Nem, és kurvára nem.A cikk kontextusa a Google hitelesítő adataiba való bejelentkezés egy jelszóval. A „nagy 3” és még sok más kulcs letétbe helyezést és visszaállítást kínál, de a webhelyek közvetlenül használnak jelszót – ha jelszót a Best Buy-nál, akkor például nem fognak ellenőrizni a Google-nál (hacsak nem használ „közösségi bejelentkezést” tanfolyam). Ebben az összefüggésben az, hogy a Google törli a fiókját, csak azt jelenti, hogy ha a telefonja lemerül, a dolgok elfajulhatnak. Alapvetően egy yubikey-ről van szó, helyreállítási lehetőséggel – tehát valamivel kevésbé biztonságosak, mert létezik a privát kulcs letétben, amely a probléma 50%-át megoldja a yubkeyy-ekkel (az árcédula és az alkalmazástámogatás a maradék fájdalom).Úgy tűnik, hogy minden olyan rendszer, amely képes jelszavakat tárolni, megköveteli, hogy bízzon a három nagyban (Apple, Google, Microsoft), hogy ne törölje figyelmeztetés nélkül a fiókját. Az én esetemben, ha az Apple törli az iCloud-fiókomat és a kulcstartómat, elveszítem a hozzáférést mindenhez, ami jelszóval védett. Hasonlítsd össze azzal, ami most történik, ha megsemmisítem a fő Yubikey-t: megyek a bankomhoz, mutass nekik kettőt azonosító formáit, használja a fizikai kulcsomat a Yubikey biztonsági másolatának lekéréséhez a széfből, és lépjen tovább élet.
Amíg nem lesznek súlyos és tartós következmények az infrastrukturális szolgáltatásokat nyújtó, egyoldalúan cselekvő vállalatok számára, addig ezt semmiképpen nem fogom igénybe venni. A KeyPass/BitWarden tetszőlegesen erős jelszavakat tud generálni, tetszőleges számú Webauthn-kulcsot vásárolhat különféle gyártóktól. A belépőkulcsokkal egyetlen (automatikus, nem tárgyalható) törlést tesz ki attól, hogy véglegesen ki legyen zárva teljes online életéből.
Ha ezt a hatalmat át akarja adni egy cégnek, legyen a vendégem. Megvárom, amíg úgy kezelik, mintha a víz- vagy áramszolgáltató társaságok minden látható ok nélkül leállítanák a szolgáltatást: nagy és fájdalmas bírságok.
Nem vagyok benne biztos, hogy értem, hogyan kell egy munkafolyamatot megkövetelniHa jelszavakat másol be (vagy a memóriából gépel be, aminek más nagy léptékű problémái vannak), akkor ki van téve az adathalászatnak. Tehát a hozzáférési kulcsok nagy biztonsági fejlesztést jelentenének az Ön számára.
felkapni a telefont,
ráér egy alkalmazásra,
készítsen képet a képernyőről, és
koppints, mit kezdj ezzel az információval......egy "egyszerűbb" művelet, mint a jelszó beírása a memóriából, vagy az automatikus kiegészítés a jelszókezelővel, vagy a másolás beillesztése jelszókezelővel.
Lehetnek más előnyei is, de semmiképpen sem könnyebb.
A Google-fiókomhoz 2FA-ként használt YubiKey-eimet újra regisztráltam jelszóként. A 2FA-val a hitelesítés Google jelszó + FIDO U2F hardverkulcs volt. A jelszóval ez a FIDO2 hardverkulcs + a kulcs FIDO2 PIN kódja.
A „három nagy” technológiai vállalat egyike sem lesz a jelszó őrzője. A hozzáférési kulcsokat egy eszköz tárolja. Ha nem szeretné szinkronizálni a jelszót valamilyen szolgáltatáson keresztül, akkor tegye ugyanazt a jelszót több eszközre. Csak egy készüléked van, és most eltűnt? Ez ugyanaz a probléma, mint a szinkronizálás nélküli jelszókezelőkkel. Végül különböző szolgáltatásokkal kell újra hitelesítenie, ahogyan azt minden hasonló kizárás esetén tenné. A legtöbb ember a jelszavakat ugyanúgy szinkronizálja, mint a jelszavakat. És nem, ha a Google leállítja a fiókját, nem tudja letiltani az eszközein már meglévő jelszavakat. Elveszíti a szinkronizálási szolgáltatásukat, de használhat egy másikat.
