Ne i apsolutno ne.Kontekst članka je prijava na Google vjerodajnicu pomoću zaporke. 'Big 3' i nekoliko drugih nude deponiranje ključeva i oporavak, ali web-mjesta izravno koriste zaporke - ako koristite pristupni ključ s Best Buyom, neće provjeravati s Googleom, na primjer (osim ako ne koristite 'društvene prijave' tečaj). U tom kontekstu, brisanje vašeg računa od Googlea samo znači da ako vam telefon pokvari stvari bi mogle postati opasne. Oni su u osnovi yubikey s opcijom oporavka - dakle malo manje sigurni jer privatni ključ postoji u escrowu što rješava 50% problema s yubikeysima (ostalo je cijena i podrška za aplikacije bol).Čini se da svaki pojedini sustav za koji se čini da može pohraniti pristupne ključeve zahtijeva da vjerujete velikoj trojci (Apple, Google, Microsoft) da neće izbrisati vaš račun bez upozorenja. U mom slučaju, ako Apple izbriše moj iCloud račun i privjesak za ključeve, gubim pristup svemu što je zaštićeno pristupnim ključem. Usporedite to s onim što se sada događa, ako uništim svoj glavni Yubikey: odem u svoju banku, pokažem im dva oblike ID-a, upotrijebi moj fizički ključ da dohvatiš rezervni Yubikey iz sefa i nastavi s život.
Sve dok i ako ne dođe do ozbiljnih i trajnih posljedica za tvrtke koje pružaju infrastrukturne usluge koje djeluju jednostrano, nema načina da to iskoristim. KeyPass/BitWarden može generirati proizvoljno jake lozinke, možete kupiti onoliko Webauthn ključeva koliko želite od raznih dobavljača. Sa pristupnim ključevima, udaljeni ste jedno (automatizirano, bez pregovaranja) brisanje od trajnog zaključavanja iz cijelog vašeg online života.
Ako želite dati tu moć tvrtki, izvolite. Pričekat ću dok se to ne tretira kao vodovodne ili elektrodistribucijske tvrtke koje prekidaju uslugu bez vidljivog razloga: velike i bolne kazne.
Nisam siguran da razumijem kako tok rada zahtijevaAko kopirate i lijepite lozinke (ili ih upisujete iz memorije, što ima druge probleme u velikom broju), ranjivi ste na krađu identiteta. Dakle, zaporke bi bile veliko sigurnosno poboljšanje za vas.
zgrabiti tvoj telefon,
dodirivanje aplikacije,
fotografiranje vašeg zaslona i
dodirnite što učiniti s tom informacijom......je "lakša" operacija od unosa lozinke iz memorije, ili automatskog dovršavanja pomoću upravitelja lozinki, ili kopiranja i lijepljenja pomoću upravitelja lozinki.
Možda postoje druge prednosti, ali nipošto nije lakše.
Za svoj Google račun, ponovno sam registrirao svoje YubiKeys koje sam koristio kao 2FA da budu pristupni ključevi. Kod 2FA, autentifikacija je bila Google lozinka + hardverski ključ FIDO U2F. Sa pristupnim ključevima, to je FIDO2 hardverski ključ + FIDO2 PIN ključa.
Nijedna od “velike tri” tehnološke tvrtke neće biti čuvari vaših pristupnih ključeva. Zaporke se čuvaju na uređaju. Ako ne želite sinkronizirati pristupni ključ putem neke usluge, stavite isti pristupni ključ na više uređaja. Imate samo jedan uređaj, a sada ga nema? To je isti problem kao i upravitelji lozinki bez sinkronizacije. Na kraju ćete se morati ponovno autentificirati s različitim uslugama baš kao što biste učinili u bilo kojem sličnom slučaju zaključavanja. Većina ljudi će sinkronizirati svoje zaporke kao što sinkroniziraju svoje zaporke. I ne, ako Google zatvori vaš račun, ne može onemogućiti pristupne ključeve koje već imate na svojim uređajima. Izgubit ćete njihovu uslugu sinkronizacije, ali umjesto nje možete početi koristiti drugu.
