Ne vidim kako bi ovo riješilo spear phishing s napadima ponavljanjem lozinke. Većina phishing MITM-a samo reproducira ulaz na poslužitelj i reproducira izlaz žrtvi, obično s preusmjeravanjem na kraju. Te vrste napada i dalje rade protiv TOTP MFA uređaja, tako da to zapravo nisu napadi koje ljudi ovdje pokušavaju spriječiti.fvgfvghvgv je rekao:Phishing i spear phishing više nisu problem jer je HTTPS gotovo sveprisutan?Također (mnogo manja učestalost, ali vjerujte mi da je velika za nacionalne države) svi različiti oblici daljinskih zapisivača ključeva su ublaženi HTTPS-om?? Osobno, da sam paranoičan zbog cilja na takav način i da se moram prijaviti na Google na novom računalu, radije usmjerim telefon prema QR kodu na zaslonu na 2 sekunde, nego polako upisujem jaku lozinku na tipkovnica.
I u kontekstu ovog članka mislite li da Google stvarno pohranjuje vjerodajnice našeg Google računa u izloženu nekriptiranu bazu podataka?
100% se slažem s vama da bi dugoročnije poboljšanje bilo da se lozinke potpuno zamijene ključevima, kako bi se uklonile naslijeđene slabosti u sustavu lozinki.
Evo mog prijedloga kako da stignemo do toga: za fazu 1 veliki sveprisutni online igrač trebao bi paralelno uvesti pristupne ključeve lozinke kao demonstracija u stvarnom svijetu da biste dobili zamah, zatim za fazu 2 sav privjesak ključeva u oblaku i upravitelj lozinki treće strane tvrtke bi trebale raspravljati o tome kako poboljšati interoperabilnost, a proizvođači OS-a i preglednika trebali bi istovremeno implementirati zaporke u svoje sustava. To bi odražavalo priču o uspjehu s HTTPS-om i sigurnosnim prednostima koje je donio ekosustavu.
U poznatom trenutku na početku ovog plana, arstechnica bi mogla napisati članak o tome što funkcionira/što ne funkcionira/što se planira u budućnosti….
Kliknite za proširenje...
Ako govorimo o nacionalnim državnim akterima, oni će samo ciljati na tehničku podršku čemu god žele pristup pa je besmisleno raspravljati o tehnologiji da bi se to spriječilo.
I ne, nikad nisam rekao da Google sprema lozinke u nekriptiranu bazu podataka. To nije način na koji se događaju napadi namještanjem vjerodajnica. Obično ljudi ponovno koriste lozinke na više lokacija, a slabije stranice izlažu iste lozinke koje su korištene na web-lokacijama koje svoju pozadinu imaju sigurnije.
Slažem se s vašim prijedlozima za uvođenje, uz jedno upozorenje - zapravo objavite bijeli papir koji se ne petlja u teorije poput one FIDO koja tvrdi da će korisnici "vjerojatno" imati drugi uređaj za vraćanje ako njihov prvi uređaj izgubljeno. I ta ista bijela knjiga također ne bi trebala samo sugerirati da se lozinke koriste kao zamjena za nove uređaja, trebao bi zapravo iznijeti plan za potpuno uklanjanje lozinki -- jer to je krajnji cilj pravo? Trebali bismo znati korake koje ćemo poduzeti prije nego što tamo stignemo.
Isključio sam BT da vidim što će se dogoditi, i naravno, Google se žalio da ne može doći do mog telefona... i ponudio da mi upali BT. To barem nije uspjelo. Još. (Pretpostavljam radi raditi na taj način na Windowsima, a možda i na MacOS-u.)
Biti krajnje jasno, opet, ovo nema nikakve veze sa samim pristupnim ključevima; kao standard provjere autentičnosti, oni su u redu. Jednostavno nisam zaljubljen u to koliko kontrole preglednik ima nad mojim hardverom (jer što više kontrole ima, to više kontrole ima napadač koji posjeduje preglednik).
Opet se zbunjujete. Niti jedan citat ne implicira ništa o brisanju lozinki. Nadam se da će u nekom trenutku izbrisati lozinke za vlastite račune, ali to je realno desetljećima u budućnosti ako se ikada dogodi, kada većina rubnih slučajeva bude riješena ili nestane i kada većina ostatka interneta pristupne ključeve učini sveprisutnim opcija.Jarrex je rekao:Da, stari, potpuno:Piše: Arnar Birgisson i Diana K Smetters, Identity Ecosystems i timovi za sigurnost i sigurnost Google računa Od danas možete stvoriti...
security.googleblog.com
Zaporke su izvrsna, sigurnija alternativa zaporkama - u tom slučaju Google ima sve razloge da pokuša ukloniti zaporke. Ili su zaporke samo jednostavna alternativa koja zapravo ne radi ništa jer postoji rezervna lozinka koja se može koristiti za potpuno istu provjeru.Ako je prvo, zašto onda pokušavate tvrditi da Google ne izbacuje lozinke (kao što njihovi brojni blogovi jasno impliciraju da će to biti u budućnosti).
