אתה לא צריך לסמוך על שלושת הגדולים כדי להשתמש במפתחות. בכל אופן, המשיכו להשתמש בסיסמאות, אבל אנא הודיעו לעצמכם לפני שתגיבו.
הרומז שלא תצטרך לזכור זאת תוך שנה היא הצהרה שרומזת שבתקווה לא יהיה צורך בסיסמאות תוך שנה.
אם תקרא את התגובה שוב, תראה מה שאני אומר הוא, אם אני משתמש אך ורק במכשירי אפל, ואני משתמש במזהה אפל, ובאפשרות מחזיק מפתחות iCloud, אז אם אפל תמחק את שלי חשבון לכל עבירה הנתפסת נגד הכללים של אפל, אז אני ננעל באופן מיידי ובלתי הפיך מחוץ לחשבון Google שלי, חשבון Best Buy שלי, כל אתר אחר שלי חֶשְׁבּוֹן.
כאילו, שום דבר כאן לא אמור להסיח את הדעת מהפרשת האבטחה ארוכת השנים שברגע שיש לך גישה מקומית, כל ההימורים כבויים.
FWIW, זה אולי נשמע כאילו אני מטומטם נגד מפתחות כאן, אבל אני באמת רק מנסה להבין מתי ואיך אני באמת אצליח להשתמש בהם בצורה מהימנה. וכרגע, נראה שהתשובה לכך היא "כאשר Bitwarden מיישם את מערכת מפתח הסיסמה E2EE חוצת הפלטפורמות שלהם, כך שלא תצטרך לדאוג לגבי Bluetooth זמינות או מפתחות חומרה FIDO2." לעזאזל, אני כבר משתמש בביטול נעילה ביומטרי עבור כל אפליקציה שאני יכול באייפון שלי, אשמח לקבל את אותו תהליך פשוט זמין עבור שרירותי כניסות לאתר.
מעבר מ"אפילו לא תצטרך להשתמש בסיסמה שלך, ועוד פחות מזה לזכור אותה" ל"אנחנו מתכננים לבטל סיסמאות" זה די קפיצת מדרגה.
ואם המכשיר שלך לא תומך בטביעת אצבע או מזהה פנים, אתה תמיד יכול פשוט להזין את ה-PIN לביטול הנעילה.
בעיה קטנה אחת מלבד אחרות אולי כבר לא הזכירה זמן לגלול בארוחת צהריים קצרה. הם אינם חוצי פלטפורמה כפי שהבנתי. אז אם אתה מחובר ב-Windows Chrome, הם לא יעבדו ב-iOS Chrome. תשכחו מהאנדרואיד בשבילי שסמסונג לא סיפקה עדכוני אבטחה אחרי השנה הראשונה. אל תשתמש בו לעסקאות מאובטחות. אירוני לא תשתמש בהם באנדרואיד בכל מקרה בהתחשב במי שיצר ותחזק את אנדרואיד.
הפוסט עודכן כדי להבהיר זאת.
אני חושב שאתה בטח יודע היטב שזו שטות.
שוב, זה בסדר לשאול שאלות אם אתה לא מבין, אבל בבקשה תפסיק לחזור על דברים לא מדויקים מבחינה עובדתית או טכנית.
עם מפתחות סיסמה:
התוקף לא רק יכול לקבל גישה שיש לה גישה כברירת מחדל בטלפון (שלא מצריך אימות מחדש).
אבל גם, יכול לקבל גישה לכל חשבון מאופשר סיסמה ולהוסיף אותו אוטומטית כמכשיר מהימן באמצעות Bluetooth לטלפון האמור.
עם מנהל סיסמאות:
לתוקף יש גישה למכשיר ולאפליקציות שאינם יוצאים באופן מקורי מהמכשיר האמור.
התוקף לא יכול לגשת למנהל הסיסמאות מכיוון שלמנהל האמור יש סיסמת אימות משנית.
עדיין לא מתלהב מהדרישה למכשיר נוסף מכיוון שאני מנקה עוגיות בכל המכשירים שלי כל כמה ימים והצורך להשתמש במכשיר אחר כל כמה ימים זה לא נוח. אבל אני יכול לחיות עם זה.
במקרה (הנפוץ) בו מנהל הסיסמאות אינו נעול באמצעות ביומטריה, אין אימות משני, מעבר למה שמפתח ידרוש גם.
שום דבר כאן לא נראה לי שונה מבחינה איכותית למעט מקרי קצה (לא נוחים באופן משמעותי).
"מפתחות סיסמה של גוגל הם דבר לא מובן מאליו. הפעלת אותם, נכון?"