Zaporke se ne mogu lažirati, ne mogu se zaboraviti, ne mogu se dobiti putem curenja podataka i same su po sebi jedinstvene i sigurne. To su stvarno velika poboljšanja. Također su lakši za korištenje jer je provjera autentičnosti nakon što su na vašem uređaju jednostavna.
Za ovo koristim Yubikey, a ne Android ili iOS. To znači da nisam dužan Googleu/Appleu da mogu upravljati svojim ključem, niti se moram brinuti da će moj račun biti kompromitiran i time procuriti pristupni ključ.
Za usporedbu s prijavom na Google račun, već neko vrijeme koristim ovaj Yubikey za pristup svom Microsoft računu.
Microsoft radi u svim glavnim preglednicima na stolnom računalu (osim Safarija na MacOS-u zadnji put kad sam provjerio). Čini se da Google treba Chrome.
Microsoft ima opciju ispod polja korisničkog imena za prijavu na drugačiji način, zatim odaberete Windows Hello ili sigurnosni ključ, stavite ključ u USB priključak, unesete PIN i pritisnete gumb na vrhu. Zatim će vas pitati koji račun (ako imate više spremljenih računa) i odmah ste prijavljeni. Ne morate čak ni zapamtiti svoje korisničko ime/e-mail adresu.
Google zahtijeva da unesete svoje korisničko ime/e-poštu, a zatim traži umetanje ključa. Zatim trebate unijeti PIN i on vas prijavljuje.
Iz perspektive upotrebljivosti, Microsoft je bolji po tome što ne morate pamtiti svoju e-poštu. Za publiku Arsa ovo je vjerojatno negativno. Ali ako uzdržavate 70-godišnje djedove i bake, što se manje stvari trebaju sjećati, to bolje. Nisam potvrdio, ali nedostatak MS sustava je da Yubikey podržava samo određeni broj pohranjenih vjerodajnica, dok prema onome što sam mogao vidjeti u svom istraživanju, Googleova metoda u osnovi ima Yubikey generirati privatni ključ posebno za tu web-lokaciju na temelju na internom privatnom ključu, vašem PIN-u i nekim informacijama koje pružaju stranica i preglednik, svaki put kada treba pokrenuti ovjera. Čini se da oba koriste interni privatni ključ specifičan za Yubikey, vaš PIN, neke informacije o domeni koje pruža preglednik i specifične informacije dostavljene s web-mjesta koje posjećujete za izvođenje rukovanja, što sprječava uspješne MITM napade jer ne mogu lažirati sve to podaci.
Nisam siguran što nedostaje u Firefoxu za Googleovu implementaciju u odnosu na Microsoftovu, zašto ne podržava novi sustav zaporke. Ili samo Google ne traži pristupni ključ jer Firefox nije implementirao Bluetooth dio, koji ima nuspojava nepodržavanja Yubikeya/hardverskih tokena jer Firefox to ne traži Google prijava mjesto.
--
Ako izgubite pristupni ključ, a nemate rezervni pristupni ključ, sigurnosna zamjena je da se prijavite na način na koji ste se prijavljivali prije pristupnog ključa. Dakle, obično lozinka + OTP. Iako to znači da stranica podržava manje siguran sustav provjere autentičnosti, jedna je prednost što vi to ne podržavate redovito korištenje lozinke, tako da je manja vjerojatnost da će biti otkrivena ili presretnuta putem phishinga/MITM-a napad.
--
Iz sigurnosne perspektive, pristupne ključeve možete vidjeti kao novčanik za lozinke s ograničenom podrškom web mjesta. Ako koristite Yubikey, novčanik je hardverski uređaj u vašem džepu, zaštićen PIN-om. Ako koristite zaporku za Android/iOS, novčanik je sinkroniziran u sustavu oblaka i zaštićen lozinkom vašeg računa + biometrijom. Ako izgubite uređaj, to je slično gubitku datoteke zaporke.