Osim, jer nitko nema odgovor kako to učiniti jer još uvijek imaju zamjensku lozinku i doslovno nula dokumenata FIDO, Google, Apple blogovi kažu bilo što o tome kako će implementirati zamjenu bez zaporki za koje ste podsvjesno svjesni da nikako ne mogu govoriti o uklanjanju zaporki zamjena. U tom slučaju, preusmjeravam vas na moju izvornu poantu, a to je da su pristupni ključevi beskorisni s rezervnom zaporkom.
Kliknite za proširenje...
Pogledajte koliko je vremena potrebno da se 2FA uvede za više od malog dijela dubokog weba!
Dakle, da, mislim da nekoliko Googleovih postova na blogu kaže da 'mnogi uređaji još ne podržavaju pristupne ključeve' i 'primijenit ćemo pomniju kontrolu nad aktivnostima prijave lozinkom jer vjerujemo da su one slaba karika'
NIJE isto što i:
'planiramo izbrisati svačiju zaporku Google računa u bliskoj budućnosti'
Još jedan veliki problem je onaj s kojim se već moram nositi s 2FA (iako općenito koristim i podržavam 2FA) - Radim puno tehničke podrške za starije ljude, a ponekad moram raditi stvari na daljinu, u njihovo ime. S 2FA je izuzetno teško prijaviti se na tuđi račun (Google, itd.) da biste promijenili postavke, potražili nešto, pomogli im da oporave ili ponište lozinku, itd. To je naravno namjerno i općenito je dobra stvar, ali komplicira tehničku podršku. Čini se da su zaporke još gore za ovu svrhu od 2FA, budući da ih barem s 2FA mogu nazvati i tražiti da pročitam kod prikazan na njihovom telefonu ili im reći da dodirnu bilo koji upit koji se prikaže.
Naravno, ne planiraju brisati svima lozinke u bliskoj budućnosti. Jer ne znaju kako se riješiti sigurnosnih kopija lozinki. No poruke njihovih naslova "Zbogom lozinke, hvala na krađi identiteta" i "Možda sljedeći dan zaporke, nećete se morati sjećati svoje zaporke!" vrlo impliciraju da zapravo ne trebaju lozinke. Što je loša usluga za korisnike i daje lažnu implikaciju da su zaporke sigurnije od lozinki, čak i uz sigurnosne kopije temeljene na zaporci koje mogu učiniti 100% onoga što mogu zaporke.fvgfvghvgv je rekao:Opet se zbunjujete. Niti jedan citat ne implicira ništa o brisanju lozinki. Nadam se da će u nekom trenutku izbrisati lozinke za vlastite račune, ali to je realno desetljećima u budućnosti ako se ikada dogodi, kada većina rubnih slučajeva bude riješena ili nestane i kada većina ostatka interneta pristupne ključeve učini sveprisutnim opcija.Pogledajte koliko je vremena potrebno da se 2FA uvede za više od malog dijela dubokog weba!
Dakle, da, mislim da nekoliko Googleovih postova na blogu kaže da 'mnogi uređaji još ne podržavaju pristupne ključeve' i 'primijenit ćemo pomniju kontrolu nad aktivnostima prijave lozinkom jer vjerujemo da su one slaba karika'
NIJE isto što i:
'planiramo izbrisati svačiju zaporku Google računa u bliskoj budućnosti'
Kliknite za proširenje...
Dakle, opet, najslabija karika su sigurnosne kopije zaporki, bez uklanjanja sigurnosnih kopija zaporki, pristupni ključevi su beskorisni sa stajališta pružanja stvarnih sigurnosnih prednosti. Ako ne postoji poznata metodologija za uklanjanje sigurnosnih kopija zaporki, koja je onda svrha pristupnih ključeva?
Umoran sam od ovih tehnoloških blogera koji pretpostavljaju da svi drugi imaju istu "radnu" postavu kao on. Neću ih koristiti u bliskoj budućnosti onoliko koliko bih to želio, jer besprijekorna podrška još ne postoji, a ako se nešto pokvari negdje, donijet će više glavobolje.
Zaporke su zapravo velika prednost za vaš određeni slučaj upotrebe, a to je jedna stvar od koje ću i ja imati koristi (podrška starijim članovima obitelji).shawn99452 je rekao:Općenito sam za IDEJU korištenja pristupnih ključeva, ali to ima neka ozbiljna ograničenja... Što se mene tiče, nedostatak podrške za računala (MNOGA stolna računala) bez Bluetootha prilično je velik. Osim toga, nedostatak podrške za Linux velika je stvar za mene osobno - nadamo se da će netko stvoriti samostalnu pohranu pristupnih ključeva sustav (očigledno bi trebao postojati neki način za dodavanje URL-a poslužitelja zaporke koji sami hostirate ili sličnog prilikom dodavanja zaporke na servis).Još jedan veliki problem je onaj s kojim se već moram nositi s 2FA (iako općenito koristim i podržavam 2FA) - Radim puno tehničke podrške za starije ljude, a ponekad moram raditi stvari na daljinu, u njihovo ime. S 2FA je izuzetno teško prijaviti se na tuđi račun (Google, itd.) da biste promijenili postavke, potražili nešto, pomogli im da oporave ili ponište lozinku, itd. To je naravno namjerno i općenito je dobra stvar, ali komplicira tehničku podršku. Čini se da su zaporke još gore za ovu svrhu od 2FA, budući da ih barem s 2FA mogu nazvati i tražiti da pročitam kod prikazan na njihovom telefonu ili im reći da dodirnu bilo koji upit koji se prikaže.