A jelszavakat nem lehet adathalászni, nem lehet elfelejteni, nem lehet adatszivárgáson keresztül megszerezni, és eredendően egyediek és biztonságosak. Ezek tényleg nagy fejlesztések. Használatuk is egyszerűbb, mert miután az eszközön vannak, egyszerű a hitelesítés.
Yubikey-t használok ehhez, nem Androidot vagy iOS-t. Ez azt jelenti, hogy nem tartozom a Google-nak/Apple-nek ahhoz, hogy kezelhessem a kulcsomat, és nem kell attól tartanom, hogy a fiókomat feltörik, és így kiszivárogtatják a jelszót.
Összehasonlításképpen a Google Fiók bejelentkezési adataival, már egy ideje ezt a Yubikey-t használom Microsoft-fiókom eléréséhez.
A Microsoft az összes főbb asztali böngészőben működik (kivéve a MacOS Safarit, amikor legutóbb ellenőriztem). Úgy tűnik, hogy a Google-nak szüksége van a Chrome-ra.
A Microsoftnak a felhasználónév mező alatt lehetősége van más módon bejelentkezni, majd válassza ki a Windows Hello vagy a Biztonsági kulcsot, helyezze a kulcsot egy USB-portba, írja be a PIN-kódot, és nyomja meg a felül lévő gombot. Ezután megkérdezi, hogy melyik fiókot (ha több fiókot mentett), és azonnal bejelentkezik. Még a felhasználónevére/e-mail címére sem kell emlékeznie.
A Google megköveteli felhasználónevének/e-mail címének megadását, majd a kulcs beszúrását kéri. Ezután meg kell adnia a PIN-kódot, és ez bejelentkezik.
A használhatóság szempontjából a Microsoft jobb abban, hogy nem kell emlékeznie az e-mailekre. Az Ars-közönség számára ez valószínűleg negatívum. De ha 70 éves nagyszülőket támogat, minél kevesebb dologra kell emlékezniük, annál jobb. Nem erősítettem meg, de az MS rendszer hátránya, hogy a Yubikey csak meghatározott számú tárolt hitelesítő adatot támogat, míg amit a kutatásom során láttam, a Google módszere alapvetően azt jelenti, hogy a Yubikey kifejezetten az adott webhelyhez generál egy privát kulcsot. egy belső privát kulcson, a PIN-kódon, valamint néhány, a webhely és a böngésző által biztosított információn, valahányszor futnia kell a hitelesítés. Úgy tűnik, hogy mindkettő egy belső privát kulcsot használ, amely a Yubikey-hez, az Ön PIN-kódjához, a böngésző által biztosított tartományra vonatkozó bizonyos információkhoz és a meglátogatott webhelyről a kézfogás végrehajtásához biztosított információk, amelyek megakadályozzák a MITM támadások sikerességét, mivel nem tudják mindezt meghamisítani adat.
Nem tudom, mi hiányzik a Firefoxból a Google és a Microsoft implementációjához, miért nem támogatja az új jelszórendszert. Vagy csak a Google nem kéri a jelszót, mert a Firefox nem valósította meg a Bluetooth részt, amely a mellékhatása annak, hogy nem támogatja a Yubikeys/hardver tokeneket, mert a Firefoxot nem kéri rá a Google bejelentkezés webhely.
--
Ha elveszíti a jelszót, és nincs biztonsági kulcsa, akkor a biztonsági tartalék az, hogy a jelszó előtt bejelentkezett módon jelentkezzen be. Tehát általában jelszó + OTP. Bár ez azt jelenti, hogy a webhely támogat egy kevésbé biztonságos hitelesítési rendszert, az egyik előnye, hogy Ön nem rendszeresen használja a jelszót, így kisebb az esélye annak, hogy kiszivárogtassa vagy elkapja egy adathalász/MITM támadás.
--
Biztonsági szempontból a jelszavakat jelszótárcaként tekintheti meg, korlátozott webhelytámogatás mellett. Ha Yubikey-t használ, a pénztárca egy hardvereszköz a zsebében, amelyet PIN-kód véd. Android/iOS jelszó használata esetén a pénztárca felhőalapú rendszerben szinkronizálódik, és fiókja jelszava + biometrikus adatok védik. Ha elveszíti az eszközt, az hasonló a jelszófájl elvesztéséhez.