אני לא "מדליק" שום דבר על ידי או מגוגל.אני יודע לגבי מנהל הסיסמאות שלך, אבל בטלפון שלי, מנהלי סיסמאות דורשים אימות מחדש בכל פעם שהטלפון מופעל מחדש או לאחר X ימים והביומטריה לא עובדת -- נפרדת לחלוטין מקוד הסיסמה/ביומטרי המשמש לפתיחת הנעילה של טלפון.
אני עובד על מערכת אבטחה שדורשת מחשב שולחני, טלפון חכם, אוזניות בלוטוס, קורא אלקטרוני ועוזר ביתי. זה יהיה הכי קל ועמיד בפני שטויות עד כה
לפי מה שהבנתי זה תקן חדש בתעשייה ולא רק עניין של גוגל. אני אחכה שאפל ומיקרוסופט יישמו את זה במלואו לפני שאני אטרח, לראות איך אני לא באמת משתמש במוצרי גוגל מלבד יוטיוב.
מפתחות כניסה מגניבים וטובים. אבל לא, אני לא אשתמש באחד מגוגל וכו'. אני אקח משהו שהוא קוד פתוח לחלוטין ומאפשר לי לשמור גיבויים עצמאיים של המפתחות שלי, תודה רבה.
"מפתחות סיסמה של גוגל הם דבר לא מובן מאליו. הפעלת אותם, נכון?"
אני לא "מדליק" שום דבר על ידי או מגוגל.אם מכשיר עם מפתחות סיסמה נפרץ לחלוטין; האם לשחקן הרע יש כעת גישה לאימות לכל החשבונות שלי בכל מקום מהמכשיר הזה (מאחר שיש לו את המפתחות והוא מעביר את כל האבטחה שהמכשיר המסוים הזה משתמש בו)?
כלומר: אני מבין שליוביקי שלי יש בעיה דומה (אם למישהו יש את זה פיזית, הוא יכול להגיע לכל הדברים שלי), אז זה לא בהכרח חדש; אבל עדיין.
אלא שזה לא. אם מישהו אומר לך שאתה לא צריך לזכור את מפתחות הגיבוי המילוליים שלך, היית קורא להם משוגעים. אז או שגוגל אומרת שאתה מקווה שלא תצטרך סיסמאות תוך שנה (מה שמרמז על שום שימוש) או שהם אומרים שזה בסדר לגמרי לא לזכור סיסמה שמשמשת כגיבוי למפתחות, וזה יהיה יותר מגוחך מ- הַצהָרָה.
זה לא כמעט מסובך כמו שאתה עושה את זה.
אתם פשוט לא תוותרו על חזרה על דברים לא נכונים עובדתית. אתה יכול לטעון שהמאמר טוען ש-Bluetooth נדרש. האמת היא שהמאמר אומר:
מפתחות סיסמה הופכים את הכניסה ללא כאבים עם 2FA חזק. סיסמאות לבד לא. כל הנחת היסוד של שאלתך, "זה לא משפר את האבטחה או מקל על המשתמש", שגויה.
אוף, עוד הערה שגויה לחלוטין שהייתה מועילה לו היית לוקח רק דקה או שתיים כדי ללמוד את העובדות. כל מי שכבר משתמש בטביעת אצבע או בסריקת פנים כבר עומד בפני אותו סיכון של גישה ללא מלחמה לחשבונות. אם הבעיה עבורך היא הסיכון של ביומטריה, הקפד להיות עקבי ולא להשתמש בהן בשום מקום. גם אם זה אתה, אין שום דבר שמונע ממך להשתמש במפתחות סיסמה ולאימות באמצעות סיסמת ביטול הנעילה של המכשיר שלך ולא הביומטרי שלך.
זה לא משפר את האבטחה בגלל תוקף יכול להתעלם ממנו לחלוטין וללכת על הסיסמה במקום זאת. אין קו הגנה נוסף שמוצג כאן, רק משטח התקפה רחב יותר.
היה התמקדות גדולה בביומטריה בכל מאמרי המפתח ופספסתי היכן ניתן היה להשתמש בקודי סיסמה. מכאן סימן השאלה בפוסט שלי שרמז על שאלה ולא להיות מומחה. אין ספק שהגנת סיסמה תקל על החשש הזה. תודה שחינכת אותי, אם כי בגישה.
Safari מציג קוד QR שהמשתמש יכול לסרוק באמצעות טלפון אנדרואיד, לבחור את מפתח הסיסמה ולאמת באמצעות נעילת המסך שלו. חתימת מפתח חד פעמית מועברת חזרה ל-Safari ב-Mac, שבה האתר משתמש לאחר מכן כדי להיכנס למשתמש. שני המכשירים מוודאים שהם נמצאים בקרבה זה לזה באמצעות Bluetooth.