout le monde.

Si vous êtes au point que vous ne pouvez faire confiance à aucune des fonctionnalités de sécurité de votre système d'exploitation, vous pouvez tout aussi bien jeter vos appareils informatiques et aller vivre sur une île tropicale ou quelque chose du genre. À quelque point un certain niveau de confiance doit être accordé à un logiciel.

Il y a beaucoup de confusion ici, je pense parce que toute une pile technologique nous a été abandonnée et présentée comme un fait accompli. Permettez-moi, en tant qu'ignorant, d'essayer de le déconstruire par analogie avec ce que je comprends: les paires de clés SSH. J'invite les autres à trouver des failles dans mes erreurs.

1. Clés d'authentification publiques/privées. Cela fonctionne à peu près de la même manière que SSH. Le site Web ne connaît que votre clé publique et vous signez des messages pour prouver que vous détenez la clé privée.

2. Protection anti-hameçonnage. Les clés sont spécifiques à un site, donc un site de phishing obtient une clé différente. SSH a des clés d'hôte pour cela, je suppose que le keypass utilise quelque chose à voir avec les clés d'hôte TLS? Votre navigateur l'utilise pour sélectionner la clé à utiliser? Ou simplement par nom DNS ?

3. Moyens de déverrouiller les clés pour prouver que le bon utilisateur les utilise. SSH a des phrases secrètes, je suppose que c'est là qu'intervient la biométrie/Bluetooth? SSH peut également déverrouiller des clés avec des cartes à puce, et donc je suppose que la biométrie est un peu comme un autre mode de déverrouillage ?

4. Synchronisation des clés entre les appareils. C’est probablement là qu’interviennent les « écosystèmes » cloud, comme la synchronisation des mots de passe iCloud et Chrome? Pour SSH, il n'y a pas de support, mais vous pouvez créer le vôtre avec rsync ou autre ?

Qu'est-ce que je me suis trompé ?

Si ce qui précède est globalement correct, je pourrais imaginer créer une pile ouverte qui fait fondamentalement la même chose que SSH en utilisant une pile de fichiers dans ~/.ssh et rsync pour se déplacer entre les appareils. Il s’agit de l’approche « vélo » où toutes les pièces mobiles sont exposées et faciles à comprendre ce qui se passe.


Il ne s'agit pas seulement d'une mise à jour de FIDO2, elle-même la deuxième version de la norme. U2F était FIDO1; il s'agit de CTAP 2.2 ([edit: corrigé de mon WAG de 2.4 qui était faux, merci, toujours incorrect !]), qui fait partie de FIDO2/WebAuthn. Cela n'a vraiment rien de compliqué comme ça... ils ont assoupli les exigences de l'authentificateur afin que la clé privée puisse (doit être...) copiée en toute sécurité, et ont ajouté quelques fonctionnalités Javascript pour faciliter la vie. Connexions sans mot de passe? Cela a toujours été possible avec FIDO2. C'est ce qui est intéressant - FIDO1 ne peut être que MFA. Ajouter une clé privée à votre navigateur stockée dans le TPM ou élément sécurisé? Cela a toujours été possible, et a été précédemment implémenté dans Chrome, Firefox et Safari. Ce qui est nouveau, c'est qu'il peut être synchronisé et accessible via le rigmarole BT/QR. Auparavant, elle était appelée (et signalée aux sites Web) comme des « clés spécifiques à la plate-forme », par opposition aux clés portables qui étaient des périphériques matériels. Maintenant, c'est PassKeys.
Puisque l’objectif du système de mot de passe semble être de se débarrasser des mots de passe, permettez-moi d’énumérer quelques-uns des avantages des mots de passe :
  • ils sont assez simples à comprendre pour toute personne mentalement capable d’utiliser un appareil électronique
  • ils sont faciles à retenir si vous faites un effort et que vous les utilisez régulièrement
  • ils fonctionnent sur tous les systèmes d'exploitation prêts à l'emploi
  • ils ne nécessitent pas d'accès à Internet (certains systèmes sont hors ligne pour une bonne raison)
  • ils ne nécessitent la coopération d'aucun tiers
  • ils ne nécessitent pas la présence d'un smartphone ou autre gadget
  • ils ne nécessitent pas de Bluetooth, de WiFi, d'appareil photo ou de piles
  • ils peuvent - en cas d'urgence - être stockés sans avoir besoin d'électricité
  • ils peuvent être facilement transmis à une autre personne sans utiliser d’appareil
  • si vous n'êtes pas handicapé et n'utilisez pas de smartphone, l'authentification par mot de passe ne prend que quelques secondes

