No e assolutamente no, cazzo.Il contesto dell'articolo è l'accesso a una credenziale Google con una passkey. I "big 3" e molti altri offrono deposito e recupero delle chiavi, ma i siti utilizzano direttamente le chiavi di accesso, se si utilizza un passkey con Best Buy, ad esempio non controlleranno con Google (a meno che non si utilizzino gli "accedi social" di corso). In questo contesto, Google cancella il tuo account significa solo che se il tuo telefono muore le cose potrebbero diventare rischiose. Sono fondamentalmente una ybikey con un'opzione di ripristino, quindi leggermente meno sicura perché esiste la chiave privata in deposito a garanzia che risolve il 50% del problema con yubikeys (il rimanente è il prezzo e il supporto dell'app) Dolore).Ogni singolo sistema che sembra essere in grado di memorizzare le passkey sembra richiedere che tu abbia fiducia che i tre grandi (Apple, Google, Microsoft) non eliminino il tuo account senza preavviso. Nel mio caso, se Apple elimina il mio account iCloud e il portachiavi, perdo l'accesso a tutto ciò che è protetto con una passkey. Confrontalo con quello che succede adesso, se distruggo il mio Yubikey principale: vado alla mia banca, gliene mostro due forme di identità, usa la mia chiave fisica per recuperare il backup Yubikey dalla cassetta di sicurezza e vai avanti vita.
Fino a quando non ci saranno conseguenze serie e durature per le aziende che forniscono servizi infrastrutturali che agiscono unilateralmente, non potrò assolutamente utilizzarlo. KeyPass/BitWarden può generare password arbitrariamente complesse, puoi acquistare tutte le chiavi Webauthn che desideri da una varietà di fornitori. Con le passkey, ti manca solo una cancellazione (automatica, non negoziabile) per essere bloccato permanentemente dalla tua intera vita online.
Se vuoi dare quel potere a un'azienda, sii mio ospite. Aspetterò finché non verrà trattato come se le società idriche o elettriche interrompessero il servizio senza una ragione apparente: multe salate e dannose.
Non sono sicuro di capire come funziona un flusso di lavoro che richiedeSe stai copiando e incollando le password (o digitandole dalla memoria, il che presenta altri problemi su larga scala), sei vulnerabile al phishing. Quindi le passkey rappresenterebbero un grande miglioramento della sicurezza per te.
prendendo il telefono,
accedendo a un'app,
scattare una foto dello schermo e
toccando cosa fare con tali informazioni......è un'operazione "più semplice" rispetto all'immissione di una password dalla memoria, al completamento automatico con un gestore di password o al copia e incolla con un gestore di password.
Potrebbero esserci altri vantaggi, ma non è affatto più semplice.
Per il mio account Google, ho registrato nuovamente le mie YubiKey che stavo utilizzando come 2FA come passkey. Con 2FA, l'autenticazione era password Google + chiave hardware FIDO U2F. Con le passkey, è la chiave hardware FIDO2 + il PIN FIDO2 della chiave.
Nessuna delle “tre grandi” aziende tecnologiche sarà custode delle tue passkey. Le passkey vengono conservate su un dispositivo. Se non desideri sincronizzare la tua passkey tramite una sorta di servizio, inserisci la stessa passkey su più dispositivi. Hai un solo dispositivo e ora non c'è più? Questo è lo stesso problema dei gestori di password senza sincronizzazione. Alla fine dovrai autenticarti nuovamente con servizi diversi proprio come faresti in qualsiasi caso simile di blocco. La maggior parte delle persone sincronizzerà le proprie passkey come fanno con le proprie password. E no, se Google chiude il tuo account non potrà disabilitare le passkey che hai già sui tuoi dispositivi. Perderai il servizio di sincronizzazione ma potresti iniziare a utilizzarne un altro.