Kliknite za proširenje...
Oni mogu imati pristupni ključ za svoj račun spremljen u svom sustavu, a vi možete imati drugačiji pristupni ključ za taj isti račun, spremljen u vašem sustavu.
Glavni razlog zbog kojeg ću imati koristi je taj što neće postati preduvjeti za često davanje 2FA kodova preko telefona ili dodirivanje Da na upitu na zaslonu.
Možda ne bih napravio takvu pretpostavku da sam ikad vidio bilo što što bi upućivalo na to da će Thunderbird uskoro imati podršku za pristupne ključeve. S obzirom na to koliko je vremena trebalo da se doda podrška za OAuth, mislim da je bilo razumno zaključiti da to ne bih mogao učiniti u Thunderbirdu.dangoodin je rekao:WebAuthn se već neprimjetno integrira s Gmailom na Thunderbirdu.Ovaj komentar je još jedan primjer da netko ne postavlja pitanja, već samouvjereno iznosi tvrdnju (da zaporke neće raditi u vašem okruženju) na temelju tehnički netočnog razumijevanja. Umjesto da prebrzo donosite zaključke, zašto ne biste prvo malo istražili?
Kliknite za proširenje...
Usput, isprobao sam demo na passkeys.io, i Firefox i Vivaldi na Manjaru žele da uključim sigurnosni ključ. Nisam siguran je li to ograničenje preglednika ili demonstracije.
Oni zapravo imaju - ako znate kako prevesti marketinški govor "Passkeys" u tehničke specifikacije: "vjerodajnica za više uređaja" ili "vjerodajnica za sigurnosno kopiranje".Jarrex je rekao:da Ako doista objave kako planiraju ukloniti lozinke kao rezervnu autentifikaciju, šifre bi mogle biti izvrsne.
Kliknite za proširenje...
Trenutni nacrt specifikacije za Webauthn je ovdje: Webauthn
Kada registrirate pristupni ključ, web-mjesto može vidjeti da se radi o vjerodajnici za više uređaja i je li privatni ključ sigurnosno kopiran. U tom slučaju:
(Pouzdana strana = web-poslužitelj, u njihovoj terminologiji, "Klijent" = Preglednik, "Autentifikator" = Yubikey, na primjer, ili onaj ugrađen u telefon ili računalo "Autentifikator platforme")
Uvjerenje rezervna podobnost i trenutni sigurnosno stanje prenosi se od strane BITI i BSzastave u podaci autentifikatora, kako je definirano u Stol .Vrijednost BITIzastava postavlja se tijekom autentifikatorMakeCredential rad i NE SMIJE se mijenjati.
Vrijednost BSzastava može se promijeniti tijekom vremena na temelju trenutnog stanja izvor vjerodajnica javnog ključa. Stol u nastavku definira važeće kombinacije i njihovo značenje.
BITI i BSzastava kombinacije
BITI BS Opis 0 0 Vjerodajnica je a vjerodajnica za jedan uređaj. 0 1 Ova kombinacija nije dopuštena. 1 0 Vjerodajnica je a vjerodajnica za više uređaja i trenutno nije podupirač. 1 1 Vjerodajnica je a vjerodajnica za više uređaja i trenutno je podupirač.
PREPORUČA SE da Pouzdajuće strane pohraniti najnoviju vrijednost ovih zastave s korisnički račun za buduću procjenu.Slijedi neiscrpan popis kako Pouzdajuće strane mogli koristiti ove zastave:
- Zahtijeva dodatne autentifikatori:
Kada BITIzastava je postavljen na 0, vjerodajnica je a vjerodajnica za jedan uređaj i generiranje autentifikatora nikada neće dopustiti sigurnosnu kopiju vjerodajnice.
A vjerodajnica za jedan uređaj nije otporan na gubitak jednog uređaja. Pouzdajuće strane TREBA osigurati da svaki korisnički račun ima dodatne autentifikatoriregistrirani i/ili postoji postupak oporavka računa. Na primjer, od korisnika se može tražiti da postavi dodatni autentifikator, kao što je a roaming autentifikator ili an autentifikator koji je sposoban vjerodajnice za više uređaja.
- Nadogradnja korisnika na račun bez lozinke:
Kada BSzastava mijenja se od 0 do 1, autentifikator signalizira da je uvjerenje ima sigurnosnu kopiju i zaštićen je od gubitka jednog uređaja.
The Oslanjajuća strana MOŽE odlučiti zatražiti od korisnika da nadogradi sigurnost računa i ukloni lozinku.
Kliknite za proširenje...
Dakle, nakon što generirate pristupni ključ i napravite sigurnosnu kopiju, poslužitelj može znati i predložiti da uklonite svoju lozinku.
Ako imam pristupni ključ na starom Android telefonu, kako ga mogu prenijeti ili postaviti na novi Android telefon?