Vos points n°1, n°2 et n°10 sont tout simplement faux: demandez à toute personne travaillant dans le support technique à quelle fréquence elle doit réinitialiser son mot de passe parce que quelqu'un a oublié son mot de passe, a laissé sa touche de verrouillage des majuscules activée (ou a mal positionné sa main sur le clavier), ou l'a truqué suffisamment de fois pour se verrouiller dehors. Ouais, ouais, je sais que personnellement, vous le faites toujours parfaitement, mais croyez-moi, quiconque reçoit des appels du service d'assistance a une vision… moins optimiste… de l'humanité. J'ajouterai également que je prends en charge de nombreux utilisateurs aveugles et la saisie de mots de passe massivement c'est nul pour eux car de nombreux sites ont des exigences de complexité qui sont difficiles pour les utilisateurs de lecteurs d'écran et si vous n'êtes pas un dactylographe compétent, le dire à voix haute n'est pas génial. C'est un créneau, mais c'est un créneau que de nombreuses personnes qui construisent des systèmes d'authentification sont également légalement tenus de bien prendre en charge, et c'est l'une des raisons pour lesquelles je m'intéresse. la technologie depuis « Voulez-vous vous connecter avec votre mot de passe? » « Oui » est au moins un ordre de grandeur plus rapide et plus facile que n'importe quelle forme de mot de passe + MFA pour beaucoup de ceux-là. utilisateurs.

Le point n°3 est vrai pour WebAuthn MFA mais toujours avec des clés d'accès – quelque chose comme une Yubikey fonctionne partout où vous avez un port USB/NFC, mais vous pourriez le faire. devez définir un code PIN ou utiliser leurs clés de série biométriques pour les implémenteurs de clés d'accès comme Google.com qui nécessitent plus qu'un simple robinet.

Les points n°5, n°6, n°7 et n°8 s'appliquent également à toutes les formes de WebAuthn – à la fois l'AMF et les clés d'accès. Le point n°4 est vrai, sauf pour la première fois que vous inscrivez un appareil lors de la synchronisation d'une clé existante. Après la première synchronisation de vos clés, vous n'avez plus besoin d'une connexion réseau. Si vous ne souhaitez pas synchroniser, vous pouvez également acheter quelques clés biométriques Yubikey qui fonctionnent à nouveau entièrement hors ligne partout où vous disposez d'un port USB ou NFC.

Il reste le numéro 9, qui est une mauvaise pratique et doit être évité si possible. Les systèmes modernes proposent des éléments tels que l'authentification basée sur les rôles, dans laquelle les personnes ne partagent jamais leurs mots de passe, mais plusieurs personnes sont autorisées à assumer un rôle donné, ou des éléments tels que les systèmes hérités ou délégués. des comptes dans lesquels vous ne partagez jamais de mots de passe, mais donnez à une ou, mieux encore, à plusieurs personnes requises en combinaison la possibilité de faire quelque chose comme réinitialiser votre mot de passe ou prendre le contrôle de vos fichiers.

Ce n’est pas parce que quelque chose est nouveau et que vous n’avez pas appris comment cela fonctionne que c’est mauvais ou qu’il faut l’éviter. Les clés d'accès sont un grand changement pour la plupart d'entre nous – à l'exception du .gov puisque le PIV/CAC y remonte au siècle précédent, même si peu d'autres endroits l'ont adopté – mais ils présentent un certain nombre d'améliorations en matière d'utilisabilité en plus des avantages en matière de sécurité, et il existe une voie claire pour le développer. certaines des pièces manquantes (par exemple, je veux vraiment pouvoir synchroniser un mot de passe Apple / Google avec une Yubikey afin de pouvoir le déposer dans mon coffre-fort juste après cas).

Il doit évidemment être disponible non seulement lors de la synchronisation, mais également lors de l'authentification, puisqu'il est utilisé à cet effet. Et il doit également être disponible lors de l’inscription initiale.