Le passkey non possono essere oggetto di phishing, non possono essere dimenticate, non possono essere ottenute attraverso fughe di dati e sono intrinsecamente uniche e sicure. Questi sono miglioramenti davvero grandi. Sono anche più facili da usare perché una volta sul tuo dispositivo l'autenticazione è semplice.
Sto usando Yubikey per questo, non Android o iOS. Ciò significa che non sono obbligato a Google/Apple per poter gestire la mia chiave, né devo preoccuparmi che il mio account venga compromesso e quindi perda la passkey.
Per fare un paragone con l'accesso all'account Google, utilizzo da tempo questo Yubikey anche per accedere al mio account Microsoft.
Microsoft funziona su tutti i principali browser desktop (tranne Safari su MacOS l'ultima volta che ho controllato). Google sembra aver bisogno di Chrome.
Microsoft ha un'opzione sotto il campo del nome utente per accedere in un modo diverso, quindi seleziona Windows Hello o Chiave di sicurezza, inserisci la chiave in una porta USB, inserisci il PIN e premi il pulsante in alto. Ti verrà quindi chiesto quale account (se hai più account salvati) e sarai loggato direttamente. Non hai nemmeno bisogno di ricordare il tuo nome utente/indirizzo email.
Google ti richiede di inserire il tuo nome utente/e-mail, quindi richiede l'inserimento della chiave. È quindi necessario inserire il PIN e si accede.
Dal punto di vista dell'usabilità, Microsoft è migliore in quanto non è necessario ricordare la propria posta elettronica. Per il pubblico di Ars, questo è probabilmente un aspetto negativo. Ma se sostieni i nonni settantenni, meno cose hanno da ricordare, meglio è. Non ho confermato, ma uno svantaggio del sistema MS è che Yubikey supporta solo un numero specifico di credenziali memorizzate, mentre da quello che ho potuto vedere nella mia ricerca, il metodo Google fondamentalmente fa sì che Yubikey generi una chiave privata specificatamente per quel sito su una chiave privata interna, il tuo PIN e alcune informazioni fornite dal sito e dal browser, ogni volta che è necessario eseguire il autenticazione. Entrambi sembrano utilizzare una chiave privata interna specifica per Yubikey, il tuo PIN, alcune informazioni sul dominio fornite dal browser e specifici informazioni fornite dal sito che stai visitando per eseguire l'handshake, che impedisce agli attacchi MITM di avere successo poiché non possono falsificare tutto ciò dati.
Non sono sicuro di cosa manchi in Firefox per l'implementazione di Google rispetto a quella di Microsoft, perché non supporta il nuovo sistema di passkey. Oppure è semplicemente Google che non richiede la passkey perché Firefox non ha implementato la parte Bluetooth, che ha il file effetto collaterale di non supportare Yubikeys/token hardware perché Firefox non viene richiesto dall'accesso di Google luogo.
--
Se si perde la passkey e non si dispone di una passkey di backup, il fallback di sicurezza consiste nell'accedere nello stesso modo in cui si accedeva prima della passkey. Quindi di solito password + OTP. Sebbene ciò significhi che il sito supporta un sistema di autenticazione meno sicuro, un vantaggio è che tu non lo sei utilizzando la password regolarmente, quindi è meno probabile che venga divulgata o intercettata da attacchi di phishing/MITM attacco.
--
Dal punto di vista della sicurezza, puoi visualizzare le passkey come un portafoglio di password con supporto del sito limitato. Se utilizzi una Yubikey, il portafoglio è un dispositivo hardware in tasca, protetto da un PIN. Se utilizzi la passkey Android/iOS, il portafoglio viene sincronizzato in un sistema cloud e protetto dalla password del tuo account e dai dati biometrici. Se perdi il dispositivo, è come perdere il file della password.
Una volta risolti tutti i problemi, ciò ha il potenziale per cambiare molte cose nel panorama della sicurezza, poiché gli individui non attenti alla sicurezza lo faranno non dovrai più resistere ai requisiti di password sicure o dover capire come utilizzare correttamente un portafoglio di password e come accedervi/sincronizzarlo su più dispositivi. Diventando sostanzialmente un portafoglio di password, le passkey generano password davvero sicure e casuali per ogni sito su cui vengono utilizzate e sono costruite pensando alla resistenza al phishing.