Ne shvaćate ni kako su zaporke snažna zaštita od phishinga i MITM napada? Zašto onda punite komentare dezinformacijama kada niste proveli osnovno istraživanje? Sve je to jasno objašnjeno u člancima u kojima ste bili vrlo glasni u komentarima.Jarrex je rekao:Ne vidim kako bi ovo riješilo spear phishing s napadima ponavljanjem lozinke. Većina phishing MITM-a samo reproducira ulaz na poslužitelj i reproducira izlaz žrtvi, obično s preusmjeravanjem na kraju. Te vrste napada i dalje rade protiv TOTP MFA uređaja, tako da to zapravo nisu napadi koje ljudi ovdje pokušavaju spriječiti.Ako govorimo o nacionalnim državnim akterima, oni će samo ciljati na tehničku podršku čemu god žele pristup pa je besmisleno raspravljati o tehnologiji da bi se to spriječilo.
I ne, nikad nisam rekao da Google sprema lozinke u nekriptiranu bazu podataka. To nije način na koji se događaju napadi namještanjem vjerodajnica. Obično ljudi ponovno koriste lozinke na više lokacija, a slabije stranice izlažu iste lozinke koje su korištene na web-lokacijama koje svoju pozadinu imaju sigurnije.
Slažem se s vašim prijedlozima za uvođenje, uz jedno upozorenje - zapravo objavite bijeli papir koji se ne petlja u teorije poput one FIDO koja tvrdi da će korisnici "vjerojatno" imati drugi uređaj za vraćanje ako njihov prvi uređaj izgubljeno. I ta ista bijela knjiga također ne bi trebala samo sugerirati da se lozinke koriste kao zamjena za nove uređaja, trebao bi zapravo iznijeti plan za potpuno uklanjanje lozinki -- jer to je krajnji cilj pravo? Trebali bismo znati korake koje ćemo poduzeti prije nego što tamo stignemo.
Kliknite za proširenje...
Također, ranije ste rekli da su lozinke rijetko ugrožene u trenutku upotrebe i te vjerodajnice kompromitacije su uglavnom uzrokovane napadima rječnikom, nagomilavanjem vjerodajnica i izloženom nezaštićenom zaporkom baze podataka. Sada kažete da zapravo postoje phishing napadi koji su uspješni čak i s TOTP-om, a NCSC i CISA to tvrde phishing je još uvijek prevladavajući vektor napada, pa i dalje kažem da ste ranije bili u krivu i da su lozinke još uvijek ranjive točka uporabe.
Nacionalne države neće ciljati na tehničku podršku online usluge kao što je Google koja uključuje enkripciju s kraja na kraj i koja obavještava svoje korisnike ako posumnja na neprijateljski pokušaj upada. To bi bilo najgore što bi mogli učiniti. Dobili bi u najboljem slučaju šifriranu mrlju podataka i riskirali da će meta vjerojatno biti upozorena i zatražiti sigurnosni savjet.
Drago mi je da vam se sviđa moj predloženi plan, ali bio sam sarkastičan; ono što sam predložio zapravo se događa sada i što je planirano za budućnost, kao što je dokumentirano u ovom članku…. Ali nemojte gubiti vrijeme čekajući smislene bijele knjige, već desetljećima oni su još jedan izraz za "marketing" pahuljice za slanje računovođama i višem menadžmentu', a ciljna publika su informatičari koji znaju tek toliko da budu opasno
Specifikacije FIDO zahtijevaju da koji god mehanizam sinkronizacije korisnik izabere (bilo da je od Applea, Microsofta, Googlea ili treće strane) pružaju end-to-end enkripciju na način na koji iCloud Keychain i sinkronizacija lozinki s preglednicima trenutno rade (na Chromeu ovaj E2EE mora biti Upaljeno).
Kliknite za proširenje...
Je li ovaj zahtjev igdje dokumentiran?
Pitam jer je FIDO prije imao svoju uslugu metapodataka za popis sukladnih autentifikatora. Prema specifikaciji, oni navode samo ključne vrste zaštite - i ne postoji ništa između softvera i različitih vrsta hardvera.
Specifikacija ovdje: Metapodaci
Pogledajte 3.2 Vrste zaštite ključa
cse84 je rekao:Budući da se čini da je cijela poanta sustava pristupnog ključa uklanjanje lozinki, dopustite mi da nabrojim neke od prednosti lozinki:
- dovoljno su jednostavni da ih može razumjeti svatko tko je mentalno sposoban upravljati elektroničkim uređajem
- lako ih je zapamtiti ako se imalo potrudite i redovito ih koristite
- odmah rade na svim operativnim sustavima
- ne zahtijevaju pristup Internetu (neki sustavi su izvan mreže iz dobrog razloga)
- ne zahtijevaju suradnju bilo koje treće strane
- ne zahtijevaju prisutnost pametnog telefona ili drugog gadgeta
- ne zahtijevaju Bluetooth, WiFi, kamere ili baterije
- mogu se - u hitnim slučajevima - pohraniti bez potrebe za električnom energijom
- lako se mogu prenijeti na drugu osobu bez upotrebe bilo kakvog uređaja
- ako niste hendikepirani i ne koristite pametni telefon, autentifikacija lozinkom traje samo nekoliko sekundi
Kliknite za proširenje...