Et c'est ce que j'essaie de vous expliquer: il serait facile de s'authentifier avec un appareil existant et de l'utiliser. appareil pour ajouter une autre clé publique, qui est générée sur un autre, nouveau appareil, et envoyée à l'ancien appareil par certains moyens. Par exemple, je pourrais créer une nouvelle paire clé secrète/clé publique sur mon ordinateur de bureau, envoyer la clé publique à mon ordinateur portable, me connecter avec mon ordinateur portable et ajouter la clé publique du bureau. Je fais tout le temps des choses similaires avec SSH.

Il n’y a aucun obstacle technique ici. Si ce n'est pas possible avec les mots de passe, c'est par choix.


La clé privée n'est pas accessible. Pourquoi ne pas vérifier au lieu de répéter sans cesse un mensonge.
En tant que personne suffisamment capable de comprendre la plupart des articles sur Ars mais sans véritable formation technique, je Je pense que le plus grand obstacle à l'adoption générale sera d'amener les gens à comprendre ce qui se passe sur. J'ai lu l'article deux fois. J'ai lu les meilleurs commentaires et certains des autres.

Et maintenant, je suis plus confus qu'avant de commencer - j'ai transmis l'article à ma majeure/meilleure moitié CS pour expliquer les choses, mais cela n'est peut-être pas suffisant.

Les mots de passe sont faciles à digérer. 2FA est facile à expliquer. Les clés d'accès ont du sens, mais juste au moment où je pense que je pourrais les obtenir, je lis le paragraphe suivant et je me perds davantage.

Le ciel aide mes frères et sœurs et mes parents.

Merci de dire ça. Les réponses de Dan et d'autres (par exemple, @Wbd(le commentaire promu citant le mien) est basé sur une lecture erronée fondamentale du commentaire.

Je ne veux pas faire confiance à mon fournisseur de système d'exploitation (Apple dans mon cas pour les appareils mobiles et de bureau) avec des clés d'accès et la réponse est à plusieurs reprises "Mais vous Faites déjà confiance à Google avec votre mot de passe." Oui, très bien, j'entre un long mot de passe aléatoire de BitWarden/KeePass, je branche ma Yubikey et j'appuie sur le bouton bouton. À aucun moment cela ne dépend de mon fournisseur de système d’exploitation.

Et bien sûr, il existe actuellement la possibilité de ne pas utiliser de mots de passe et d'utiliser un mot de passe comme avant, mais tout le train du battage médiatique technologique est en route vers "PLUS DE MOTS DE PASSE TOUT LE MONDE" et si je dis "mais attendez, si je suis exclu de tous les autres comptes parce que mon fournisseur de système d'exploitation décide qu'il ne m'aime pas, que se passe-t-il" On me traite de troll et mal informé. Il y a aussi tellement de cas extrêmes auxquels je peux penser où cela ne fonctionne pas et au lieu de dire: « ouais, ceux-là sont des préoccupations valables dans l'avenir que nous souhaitons uniquement par passe-partout", il y a cette critique soutenue de tout interrogatoire.

Vous réalisez que 1Password et Bitwarden travaillent tous deux sur la prise en charge des clés d'accès, n'est-ce pas ?

1Password est allé jusqu'à dire que les mots de passe sont « l'avenir de l'authentification »: https://www.future.1password.com/passkeys/

Dernier article de blog

Des chercheurs datent le plus ancien crâne humain connu de 233 000 ans
September 25, 2023

AgrandirVidal et al 2022136 avec Le plus ancien fossile d'Homo sapiens connu est environ 36 000 ans plus vieux qu'on ne le pensait, selon une étude...

Quand la diplomatie échoue: après les cadeaux, Teotihuacan s’en prend aux villes mayas
September 25, 2023

AgrandirMichael Schamis/Flickr/CC33 avec Les singes-araignées ne vivent pas à proximité des hautes terres du centre du Mexique, y compris dans la z...

46 meilleures offres du Cyber ​​​​Monday à moins de 60 $: Chromecast, jeux de société et plus
October 02, 2023

Agrandir/ Le Chromecast à 50 $ avec Google TV. Il existe en couleurs. Google8 avec Au cours de la semaine dernière, nous avons suivi toutes sortes ...