Ha minden hibára rájönnek, ez sok mindent megváltoztathat a biztonsági környezetben, mivel a nem biztonságtudatos egyének megteszik. többé nem kell ellenállnia a biztonságos jelszókövetelményeknek, és nem kell kitalálnia, hogyan kell megfelelően használni a jelszavas tárcát, és hogyan lehet elérni/szinkronizálni több között eszközöket. Azáltal, hogy alapvetően jelszótárcává válnak, a jelszavak valóban biztonságos, igazán véletlenszerű jelszavakat generálnak minden olyan webhelyhez, amelyen használják őket, és az adathalászat elleni védelmet szem előtt tartva épülnek fel.
Hogyan lehet ezt leszavazni? 100%-ban igaz.
ez van WHO, nem mit a címlapon. Nincs szeretet a Google iránt a címlapon, így támogatásuk ellene fordította a tömeget ipari szabvány.
Ez butaság.
Még egyszer, olvasók, ne figyeljenek ezekre a kommentelőkre.
A jelszó használata nem lehet megoldás a jelszavak helyettesítésére.
Ez nevetséges. Hogyan másként hitelesítene egy meglévő szolgáltatást a hitelesítési mechanizmus frissítése érdekében? Eltekintve a már tárgyalt QR- és Bluetooth módszertől. És bár a szerveroldali támadási felületet nem feltétlenül csökkenti a bejelentkezés engedélyezése, nem pedig a bejelentkezés megkövetelése, szignifikánsan csökkenti a támadási felületet az ügyféloldalon, mivel szigorúan kulcscserét végez, amelyet az operációs rendszer szintű hitelesítés engedélyez. És ez mindenki számára nyer.
Ha azon a ponton van, hogy nem bízhat meg operációs rendszere egyik biztonsági funkciójában sem, akkor azt is eldobhatja számítógépeit, és közvetítheti egy trópusi szigeten, vagy ilyesmi. Nál nél Valamikor bizonyos szintű bizalmat kell adni néhány szoftvernek.
Itt nagy a zűrzavar, azt hiszem, mert egy teljes technológiai halom ránk került, és kész tényként mutatták be. Hadd próbáljam meg, mint tudatlan, az általam értett analógiával dekonstruálni: SSH kulcspárok. Arra kérek másokat, hogy vessenek lyukat abból, amit rosszul csinálok.1. Nyilvános/privát hitelesítési kulcsok. Ez nagyjából ugyanúgy működik, mint az SSH. A webhely csak az Ön nyilvános kulcsát ismeri, és Ön aláírja az üzeneteket, hogy igazolja, hogy birtokában van a privát kulcsnak.
2. Adathalászat elleni védelem. A kulcsok egy webhelyre jellemzőek, ezért az adathalász webhelyek más kulcsot kapnak. Az SSH-nak vannak host kulcsai ehhez, feltételezem, hogy a keypass valami köze van a TLS-gazdakulcsokhoz? A böngészője ezt használja a használni kívánt billentyű kiválasztásához? Vagy csak DNS név alapján?
3. A kulcsok feloldásának módja annak bizonyítására, hogy a megfelelő felhasználó használja azokat. Az SSH-nak vannak jelszavai, feltételezem, hogy itt jön be a biometrikus / Bluetooth dolog? Az SSH intelligens kártyákkal is fel tudja oldani a kulcsokat, ezért feltételezem, hogy a biometrikus adatok egy kicsit olyan, mint egy másik feloldási mód?
4. Kulcsok szinkronizálása az eszközök között. Feltehetően itt jönnek be a felhőbeli „ökoszisztémák”, például az iCloud és a Chrome jelszószinkronizálása? SSH-hoz nincs támogatás, de rsync-el vagy bármi mással elkészítheted a sajátodat?
Mit rontottam el?
Ha a fenti nagyjából igaz, akkor el tudnék képzelni egy nyílt verem létrehozását, amely alapvetően ugyanazt teszi, mint az SSH, és egy halom fájlt használ a ~/.ssh és az rsync fájlokban az eszközök közötti mozgáshoz. Ez a „kerékpáros” megközelítés, ahol az összes mozgó alkatrész láthatóvá válik, és könnyen érthető, hogy mi történik.
