Da je korisnik kojem sam odgovarao imao yubikeys onda ne bi ni postavljao pitanje niti bi imao bilo kakav problem koji je imao. Pretpostavljam da je bolji odgovor reći im da nauče nešto o yubikeysima i odu kupiti neki, naravno.dangoodin je rekao:I dalje ne razumijem kako/zašto je lakše ili sigurnije ponijeti šifru sa sobom na put nego ponijeti nekoliko yubi ključeva.
Kliknite za proširenje...
Posljednji put sam otišao na dugo putovanje (3 tjedna) oko 2017., godinu ili više prije nego što sam se prijavio za Ars 2018. i dobio besplatni yubikey (tada sam saznao što su i kako funkcioniraju). Kupio sam nekoliko i koristim ih cijelo vrijeme. Svakako ih nosim kad putujem (i u biti imam jedan stalno u putnom ruksaku).
Ipak, ako odem na još jedno dugo putovanje, možda ću ponijeti kodove, kao i ključeve. Kad sam prije putovao na to dugo putovanje, imao sam samo svoj telefon. Moj proces razmišljanja je bio da ako izgubim ili razbijem telefon i treba mi trenutni pristup mojoj e-pošti ili drugom računu, trebat ću računalo u knjižnici ili hotelu ili tako nešto. Yubikey je prilično jednostavan USB uređaj, koliko razumijem ponaša se u osnovi kao USB tipkovnica. Ipak, iskreno nemam pojma hoće li mi javna knjižnica dopustiti da priključim bilo koji USB uređaj.
Ostale pritužbe uključuju nedostatak uputa, kvarove hardvera i softvera.
U svakom slučaju, palo mi je na pamet da ćemo jednog dana napraviti cijeli krug i početi nositi sa sobom starinski pravi metalni ključ, vjerojatno s ugrađenim čipom koji umetnete i okrenete da otključate uređaj. Trebat će vam nekoliko rezervnih dijelova pohranjenih na uobičajenim mjestima. itd.
Što god bila sljedeća velika stvar, volio bih je vidjeti neovisno o zahtjevima za račun velike tehnološke korporacije i njuškanju.
Doslovno prije 5 dana Ars je objavio članak u kojem nam je rekao da je njihovo korištenje "vjerojatno užasna ideja". Udar biča ovdje je malo veći.
Mislim da ću pričekati da ova tehnologija postane stvarno raširena prije nego što počnem. Također treba provjeriti podržava li ga Bitwarden na neki način (stvarno sam zauzet ovih dana, moram naći vremena da provjerim).
Uredi: ono što mislim pod ovim je: ako Bitwarden to podržava za web-mjesta koja ga usvajaju i ja bih ga i dalje mogao koristiti kao jedinstveno rješenje za sve potrebe autentifikacije, onda bih mogao ranije početi.
Tako:pocal je rekao:Zaporka ne ovisi o biometriji. Biometrija se koristi samo za autentifikaciju korisnika na lokalnom uređaju i nikad ga ne napušta.
Kliknite za proširenje...
1) Ovo pretpostavlja da ne postoji neka ranjivost niske razine u lokalnom uređaju koja bi Evi omogućila eksfiltraciju biometrije. Da, to se može dogoditi s lozinkama, ali ja mogu lako poništiti lozinku; uzorke šarenice, otiske prstiju ili crte lica mnogo (mnogo, mnogo, mnogo) je teže promijeniti.
2) Ova specifična zabrinutost može biti primjenjiva samo na Amerikance (ili ljude u Americi), ali lozinke jesu jača zaštita od prisilnog otkrivanja putem 5. amandmana nego biometrija, što znači da bih trebao zamijeniti složenu lozinku s numeričkim PIN-om ako bih to želio zadržati.
dangoodin je rekao:Ma daj. Stvaranje zaporke je na neki način glasanje? Sada se svi hvatate za slamku.
Kliknite za proširenje...