Vaše točke #1, #2 i #10 jednostavno su pogrešne - pitajte bilo koga tko radi u tehničkoj podršci koliko često moraju resetirati lozinku jer netko zaboravili zaporku, ostavili uključenu tipku Caps Lock (ili krivo stavili ruku na tipkovnicu) ili su je prstom maznuli dovoljno puta da se zaključaju van. Da, da, znam da vi osobno to uvijek savršeno iskopate, ali vjerujte mi, svatko tko dobije pozive službe za pomoć ima... manje optimističan... pogled na čovječanstvo. Također ću dodati da podržavam puno slijepih korisnika i unos lozinki masovno za njih je sranje jer mnoga mjesta imaju zahtjeve složenosti koji su teški za korisnike čitača zaslona, a ako niste vješt tipkač, izgovaranje naglas nije sjajno. To je niša, ali mnogi ljudi koji izrađuju sustave za autentifikaciju moraju je dobro podržati, i to je jedan od razloga zašto me zanima tehnologija od "Želite li se prijaviti sa svojim pristupnim ključem?" "Da" je barem jedan red veličine brže i lakše od bilo kojeg oblika lozinke + MFA za mnoge one korisnika.
Točka #3 vrijedi za WebAuthn MFA, ali uvijek pristupne ključeve – nešto poput Yubikeya radi svugdje gdje imate USB/NFC, ali možda trebate postaviti PIN ili koristiti njihove biometrijske serijske ključeve za implementatore zaporke kao što je Google.com koji zahtijevaju više od jednostavnog dodirnite.
Točke #5, #6, #7 i #8 također vrijede za sve oblike WebAuthna – i za MFA i za pristupne ključeve. Točka #4 je točna osim kada prvi put upisujete uređaj prilikom sinkronizacije postojećeg ključa. Nakon što prvi put sinkronizirate svoje ključeve, ne trebate mrežnu vezu. Ako ne želite sinkronizaciju, također možete kupiti nekoliko Yubikey biometrijskih ključeva koji opet rade u potpunosti offline gdje god imate USB ili NFC.
Ostaje #9, što je loša praksa i treba je izbjegavati ako je ikako moguće. Moderni sustavi imaju stvari kao što je provjera autentičnosti na temelju uloga, gdje ljudi nikada ne dijele zaporke, ali više osoba smije preuzeti određenu ulogu ili stvari poput naslijeđenih ili delegiranih račune gdje više nikada ne dijelite zaporke, ali dajete jednoj ili, još bolje, više osoba potrebnih u kombinaciji mogućnost da učine nešto poput ponovnog postavljanja vaše zaporke ili preuzimanja kontrole nad svoje datoteke.
Samo zato što je nešto novo, a niste naučili kako funkcionira, ne znači da je loše ili da ga treba izbjegavati. Zaporke su velika promjena za većinu nas – .gov osim jer PIV/CAC tamo seže u prethodno stoljeće, čak i na malo drugih mjesta usvojili – ali imaju brojna poboljšanja upotrebljivosti uz sigurnosne prednosti i postoji jasan put za izgradnju neki dijelovi koji nedostaju (npr. stvarno želim mogućnost sinkronizacije Apple/Google pristupnog ključa s Yubikeyem kako bih ga mogao ostaviti u svom sefu odmah slučaj).
Jarrex je rekao:O drugim uslugama da ne govorim. Google je objavio (najmanje) 5 postova na blogu koji govore da će pristupni ključevi uništiti lozinke, ali nikada nije detaljno opisao kako će pristupni ključevi funkcionirati odvojeno od navedenih zaporki. Upotrijebio sam bluetooth da pokušam prenijeti svoju poantu - a to je da nije važno rade li Google računi dobro za većinu ljudi, lozinke se i dalje koriste kao rezervna kopija - što poništava cijelu svrhu pristupnih ključeva u cjelini.Ako se lozinke koriste kao rezervna kopija, pristupni ključevi nemaju nikakvu vrijednost. Lozinke će i dalje biti u bazama podataka za autentifikaciju, lozinke će i dalje curiti, lozinke se i dalje mogu koristiti za preuzimanje tuđih računa. Zaporke, u svom trenutnom obliku i formi, besmislene su osim ako korisnici koji koriste samo zaporku nemaju način dodavanja novih uređaja bez lozinki.
Zamjenske opcije nisu samo opcije - sa sigurnosnog stajališta one određuju hoće li sigurnosni mehanizam doista poboljšati ukupnu sigurnost autentifikacije ili ne.
Nije stvar u tome što stvarni scenarij čini uslugu beskorisnom i besmislenom u svim scenarijima. I dok ne postoji tijek rada koji vam omogućuje da u potpunosti onemogućite sigurnosne kopije zaporki i održavate iste sposobnosti koje lozinke daju (pristup računima putem bilo kojeg uređaja) onda će ovaj problem biti tamo.
Ako dizajniram otvarač garažnih vrata koji koristi PKI i nitko nikada ne bi mogao oponašati komunikaciju mog otvarača s mojom garažom, ali stvoriti zamjenu gdje prihvaća redovne kodove otvarača garažnih vrata. Pogodite što, zamjena čini moj novi otvarač potpuno beskorisnim.