Ez nem csak az emberekre vonatkozik – ez a FIDO2 frissítése, amely maga a szabvány második verziója. U2F a FIDO1; ez a CTAP 2.2 ([szerkesztés: A 2.4-es WAG-omból javítva, ami hibás volt, köszi még mindig helytelen!]), a FIDO2/WebAuthn része. Ez tényleg nem bonyolult, mint ahogy ez így megy... lazították az Authenticator követelményeit, hogy a privát kulcsot biztonságosan le lehessen (kell...) másolni, és hozzáadtak néhány Javascript funkciót, hogy megkönnyítsék az életet. Jelszó nélküli bejelentkezések? A FIDO2-vel mindig is lehetséges volt. Ez a szép része a dolognak – a FIDO1 csak MFA lehet. Privát kulcsot ad hozzá a böngészőhöz a TPM-ben vagy a biztonságos elemben? Mindig is lehetséges volt, és korábban Chrome-ban, Firefoxban és Safariban volt megvalósítva. Az újdonság az, hogy szinkronizálható, és a BT/QR rigmuson keresztül érhető el. Korábban „platformspecifikus kulcsokként” emlegették (és megjelölték a webhelyeken), szemben a hordozható kulcsokkal, amelyek hardvereszközök voltak. Most a PassKeys.
Mivel úgy tűnik, hogy a jelszórendszer lényege a jelszavaktól való megszabadulás, hadd soroljam fel a jelszavak előnyeit:
- elég egyszerűek ahhoz, hogy mindenki számára megértsék, aki szellemileg képes elektronikus eszközt kezelni
- könnyen megjegyezhetők, ha egyáltalán erőfeszítéseket teszel és rendszeresen használod őket
- minden operációs rendszeren működnek a dobozból
- nem igényelnek internet-hozzáférést (egyes rendszerek jó okból offline állapotban vannak)
- nem igényelnek harmadik fél közreműködését
- nem igényelnek okostelefont vagy egyéb kütyüt
- nincs szükségük Bluetoothra, WiFi-re, kamerára vagy akkumulátorra
- vészhelyzetben áram nélkül is tárolhatók
- könnyen átvihetők egy másik személyre bármilyen eszköz használata nélkül
- ha nem vagy mozgássérült és nem használsz okostelefont, a jelszóval történő hitelesítés mindössze néhány másodpercet vesz igénybe
Az 1-es, 2-es és 10-es pontjai egyszerűen rosszak – kérdezzen meg mindenkit, aki a műszaki támogatáson dolgozik, milyen gyakran kell jelszó-visszaállítást végeznie, mert valaki elfelejtették a jelszavukat, bekapcsolva hagyták a caps lock billentyűt (vagy rosszul helyezték el a kezüket a billentyűzeten), vagy elégszer meghúzták az ujjukat, hogy bezáruljon ki. Igen, igen, tudom, hogy Ön személy szerint mindig tökéletesen kikalapálja, de hidd el, bárki, akit az ügyfélszolgálati szolgálat hív, annak … kevésbé optimista … az emberiségről van szó. Azt is hozzáteszem, hogy sok vak felhasználót és jelszóbevitelt támogatok tömegesen szívás nekik, mert sok webhely bonyolultsági követelményeket ír elő, amelyek nehézkesek a képernyőolvasót használók számára, és ha nem vagy gyakorlott gépíró, ha ezt hangosan kimondod, az nem jó. Ez egy rés, de sok hitelesítési rendszert építő embernek jogilag is jól kell támogatnia, és ez az egyik oka annak, hogy érdekel. a technológia, mivel a „Szeretne bejelentkezni a jelszóval?” Az „igen” legalább egy nagyságrenddel gyorsabb és egyszerűbb, mint a jelszó + MFA bármilyen formája sokak számára felhasználókat.
A 3. pont igaz a WebAuthn MFA-ra, de mindig a jelszó – valami olyan, mint a Yubikey, mindenhol működik, ahol van USB/NFC, de előfordulhat be kell állítania egy PIN-kódot, vagy használnia kell a biometrikus sorozatú kulcsait olyan jelszómegvalósítóknál, mint a Google.com, amelyek nem igényelnek egyszerűbb Koppintson a.
Az 5., 6., 7. és 8. pont szintén igaz a WebAuthn minden formájára – az MFA-ra és a jelszóra egyaránt. A 4. pont igaz, kivéve amikor először regisztrál egy eszközt egy meglévő kulcs szinkronizálása során. A kulcsok első szinkronizálása után nincs szüksége hálózati kapcsolatra. Ha nem szeretne szinkronizálni, vásárolhat néhány Yubikey biometrikus kulcsot is, amelyek ismét teljesen offline módban működnek, bárhol, ahol van USB vagy NFC.