Uh da. Budući da Googleov vlastiti blog post na tu temu izričito kaže da pomno prate usvajanje i autentifikaciju pomoću zaporki kako bi mogli prije deproviziju zaporki.
Sviđa mi se što odgovarate samo na ove komentare, a ne na one koji vas pitaju kako određene stvari funkcioniraju (primjerice kada se pokušavate ponovno autentificirati na uređaju koji nema Bluetooth). Cijela se stvar također temelji na pretpostavci da svatko na svijetu ima više uređaja za provjeru autentičnosti jedni drugima u slučaju da se uređaji izgube. Ali umjesto 1) rješavanja ovih problema ili 2) priznavanja da su pristupni ključevi iznimno nejasni oko bilo kakvog rubnog slučaja koji nije superosnovan, jednostavno želite natjerati ljude da rade svoje istraživanje". Kad je rečeno, bijele knjige i istraživanja nemaju odgovora.
Pa, hvala što si mi pokušao staviti riječi u usta, pretpostavljam?dangoodin je rekao:Žao mi je što Ars ne maršira u koraku onako kako biste željeli.
Kliknite za proširenje...
Nadam se da će noviji članak pokazati da su veliki problemi u prethodnom članku riješeni. Inače samo izgleda kao da noviji članak gura prste u uši i govori "la la ne čujem te, šifre su super!" Pa, možda i jesu... osim svih onih temeljnih ograničenja o kojima je govorio prošli članak, a koja nisu popravljena u prošlom... provjerava bilješke o da, 5 dana.
Ono što ovdje kažete poseban je slučaj situacije bez uređaja.randomuser42 je rekao:Zato sa sobom kada putujem nosim tiskani primjerak kodova za oporavak.
Kliknite za proširenje...
Postoje ljudi koji nemaju uređaj: rade na zajedničkim računalima, na primjer. Drugi ne žele imati uređaj koji im omogućuje pristup važnim stvarima. Zato što vas netko može prisiliti da koristite uređaj na načine koje ne želite.
Ipak, drugi nikada neće moći koristiti telefon na način koji je potreban za pristupni ključ. Pomislite na starije ljude koji su izgubili svoju spretnost u tom pogledu.
Ako tim ljudima pomažete na vlastitom uređaju, stvari postaju prilično komplicirane.
I postoje ljudi koji ponekad žele biti daleko od svog telefona, ali ipak mogu pristupiti nečemu.
Ovo se može činiti rubnim slučajevima, ali svatko od nas bit će blizu jednog od tih rubova, prije ili kasnije.
Uopće mi nije jasno kako je to bolje od odgovarajuće dobro generiranih lozinki pohranjenih u upravitelju lozinki, s 2FA.
Zahtijevanje Bluetooth veze - koja nikad ne radi kad vam je potrebna - ne pomaže.
A) Ako imate mnogo Apple uređaja, trebali biste koristiti zaporke... možda. Ali samo ako vjerujete da Apple nikada neće zeznuti ili da će vas zeznuti.
B) Ako imate windows/android, onda se svakako klonite.
Jarrex je rekao:Reći nekome da 1) svatko tko ima vaš uređaj ima pristup svim vašim računima, a zatim, ako saznate da je netko drugi dodao pristupni ključ, možete ga ukloniti tako da vaša stranica s računima (koja zahtijeva prijavu) zanemaruje činjenicu da bi zlonamjerni akter stoga mogao učiniti potpuno istu stvar, jer su zaporke implicitno vjerovao.
Kliknite za proširenje...
TBH ovo se bitno ne razlikuje od slučaja za veliku većinu mobilnih uređaja sada. Skoro svi pohranjuju svoje podatke za prijavu u svoje aplikacije i koriste opciju biometrijskog otključavanja ako je dostupna. Na najbolje koriste upravitelja lozinkama... to ionako vjerojatno koristi biometriju za otključavanje.