Come è possibile che questo venga sottoposto a downvoting? È vero al 100%.
Suo Chi, non Che cosa in prima pagina. Nessun amore per Google in prima pagina, tanto che il loro sostegno ha messo contro la folla uno standard di settore.
È sciocco.
Ancora una volta, lettori, non prestate attenzione a questi commentatori.
L'uso di una password non dovrebbe essere la risposta a qualcosa destinato a sostituire le password.
Questo è un po' ridicolo. In quale altro modo ti autenticheresti per un servizio esistente per aggiornare il tuo meccanismo di autenticazione? A parte il già discusso metodo QR e Bluetooth. E sebbene la superficie di attacco sul lato server non sia necessariamente ridotta abilitando anziché richiedendo l'accesso con passkey, esso in modo significativo riduce la superficie di attacco lato client, poiché sei strettamente impegnato in uno scambio di chiavi, abilitato dall'autenticazione a livello di sistema operativo. E questa è una vittoria per tutti.
Se sei al punto da non poterti fidare di nessuna delle funzionalità di sicurezza del tuo sistema operativo, potresti anche buttare via i tuoi dispositivi informatici e andare a vivere su un'isola tropicale o qualcosa del genere. A qualche punto è necessario dare un certo livello di fiducia a una parte del software.
C'è molta confusione qui, penso perché un intero stack tecnologico ci è stato scaricato addosso e presentato come un fatto compiuto. Vorrei, da ignorante, provare a decostruirlo per analogia con ciò che capisco: coppie di chiavi SSH. Invito gli altri a individuare i buchi in ciò che sbaglio.1. Chiavi di autenticazione pubblica/privata. Funziona più o meno come SSH. Il sito web conosce solo la tua chiave pubblica e tu firmi messaggi per dimostrare di possedere la chiave privata.
2. Protezione antiphishing. Le chiavi sono specifiche di un sito, quindi un sito di phishing ottiene una chiave diversa. SSH ha chiavi host per questo, presumo che il keypass usi qualcosa a che fare con le chiavi host TLS? Il tuo browser lo utilizza per selezionare quale chiave utilizzare? O solo per nome DNS?
3. Mezzi per sbloccare le chiavi per dimostrare che l'utente giusto le sta utilizzando. SSH ha passphrase, presumo che sia qui che entra in gioco la questione biometrica/Bluetooth? SSH può anche sbloccare le chiavi con le smartcard, quindi presumo che la biometria sia un po' come un'altra modalità di sblocco?
4. Sincronizzazione delle chiavi tra dispositivi. Presumibilmente è qui che entrano in gioco gli “ecosistemi” cloud, come la sincronizzazione delle password di iCloud e Chrome? Per SSH non c'è supporto, ma puoi crearne uno tuo con rsync o altro?
Cosa ho sbagliato?
Se quanto sopra è sostanzialmente corretto, potrei immaginare di costruire uno stack aperto che fondamentalmente fa lo stesso di SSH usando una pila di file in ~/.ssh e rsync per spostarsi tra i dispositivi. Questo è l’approccio “della bicicletta” in cui tutte le parti in movimento sono esposte ed è facile capire cosa sta succedendo.