Így marad a 9. szám, ami rossz gyakorlat, és ha lehet, kerülni kell. A modern rendszereknek vannak olyan funkciói, mint a szerepalapú hitelesítés, ahol az emberek soha nem osztják meg a jelszavakat, de több személy is elvállalhat egy adott szerepet, vagy például örökölt vagy delegált. olyan fiókok, ahol soha többé nem osztja meg a jelszavakat, hanem egy, vagy ami még jobb, több embernek lehetőséget ad arra, hogy például visszaállítsa a jelszavát vagy átvegye az irányítást a fájljaidat.
Az, hogy valami új, és nem tanultad meg, hogyan működik, még nem jelenti azt, hogy rossz vagy kerülendő. A belépőkulcsok nagy változást jelentenek legtöbbünk számára – a .gov kivételével, mivel a PIV/CAC az előző századra nyúlik vissza, még akkor is, ha kevés más helyen elfogadták – de a biztonsági előnyök mellett számos használhatósági fejlesztéssel is rendelkeznek, és egyértelmű út van a kiépítéshez néhány hiányzó rész (pl. nagyon szeretnék egy Apple/Google jelszavát szinkronizálni egy Yubikey-vel, hogy bedobhassam a széfembe ügy).
Nyilvánvalóan nem csak szinkronizáláskor, hanem hitelesítéskor is elérhetőnek kell lennie, hiszen arra használják. És az első regisztráció során is elérhetőnek kell lennie.És ezt próbálom elmagyarázni neked: Könnyű lenne hitelesíteni egy meglévő eszközzel, és azt használni. eszköz egy másik nyilvános kulcs hozzáadásához, amelyet egy másik, új eszközön generálnak, és egyesek elküldenek a régi eszközre eszközök. Például létrehozhatok egy új titkos kulcs/nyilvános kulcs kulcspárt az asztali gépemen, elküldhetem a nyilvános kulcsot a laptopomra, bejelentkezhetek a laptopommal, és hozzáadhatom az asztali nyilvános kulcsot. SSH-val mindig hasonló dolgokat csinálok.
Itt nincs technikai akadály. Ha ez nem lehetséges a jelszavakkal, akkor ez a választás.
A privát kulcs nem érhető el. Miért ne nézhetne utána ahelyett, hogy újra és újra megismételne egy hazugságot.
És most jobban össze vagyok zavarodva, mint mielőtt elkezdtem – továbbítottam a cikket a CS szakomnak/jobbik felemnek, hogy elmagyarázzam a dolgokat, de lehet, hogy ez nem elég.
A jelszavak könnyen megemészthetők. A 2FA könnyen megmagyarázható. A jelszónak van valami értelme, de amikor arra gondolok, hogy talán megkapom, elolvasom a következő bekezdést, és jobban eltévedek.
Az ég segítse a testvéreimet és a szüleimet.
Köszönöm, hogy ezt mondtad. Dan és mások válaszai (pl. @Wbdaz enyémet idéző kiemelt megjegyzése) a megjegyzés alapvető félreértelmezésén alapul.Ugye tudod, hogy az 1Password és a Bitwarden is dolgozik a jelszótámogatáson?Nem akarom megbízni az operációs rendszer szolgáltatómban (az én esetemben az Apple-ben mobil és asztali eszközök esetében egyaránt) a jelszót, és a válasz ismételten a következő: "De te MÁR BIZTOSÍTSA MEG A JELSZÓD A GOOGOLÁSBAN." Igen, rendben, beírok egy hosszú véletlenszerű jelszót a BitWarden/KeePass szolgáltatásból, csatlakoztatom a Yubikey-emet, és megnyomom a gomb. Soha nem függ az operációs rendszer szolgáltatómtól.
És persze, jelenleg lehetőség van arra, hogy ne használjunk jelszót, és használjunk jelszót, mint korábban, de az egész technológiai hírverés úton van a „NO MORE PASSWORDS PASSKEYS FOR MINDENKI" állomás, és ha azt mondom, "de várj, ha ki vagyok zárva minden más fiókból, mert az operációs rendszer szolgáltatóm úgy dönt, hogy nem kedvel engem, mi történik", akkor trollnak neveznek, és félretájékoztatták. Olyan sok szélső eset van, amikor eszembe jut, amikor ez nem működik, és ahelyett, hogy azt mondanám, "igen, azok jogos aggodalmak a csak jelszóval rendelkező jövőben, amit akarunk” – áll ez a tartós kritika bármelyikről kérdezősködni.
A 1Password odáig ment, hogy azt mondja, hogy a jelszó a "hitelesítés jövője": https://www.future.1password.com/passkeys/