Nakon što shvate sve nedostatke, to ima potencijal promijeniti puno stvari u sigurnosnom okruženju, jer će pojedinci koji nisu svjesni sigurnosti više se ne opiru zahtjevima sigurne lozinke ili moraju smisliti kako pravilno koristiti novčanik za lozinke i kako mu pristupiti/sinkronizirati na više uređaja. U osnovi postajući novčanik za lozinke, pristupni ključevi generiraju stvarno sigurne, stvarno nasumične lozinke za svaku stranicu na kojoj se koriste, a izrađeni su imajući na umu otpornost na krađu identiteta.
Kako se ovo može glasati protiv? To je 100% istina.
To je WHO, ne što na naslovnoj stranici. Bez ljubavi prema Googleu na naslovnoj stranici, takva da je njihova podrška okrenula gomilu protiv industrijski standard.
to je blesavo
Opet, čitatelji, ne obraćajte pažnju na ove komentatore.
Korištenje lozinke ne bi trebalo biti odgovor na nešto što bi trebalo zamijeniti lozinke.
Ovo je pomalo smiješno. Kako biste se inače autentificirali na postojeću uslugu kako biste ažurirali svoj mehanizam provjere autentičnosti? Osim QR-and-bluetooth metode o kojoj smo već raspravljali. I dok površina napada na strani poslužitelja nije nužno smanjena omogućavanjem, a ne zahtijevanjem prijave šifrom, značajno smanjuje površinu napada na strani klijenta, budući da ste strogo uključeni u razmjenu ključeva, omogućenu autentifikacijom na razini OS-a. I to je pobjeda za sve.
Ako ste do te mjere da ne možete vjerovati nijednoj od sigurnosnih značajki svog OS-a, mogli biste jednostavno baciti svoje računalne uređaje i otići uživo na tropski otok ili tako nešto. Na neka točka određena razina povjerenja mora se dati nekom dijelu softvera.
Ovdje postoji velika zabuna, mislim zato što je čitav niz tehnologije svaljen na nas i predstavljen kao svršena činjenica. Dopustite mi da, kao neznalica, pokušam to dekonstruirati analogijom s onim što razumijem: parovima SSH ključeva. Pozivam druge da pokopaju rupe u onome što ja griješim.1. Javni/privatni autentifikacijski ključevi. Ovo radi otprilike isto kao i SSH. Web stranica zna samo vaš javni ključ, a vi potpisujete poruke kako biste dokazali da posjedujete privatni ključ.
2. Antiphishing zaštita. Ključevi su specifični za web mjesto, tako da web mjesto za krađu identiteta dobiva drugačiji ključ. SSH ima ključeve hosta za ovo, pretpostavljam da keypass koristi nešto s TLS ključevima hosta? Vaš preglednik to koristi za odabir tipke koju želite koristiti? Ili samo po DNS imenu?
3. Sredstva za otključavanje ključeva kako bi se dokazalo da ih koristi pravi korisnik. SSH ima zaporke, pretpostavljam da je ovdje biometrijska / Bluetooth stvar? SSH također može otključati ključeve s pametnim karticama, pa pretpostavljam da je biometrijski pomalo sličan drugom načinu otključavanja?
4. Sinkronizacija ključeva između uređaja. Ovdje vjerojatno dolaze 'ekosustavi' u oblaku, poput sinkronizacije lozinki za iCloud i Chrome? Za SSH nema podrške, ali možete sami skuhati pomoću rsync ili bilo čega drugog?
Što sam pogriješio?
Ako je gore navedeno općenito točno, mogao bih zamisliti izgradnju otvorenog stoga koji u osnovi radi isto što i SSH koristeći hrpu datoteka u ~/.ssh i rsync za kretanje između uređaja. To je pristup 'bicikla' gdje su svi pokretni dijelovi izloženi i lako je razumjeti što se događa.