Non viene semplicemente scaricato sulle persone: si tratta di un aggiornamento di FIDO2, a sua volta la seconda versione dello standard. U2F era FIDO1; questo è CTAP 2.2 ([modifica: corretto dal mio WAG di 2.4 che era sbagliato, grazie Ancora errato!]), parte di FIDO2/WebAuthn. In realtà non c'è niente di complicato in questo senso... hanno allentato i requisiti dell'Authenticator in modo che la chiave privata possa (deve essere...) copiata in modo sicuro e hanno aggiunto alcune funzionalità Javascript per semplificare la vita. Accessi senza password? È sempre stato possibile con FIDO2. Questa è la parte bella: FIDO1 potrebbe essere solo MFA. Aggiungere una chiave privata al tuo browser memorizzata nel TPM o nell'elemento sicuro? È sempre stato possibile, e era precedentemente implementato in Chrome, Firefox e Safari. La novità è che può essere sincronizzato e accessibile tramite la trafila BT/QR. In precedenza, veniva indicato (e contrassegnato nei siti Web) come "chiavi specifiche della piattaforma", in contrapposizione a quelle portatili che erano dispositivi hardware. Ora tocca a PassKey.
Poiché lo scopo principale del sistema passkey sembra essere quello di eliminare le password, lasciatemi elencare alcuni dei vantaggi delle password:
- sono abbastanza semplici da comprendere per chiunque sia mentalmente capace di utilizzare un dispositivo elettronico
- sono facili da ricordare se fai qualche sforzo e li usi regolarmente
- funzionano su tutti i sistemi operativi immediatamente
- non richiedono l'accesso a Internet (alcuni sistemi sono offline per una buona ragione)
- non richiedono la collaborazione di terzi
- non richiedono la presenza di uno smartphone o altro gadget
- non richiedono Bluetooth, WiFi, fotocamere o batterie
- possono, in caso di emergenza, essere immagazzinati senza bisogno di energia elettrica
- possono essere facilmente trasmessi ad un'altra persona senza l'uso di alcun dispositivo
- se non sei portatore di handicap e non utilizzi uno smartphone, l'autenticazione con password richiede solo pochi secondi
I tuoi punti n. 1, n. 2 e n. 10 sono semplicemente sbagliati: chiedi a chiunque lavori nel supporto tecnico quanto spesso deve reimpostare la password perché qualcuno hanno dimenticato la password, hanno lasciato il tasto BLOC MAIUSC attivato (o hanno posizionato male la mano sulla tastiera) o l'hanno toccato con le dita abbastanza volte da bloccarsi fuori. Sì, sì, so che tu personalmente lo risolvi sempre perfettamente, ma credimi, chiunque riceva chiamate all'helpdesk ha una visione... meno ottimistica... dell'umanità. Aggiungerò anche che supporto molti utenti non vedenti e l'immissione di password in modo massiccio fa schifo per loro perché molti siti hanno requisiti di complessità che sono difficili per gli utenti di screen reader e se non sei un abile dattilografo touch dirlo ad alta voce non è eccezionale. Si tratta di una nicchia, ma è un argomento che anche molte persone che creano sistemi di autenticazione sono tenuti per legge a supportare bene, ed è uno dei motivi per cui sono interessato a la tecnologia dal momento che "Vuoi accedere con la tua passkey?" Per molti, "Sì" è almeno un ordine di grandezza più veloce e più semplice di qualsiasi forma di password + MFA utenti.
Il punto n. 3 è vero per WebAuthn MFA ma sempre passkey: qualcosa come Yubikey funziona ovunque tu abbia USB/NFC ma potresti è necessario impostare un PIN o utilizzare le chiavi della serie biometrica per gli implementatori di passkey come Google.com che richiedono più di un semplice rubinetto.
I punti 5, 6, 7 e 8 valgono anche per tutte le forme di WebAuthn, sia MFA che passkey. Il punto 4 è vero tranne che per la prima volta che registri un dispositivo durante la sincronizzazione di una chiave esistente. Dopo la prima sincronizzazione delle chiavi, non avrai più bisogno di una connessione di rete. Se non desideri sincronizzarti, puoi anche acquistare un paio di chiavi biometriche Yubikey che funzionano completamente offline ovunque tu abbia USB o NFC.