Nije buka kada pomoćni uređaj poništava prednosti tehnologije.
Kliknite za proširenje...
Mislim da sam na ovo odgovorio negdje na drugoj temi, ali lozinke nisu potrebne kao zamjena u dizajnu bez lozinke. Možete ih jednostavno ispustiti kao mehanizam provjere autentičnosti.
Još uvijek ga možete zadržati kao metodu "Izgubio sam sve svoje ključeve, počnimo proces oporavka", na isti način na koji su "sigurnosna pitanja" lozinke ili možete odabrati bilo koju drugu metodu koja vam se sviđa ("Izgubio sam sve svoje ključeve, pošaljite mi vezu e-poštom i SMS-om s kodom koji trebam upisati na veze obrasci"... ili ako ste IT za tvrtku "dođite do šaltera za IT usluge i predočite svoju službenu iskaznicu"). U tom trenutku to ne biste nazvali lozinkom, nazvali biste to "ključem za oporavak" i umjesto da korisniku dopustite odaberite ga, generirate ga prilikom kreiranja računa i recite im da ga spreme/ispišu ili bi mogli završiti zaključani van.
I dalje ćete imati neke ljude koji će pogriješiti i to, a to se vraća ili na "lošu sreću" ili na "evo našeg broja 1800..." ili što god želite.
Ali ni u jednom trenutku ne dajete ljudima mogućnost upisivanja lozinke koja se može krađom identiteta unijeti u uobičajeni obrazac za prijavu - oni samo upisuju lozinke u vrlo rijetki posebni slučajevi u kojima znaju to očekivati jer su započeli proces oporavka jer su izgubili svoje ključeve.
Uredi: ispravi tipfeler. Mogu zazidati pult za IT usluge, i vjerujte mi, s vremena na vrijeme siguran sam da bi svatko od nas to želio, ali mislim da je hodanje obično korisniji proces
To su zapravo CTAP 2.2 i WebAuthn 3.SeanJW je rekao:Nije samo svaljen na ljude - ovo je ažuriranje na FIDO2, sam po sebi druga verzija standarda. U2F je bio FIDO1; ovo je CTAP 2.4 (mislim, izvlačim broj iz memorije i možda griješim), dio FIDO2/WebAuthn. Ovo stvarno nije ništa komplicirano ovako... olabavili su zahtjeve Autentifikatora tako da se privatni ključ može (mora...) sigurno kopirati i dodali su neke značajke Javascripta kako bi olakšali život. Prijave bez lozinke? Uz FIDO2 uvijek je bilo moguće. To je zgodni dio toga - FIDO1 može biti samo MFA. Dodavanje privatnog ključa u vaš preglednik pohranjen u TPM-u ili sigurnosnom elementu? Uvijek je bilo moguće, i je prethodno implementiran u Chrome, Firefox i Safari. Ono što je novo je da se može sinkronizirati i pristupiti mu putem BT/QR rigmarole. Ranije se to nazivalo (i označavalo na web stranicama) kao "ključevi specifični za platformu", za razliku od onih prijenosnih koji su bili hardverski uređaji. Sada su to PassKeys.
Kliknite za proširenje...
Napokon su objavili radni nacrt - to je ovdje:
Stvar s QR kodom na kraju je nazvana Hybrid Transport (odjeljak 11.5). Postoji mnogo "kabelskih" nizova u protokolu sigurno jer se temeljio na Googleovoj verziji koja se zove "cloud assisted Bluetooth LE".
Gospodin Kite je rekao:Žao mi je što doprinosim ovoj nesreći vlaka, ali KAKVA su to mjesta na kojima piše "bez drajvera"? Ne mogu se sjetiti konteksta koji uključuje osobne uređaje u kojem bi to imalo smisla.
Kliknite za proširenje...
Ne osobni uređaji, već tvrtke, a posebno vlada. Postoje dvije brige: prva je jednostavno da je USB pohrana lokalna pohrana i potencijalno rizična — npr. ljudi su radili testove gdje možete ispustiti USB ključeve u parkiralište uz zgradu i neki će ih dio ljudi uključiti u svoje radno računalo, što bi bio odličan način da se zlonamjerni softver uvuče u zaštićeno mreža. Drugi je za svako mjesto koje ima podatke nad kojima žele izbjeći gubitak kontrole: ako možete koristiti flash pogon, možete kopirati podatke na njega i uzeti izvan zgrade gdje potencijalno može postati katastrofa (namjerna ili ne) — zamislite da netko u HR želi raditi kod kuće i onda ispusti ključ s tisućama dosijea o osoblju i morate obaviti otkrivanje kršenja za sve njih za slučaj da netko zlonamjerno pronađe to.