Nije samo svaljen na ljude - ovo je ažuriranje na FIDO2, sam po sebi druga verzija standarda. U2F je bio FIDO1; ovo je CTAP 2.2 ([uredi: Ispravljeno iz mog WAG-a od 2.4 koji je bio pogrešan, hvala Još uvijek je netočan!]), dio FIDO2/WebAuthn. Ovo stvarno nije ništa komplicirano ovako... olabavili su zahtjeve Autentifikatora tako da se privatni ključ može (mora...) sigurno kopirati i dodali su neke značajke Javascripta kako bi olakšali život. Prijave bez lozinke? Uz FIDO2 uvijek je bilo moguće. To je zgodni dio toga - FIDO1 može biti samo MFA. Dodavanje privatnog ključa u vaš preglednik pohranjen u TPM-u ili sigurnosnom elementu? Uvijek je bilo moguće, i je prethodno implementiran u Chrome, Firefox i Safari. Ono što je novo je da se može sinkronizirati i pristupiti mu putem BT/QR rigmarole. Ranije se to nazivalo (i označavalo na web stranicama) kao "ključevi specifični za platformu", za razliku od onih prijenosnih koji su bili hardverski uređaji. Sada su to PassKeys.
Budući da se čini da je cijela poanta sustava pristupnog ključa uklanjanje lozinki, dopustite mi da nabrojim neke od prednosti lozinki:
- dovoljno su jednostavni da ih može razumjeti svatko tko je mentalno sposoban upravljati elektroničkim uređajem
- lako ih je zapamtiti ako se imalo potrudite i redovito ih koristite
- odmah rade na svim operativnim sustavima
- ne zahtijevaju pristup Internetu (neki sustavi su izvan mreže iz dobrog razloga)
- ne zahtijevaju suradnju bilo koje treće strane
- ne zahtijevaju prisutnost pametnog telefona ili drugog gadgeta
- ne zahtijevaju Bluetooth, WiFi, kamere ili baterije
- mogu se - u hitnim slučajevima - pohraniti bez potrebe za električnom energijom
- lako se mogu prenijeti na drugu osobu bez upotrebe bilo kakvog uređaja
- ako niste hendikepirani i ne koristite pametni telefon, autentifikacija lozinkom traje samo nekoliko sekundi
Vaše točke #1, #2 i #10 jednostavno su pogrešne - pitajte bilo koga tko radi u tehničkoj podršci koliko često moraju resetirati lozinku jer netko zaboravili zaporku, ostavili uključenu tipku Caps Lock (ili krivo stavili ruku na tipkovnicu) ili su je prstom maznuli dovoljno puta da se zaključaju van. Da, da, znam da vi osobno to uvijek savršeno iskopate, ali vjerujte mi, svatko tko dobije pozive službe za pomoć ima... manje optimističan... pogled na čovječanstvo. Također ću dodati da podržavam puno slijepih korisnika i unos lozinki masovno za njih je sranje jer mnoga mjesta imaju zahtjeve složenosti koji su teški za korisnike čitača zaslona, a ako niste vješt tipkač, izgovaranje naglas nije sjajno. To je niša, ali mnogi ljudi koji izrađuju sustave za autentifikaciju moraju je dobro podržati, i to je jedan od razloga zašto me zanima tehnologija od "Želite li se prijaviti sa svojim pristupnim ključem?" "Da" je barem jedan red veličine brže i lakše od bilo kojeg oblika lozinke + MFA za mnoge one korisnika.
Točka #3 vrijedi za WebAuthn MFA, ali uvijek pristupne ključeve – nešto poput Yubikeya radi svugdje gdje imate USB/NFC, ali možda trebate postaviti PIN ili koristiti njihove biometrijske serijske ključeve za implementatore zaporke kao što je Google.com koji zahtijevaju više od jednostavnog dodirnite.
Točke #5, #6, #7 i #8 također vrijede za sve oblike WebAuthna – i za MFA i za pristupne ključeve. Točka #4 je točna osim kada prvi put upisujete uređaj prilikom sinkronizacije postojećeg ključa. Nakon što prvi put sinkronizirate svoje ključeve, ne trebate mrežnu vezu. Ako ne želite sinkronizaciju, također možete kupiti nekoliko Yubikey biometrijskih ključeva koji opet rade u potpunosti offline gdje god imate USB ili NFC.