Resta il punto 9, che è una cattiva pratica e dovrebbe essere evitata se possibile. I sistemi moderni hanno cose come l'autenticazione basata sui ruoli, in cui le persone non condividono mai le password ma più persone possono assumere un determinato ruolo, o cose come legacy o delegate account in cui non condividi mai più le password ma dai a una o, meglio ancora, a più persone richieste in combinazione la possibilità di fare qualcosa come reimpostare la password o acquisire il controllo di i tuoi file
Solo perché qualcosa è nuovo e non hai imparato come funziona non significa che sia brutto o da evitare. Le passkey rappresentano un grande cambiamento per la maggior parte di noi, ad eccezione di .gov poiché PIV/CAC risale al secolo precedente anche se in pochi altri posti l'hanno adottato, ma apportano una serie di miglioramenti in termini di usabilità oltre ai vantaggi in termini di sicurezza, e c'è un percorso chiaro per svilupparlo alcune delle parti mancanti (ad esempio, vorrei davvero avere la possibilità di sincronizzare una passkey Apple/Google con uno Yubikey in modo da poterlo riporre nella mia cassaforte appena caso).
Ovviamente deve essere disponibile non solo durante la sincronizzazione, ma anche durante l'autenticazione, poiché serve a questo. E deve essere disponibile anche durante la prima registrazione.Ed è quello che sto cercando di spiegarti: sarebbe facile autenticarsi con un dispositivo esistente e utilizzarlo dispositivo per aggiungere un'altra chiave pubblica, che viene generata su un altro, nuovo, dispositivo e inviata da alcuni al vecchio dispositivo significa. Ad esempio, potrei creare una nuova coppia chiave segreta/chiave pubblica sul mio computer desktop, inviare la chiave pubblica al mio laptop, accedere con il mio laptop e aggiungere la chiave pubblica del desktop. Faccio sempre cose simili con SSH.
Non ci sono ostacoli tecnici qui. Se ciò non è possibile con le passkey, è per scelta.
La chiave privata non è accessibile. Perché non cercarlo invece di ripetere una menzogna ancora e ancora.
E ora sono più confuso di quanto lo fossi prima di iniziare: ho inoltrato l'articolo alla mia specializzazione in informatica/metà migliore per spiegare le cose, ma potrebbe non essere sufficiente.
Le password sono facilmente digeribili. 2FA è facile da spiegare. Le chiavi di accesso hanno un senso, ma proprio quando penso che potrei capirle, leggo il paragrafo successivo e mi perdo ancora di più.
Il cielo aiuti i miei fratelli e i miei genitori.
Grazie per averlo detto. Le risposte di Dan e altri (ad esempio, @Wbd(il commento promosso che cita il mio) si basa su una fondamentale lettura errata del commento.Ti rendi conto che sia 1Password che Bitwarden stanno lavorando al supporto della passkey, vero?Non voglio affidare le passkey al mio provider del sistema operativo (Apple nel mio caso sia per i dispositivi mobili che per quelli desktop) e la risposta è ripetutamente "Ma tu FIDATI GIÀ DI GOOGLE CON LA TUA PASSWORD." Sì, va bene, inserisco una lunga password casuale da BitWarden/KeePass, collego il mio Yubikey e premo il pulsante pulsante. Non dipende in alcun momento dal mio provider del sistema operativo.
E certo, in questo momento c'è la possibilità di non usare le passkey e di usare una password come prima, ma l'intero treno dell'hype tecnologico è sulla buona strada per "NIENTE PIÙ PASSWORD PASSKEY PER TUTTI" e se dico "ma aspetta, se vengo bloccato fuori da tutti gli altri account perché il mio fornitore di sistema operativo decide che non gli piaccio, cosa succede?" vengo chiamato troll e male informato. Ci sono anche così tanti casi limite che mi vengono in mente in cui questo non funziona e invece di dire "sì, quelli sono preoccupazioni valide nel futuro in cui vogliamo solo passkey," c'è questa critica sostenuta a qualsiasi cosa interrogatorio.
1Password è arrivata al punto di affermare che le passkey sono "il futuro dell'autenticazione": https://www.future.1password.com/passkeys/