Kao, ništa ovdje ne bi trebalo odvratiti pažnju od dugotrajnog sigurnosnog aforizma da kada jednom imate lokalni pristup, sve oklade padaju.
FWIW, možda zvuči kao da sam zaluđenik protiv zaporke, ali zapravo samo pokušavam shvatiti kada i kako ću ih zapravo moći pouzdano koristiti. I trenutno se čini da je odgovor na to "kada Bitwarden implementira svoj višeplatformski E2EE sustav zaporki tako da ne morate brinuti o Bluetoothu dostupnost ili hardverske ključeve FIDO2." Dovraga, već koristim biometrijsko otključavanje za svaku aplikaciju koju mogu na svom iPhoneu, volio bih imati isti jednostavan postupak dostupan za proizvoljna prijave na web stranice.
Ova točna fraza:dangoodin je rekao:Hmmm, još uvijek se ne spominje deprovizija.
Kliknite za proširenje...
"Dakle, možda do Svjetskog dana lozinki sljedeće godine, nećete čak ni morati koristiti svoju lozinku, a još manje je pamtiti!"
Implikiranje da je se nećete morati sjećati u roku od jedne godine je izjava koja implicira da lozinke, nadamo se, neće biti potrebne u roku od godinu dana. Kad bih vam rekao da ne biste trebali čak ni koristiti ključ od kuće, a još manje ga posjedovati - ne biste se pitali pokušavam li ukloniti potrebu za fizičkim ključem. Impliciranje da ne bismo morali pamtiti lozinku je potpuno isti scenarij.
Kombinirajte to s njihovim metrikama hvalisanja o usvajanju zaporki i kako je to praktičnije, implicira da oni doista mjere usvajanje kako bi pokušali postupno ukinuti zaporke.
Wbd je rekao:Kontekst članka je prijava na Google vjerodajnicu pomoću zaporke. 'Big 3' i nekoliko drugih nude deponiranje ključeva i oporavak, ali web-mjesta izravno koriste zaporke - ako koristite pristupni ključ s Best Buyom, neće provjeravati s Googleom, na primjer (osim ako ne koristite 'društvene prijave' tečaj). U tom kontekstu, brisanje vašeg računa od Googlea samo znači da ako vam telefon pokvari stvari bi mogle postati opasne. Oni su u osnovi yubikey s opcijom oporavka - dakle malo manje sigurni jer privatni ključ postoji u escrowu što rješava 50% problema s yubikeysima (ostalo je cijena i podrška za aplikacije bol).
Kliknite za proširenje...
Vauš.
Ako ponovno pročitate komentar, vidjet ćete što želim reći, ako koristim isključivo Apple uređaje, i koristim Apple ID, i opciju iCloud Keychain, onda ako Apple izbriše moje računa za bilo kakav uočeni prekršaj protiv Appleovih pravila, tada sam odmah i nepovratno zaključan sa svog Google računa, svog Best Buy računa, svoje bilo koje-druge-stranice račun.
Ako koristite Android uređaje, vaš davatelj zaporke je Google, a ako prekršite njihova pravila, oni mogu izbrisati vaš račun i vašu mogućnost da se prijavite na BILO KOJI drugi račun.
Ako koristite Windows uređaje, vaš davatelj zaporke je Microsoft, a ako prekršite njihova pravila, oni mogu izbrisati vaš račun i vašu mogućnost da se prijavite na BILO KOJI drugi račun.
Zaključak: oslanjate se na njihovu velikodušnost za pristup stranicama zaštićenim ključem.
Hmm... dosljedno odgovaranje na najosnovnija tehnička pitanja samo s "prestani biti ludit, jednostavno ne shvaćaš" podsjeća me na određeno drugo kriptografiji susjedna nova tehnologija sa strastvenim pristašama, visokom barijerom za ulazak, neparitetom s onim što zamjenjuje i ne više od nekoliko sumnjivih slučajeva upotrebe...