Ostaje #9, što je loša praksa i treba je izbjegavati ako je ikako moguće. Moderni sustavi imaju stvari kao što je provjera autentičnosti na temelju uloga, gdje ljudi nikada ne dijele zaporke, ali više osoba smije preuzeti određenu ulogu ili stvari poput naslijeđenih ili delegiranih račune gdje više nikada ne dijelite zaporke, ali dajete jednoj ili, još bolje, više osoba potrebnih u kombinaciji mogućnost da učine nešto poput ponovnog postavljanja vaše zaporke ili preuzimanja kontrole nad svoje datoteke.
Samo zato što je nešto novo, a niste naučili kako funkcionira, ne znači da je loše ili da ga treba izbjegavati. Zaporke su velika promjena za većinu nas – .gov osim jer PIV/CAC tamo seže u prethodno stoljeće, čak i na malo drugih mjesta usvojili – ali imaju brojna poboljšanja upotrebljivosti uz sigurnosne prednosti i postoji jasan put za izgradnju neki dijelovi koji nedostaju (npr. stvarno želim mogućnost sinkronizacije Apple/Google pristupnog ključa s Yubikeyem kako bih ga mogao ostaviti u svom sefu odmah slučaj).
Očito mora biti dostupan ne samo tijekom sinkronizacije, već i tijekom autentifikacije, jer se za to koristi. Također mora biti dostupan tijekom prve registracije.I to je ono što vam pokušavam objasniti: bilo bi lako autentificirati se s postojećim uređajem i koristiti ga uređaj za dodavanje drugog javnog ključa, koji se generira na drugom, novom uređaju i šalje na stari uređaj od strane nekih sredstva. Na primjer, mogao bih stvoriti novi tajni ključ / par ključeva javnog ključa na svom stolnom računalu, poslati javni ključ na svoje prijenosno računalo, prijaviti se sa svojim prijenosnim računalom i dodati javni ključ stolnog računala. Stalno radim slične stvari sa SSH-om.
Ovdje nema tehničkih prepreka. Ako to nije moguće s pristupnim ključevima, onda je to po izboru.
Privatni ključ nije dostupan. Zašto ne biste to pogledali umjesto što stalno ponavljate neistinu.
I sada sam više zbunjen nego što sam bio prije nego što sam počeo - proslijedio sam članak svom CS majoru/boljoj polovici da objasni stvari, ali to možda neće biti dovoljno.
Lozinke se lako probavljaju. 2FA je lako objasniti. Zaporke donekle imaju smisla, ali baš kad pomislim da bih je mogao dobiti, pročitam sljedeći odlomak i izgubim se još više.
Nebo pomozi mojoj braći i sestrama i roditeljima.
Hvala ti što si to rekao. Odgovori Dana i drugih (npr. @Wbdpromovirani komentar korisnika koji citira moj) temelji se na temeljnom pogrešnom tumačenju komentara.Shvaćate da i 1Password i Bitwarden rade na podršci za zaporku, zar ne?Ne želim vjerovati svojem davatelju OS-a (u mom slučaju Appleu za mobilne i stolne uređaje) pristupne ključeve, a odgovor je više puta "Ali vi VEĆ VJERUJTE GOOGLEU SVOJU LOZINKU." Da, dobro, unesem dugačku nasumično zaporku s BitWarden/KeePassa, uključim svoj Yubikey i pritisnem dugme. Niti u jednom trenutku nije ovisan o mom OS provideru.
I naravno, upravo sada postoji opcija da se ne koriste pristupni ključevi i da se koristi lozinka kao i prije, ali cijeli tehnološki vlak je na putu prema "NEMA VIŠE LOZINKI PRILAZKE ZA EVERYONE" stanica i ako kažem, "ali sačekaj, ako mi se zaključaju svi drugi računi jer moj OS provider odluči da mu se ne sviđam, što će se dogoditi" nazvat će me trolom i pogrešno informiran. Ima i toliko rubnih slučajeva kojih se mogu sjetiti gdje ovo ne radi i umjesto da kažem, "da, oni opravdane su zabrinutosti u budućnosti samo s pristupnim ključem koju želimo," postoji stalna kritika bilo kojeg ispitivanje.
1Password je otišao toliko daleko da je rekao da su pristupni ključevi "budućnost autentifikacije": https://www.future.1password.com/passkeys/