Najlakši odgovor u oba slučaja je blokiranje USB uređaja za masovnu pohranu tako da možete dopustiti stvari poput tipkovnica i mikrofona, ali ne i pohranu. To još nudi neke napade - jedan poznati stari bio je https://lcamtuf.coredump.cx/plasma_globe/ — tako da bi mjesta mogla ići i dalje. Prošlo je dosta vremena, ali prije nekoliko desetljeća, kad sam bio na lokalnom sigurnosnom sastanku s nekim ljudima iz mornaričkog pogona SPAWAR, rekli su njihov sustav zaštite bila je tuba epoksida: bilo je jeftinije platiti nekome da je izrezuje dok je netko drugi gledao nekoliko puta godišnje zamijeniti pokvarenu tipkovnicu ili miš nego što je pokušavao otkriti sve moguće načine na koje bi netko mogao iskoristiti nešto poput USB-a, Firewirea, itd. To je ekstremni slučaj, ali vrijedi zapamtiti da ako imate stvarnu cijenu za gubitak kontrole Vašim računalima ili podacima možda bi bilo jeftinije ograničiti kako se ljudi mogu povezati s računalima koja to drže podaci. Znam da ljudi rade u reguliranim industrijama koji određene stvari mogu raditi samo na zaključanim terminalskim poslužiteljima iz istog razloga — postoji gornja granica koliko brzo možete eksfiltrirati podatke ako netko mora OCR sesiju udaljene radne površine dok drži pritisnutu stranicu Tipka dolje.
Ne slažem se s vama - registracija računa s ključevima je jednostavna u usporedbi s postavljanjem "unesite korisničko ime, zatim, unesite lozinku, zatim unesite 2FA kod/upit za potvrdu". Prijava je potpuno jednostavna u usporedbi s žongliranjem lozinkama i 2FA vjerodajnicama.Num Lock je rekao:Kasnim na ovu zabavu, ali da... već nalazim "unesite korisničko ime, sljedeće, unesite lozinku, sljedeće unesite 2FA kod/upit za potvrdu” tijek rada iritira, ali razumijem korist za mene i moje poslodavac. Ovo… je jednostavno previše za mene u odnosu na rizik od krađe identiteta kada već imam jedinstvene lozinke za automatsko generiranje i MFA na svemu što to može prihvatiti.Prosječni Joe ili Jane kojima je ovo najviše potrebno ne mogu se čak ni prisjetiti svojih lozinki a da ih ne zapišu i ne mogu razvrstati upravitelja lozinkama koji je vani puno prije nego što se uopće iznerviram. Neće to moći sami postaviti, a ako ih netko provede kroz postavljanje, razbjesnit će se kad prvi put naiđu na ovaj protok. Pomogao sam "kompjuterski nepismenim" obaviti osnovne zadatke kao što je prijava na e-poštu. Trivijalna dvominutna vježba za Ars Readers je za njih pola sata u paklu.
Kliknite za proširenje...
Većina informatički nepismenih ljudi mnogo je ugodnije koristiti i koristiti svoj telefon nego prijenosno ili stolno računalo otisak prsta ili prepoznavanje lica biometrijska autentifikacija im je prirodnija za otključavanje telefona ili pristup aplikacije za bankarstvo/razmjenu poruka. Prema mom nedavnom iskustvu, pristupni ključevi olakšavaju sve ove stvari.
Za primjer razine računalne pismenosti člana moje obitelji koji potpuno bez napora koristi zaporke na svom eBay računu: ista me osoba nedavno zamolila da istražim problem sa svojim prijenosnim računalom jer je prozor preglednika bio premalen više od tjedan dana - nisu shvatili da se rubovi i kutovi prozora mogu povlačiti lijevim klikom da bi se promijenila veličina prozor…
Pristup eBayu korištenjem zaporki na iPhoneu i MacBooku (oba TouchID uređaji) za ovu je osobu IPAK bio jednostavan.
Apple nije gotov.SeanJW je rekao:Uzdah. I dalje kasni na zabavu. Google od toga priprema pseći doručak, što ni na koji način nikoga ne iznenađuje, ali ondje ima stvari koje rade. Apple je svuda učinjeno. Microsoft se oslanja na Googleov kaput (iako da budemo pošteni, oni rade Windows Hello dio, koji Google treba za to na Windowsima).Nije ni čudo što mrzim testirati FIDO2 na Firefoxu (osobito na Linuxu)
Kliknite za proširenje...
Moraju implementirati API kako bi upravitelju lozinki treće strane omogućili presretanje pohrane privatnog ključa ili dopustite dodatku treće strane da bude potpuni autentifikator - Stvorite par ključeva, potpišite tvrdnju, provjeru korisnika, itd.
Ako Apple dopušta samo pohranjivanje privatnih ključeva u iCloud, teško ću preporučiti pristupne ključeve skupini korisnika koji koriste iPhone i Windows računala. Ti će ljudi zapeti u generiranju jedne zaporke po ekosustavu i/ili u nadi da će oporavak računa uspjeti.
Gospodin Kite je rekao:Čini se da račun na koji odgovarate (vjerojatno namjerno) pogrešno razumije da je Google nekako u petlji korištenja zaporke za prijavu na drugu stranicu. Čini se da su riječi "Google pristupni ključ" uzastopno u naslovu pomrsile neke mozgove da pomisle kako je ovo usluga koju oni pružaju i koja ljude čini ovisnima o dobroj volji Googlea ili što već.Napola ozbiljno počinjem misliti da dio histerije koja se ovdje raspiruje potiče od farmi botova kojima upravljaju kriminalci koji štite svoje poslovanje.
Kliknite za proširenje...
Sam članak kaže "bez obzira na mehanizam sinkronizacije koji korisnik odabere (bio od Applea, Microsofta, Googlea ili treće strane)". Stoga je važno pitanje pouzdanosti posredničke infrastrukture koja upravlja sinkronizacijom ključeva. Ekosustav koji rukuje ključevima je bitan, a trenutno se ne čini da postoji alternativa koja nije velika korporacija.
Razgovor u komentarima također je govorio o širem usvajanju pristupnog ključa i kako bi to moglo izgledati, a ne konkretno o samoj prijavi na Google, pa je možda to bilo zbunjujuće? Kada ova tehnologija počne s radom, razumno je vrijeme da počnete razmišljati o mogućim implikacijama. Ljudi u tehnologiji već su vidjeli koliko loše mogu proći privatne korporacije koje posjeduju ključne dijelove infrastrukture.
Da se Dan usredotočio na odgovaranje na pitanja kao što je SeanJW ili hrpa drugih korisnika ovdje umjesto da se diže na konja oko dezinformacija (kada je u samom članku isprva pogrešno dao zahtjeve za Bluetooth lol) stvari bi bile puno smireniji.
fvgfvghvgv je rekao:Ne shvaćate ni kako su zaporke snažna zaštita od phishinga i MITM napada? Zašto onda punite komentare dezinformacijama kada niste proveli osnovno istraživanje? Sve je to jasno objašnjeno u člancima u kojima ste bili vrlo glasni u komentarima.
Kliknite za proširenje...
Hm, upravo sam pregledao sve članke i nijedan od njih ne objašnjava kako to sprječava MITM napade. Ako imam web stranicu i prevarim vas da je posjetite, ne vidim nijedan razlog zašto ne bi bila podložna MITM napadima.
Klijent Zlonamjerni poslužitelj <> Prava aplikacija
Zlonamjerni poslužitelj kontaktira aplikaciju u ime klijenta, traži potpis od klijenta i zatim ga šalje natrag aplikaciji. Za to im ne treba privatni ključ, samo im treba aplikacija da zatraži ključ i da klijent odgovori točnim ključem. Ovaj mehanizam može se, do određene mjere, ublažiti na strani poslužitelja, ali to se odnosi na lozinke i zaporke.
Vrsta krađe identiteta koju ovo sprječava je web-mjesto za prikupljanje statičkih vjerodajnica koje se pretvara da je stranica za prijavu, ali zapravo ništa ne prenosi na stvarno web-mjesto. I to također promašuje poantu vašeg sljedećeg paragrafa.
Također, ranije ste rekli da su lozinke rijetko ugrožene u trenutku upotrebe i te vjerodajnice kompromitacije su uglavnom uzrokovane napadima rječnikom, nagomilavanjem vjerodajnica i izloženom nezaštićenom zaporkom baze podataka. Sada kažete da zapravo postoje phishing napadi koji su uspješni čak i s TOTP-om, a NCSC i CISA to tvrde phishing je još uvijek prevladavajući vektor napada, pa i dalje kažem da ste ranije bili u krivu i da su lozinke još uvijek ranjive točka uporabe.
Kliknite za proširenje...
"Point of Use" je u stvarnom vremenu. Replay napadi su rijetki i mogu se ublažiti na strani web-aplikacije. Punjenje vjerodajnicama nije "točka upotrebe" - koristi se kad god ga napadač želi koristiti, a ne klijent.
Phishing je definitivno raširen, nikad se nije reklo da nije. Kažem da kod sigurnosnih kopija lozinki pristupni ključevi ne pomažu u ublažavanju spomenutih phishing napada jer sigurnosna kopija postaje žrtva iste metodologije napada kao i stari mehanizam provjere autentičnosti.
Nacionalne države definitivno ciljaju tehničku podršku pretvarajući se da su zaposlenici za resetiranje uređaja/MFA. Dakle, nemam pojma o čemu se ovdje radi.Nacionalne države neće ciljati na tehničku podršku online usluge kao što je Google koja uključuje enkripciju s kraja na kraj i koja obavještava svoje korisnike ako posumnja na neprijateljski pokušaj upada. To bi bilo najgore što bi mogli učiniti. Dobili bi u najboljem slučaju šifriranu mrlju podataka i riskirali da će meta vjerojatno biti upozorena i zatražiti sigurnosni savjet.
Kliknite za proširenje...
Bio sam potpuno svjestan da si sarkastičan. Odgovarao sam zajedljivo jer nitko nije pokazao plan za uklanjanje lozinki (do stranice 14).Drago mi je da vam se sviđa moj predloženi plan, ali bio sam sarkastičan; ono što sam predložio zapravo se događa sada i što je planirano za budućnost, kao što je dokumentirano u ovom članku…. Ali nemojte gubiti vrijeme čekajući smislene bijele knjige, već desetljećima oni su još jedan izraz za "marketinške gluposti" poslati računovođama i višem menadžmentu', a ciljna publika su IT ljudi koji znaju taman toliko da budu opasni
Kliknite za proširenje...
