מפתחות סיסמה של גוגל הם דבר לא מובן מאליו. הפעלת אותם, נכון?

לא וממש לא לעזאזל.

נראה שכל מערכת בודדת שנראית מסוגלת לאחסן מפתחות סיסמה דורשת ממך לסמוך על שלושת הגדולות (אפל, גוגל, מיקרוסופט) שלא ימחק את חשבונך ללא אזהרה. במקרה שלי, אם אפל תמחק את חשבון ה-iCloud שלי ואת מחזיק המפתחות, אני מאבד גישה לכל מה שמאובטח באמצעות מפתח סיסמה. השווה את זה למה שקורה עכשיו, אם אני הורס את היוביקי הראשי שלי: אני הולך לבנק שלי, מראה להם שניים צורות תעודת זהות, השתמש במפתח הפיזי שלי כדי לאחזר את הגיבוי Yubikey מהכספת, ולהמשיך איתו חַיִים.

עד ואל אם יהיו השלכות חמורות ומתמשכות לחברות המספקות שירותי תשתית הפועלות באופן חד צדדי, אין סיכוי שאשתמש בזה. KeyPass/BitWarden יכולים ליצור סיסמאות חזקות באופן שרירותי, אתה יכול לקנות כמה מפתחות Webauthn שתרצה ממגוון ספקים. עם מפתחות סיסמה, אתה נמצא במרחק של מחיקה אחת (אוטומטית, לא ניתנת למשא ומתן) מנעילה לצמיתות מכל החיים המקוונים שלך.

אם אתה רוצה לתת את הכוח הזה לחברה, תהיה האורח שלי. אני אחכה עד שיתייחסו לזה כמו חברות מים או חשמל שמפסיקות את השירות ללא סיבה נראית לעין: קנסות גדולים ופוגעים.

ההקשר של המאמר הוא כניסה לאישור גוגל עם מפתח סיסמה. ה-'3 הגדולים' וגם כמה אחרים מציעים נאמנות מפתח ושחזור, אבל אתרים משתמשים במפתחות סיסמה ישירות - אם אתה משתמש ב- מפתח סיסמה עם Best Buy, הם לא יבדקו עם Google למשל (אלא אם כן אתה משתמש ב'כניסות חברתיות' של קוּרס). בהקשר הזה, ניקוי החשבון שלך בגוגל אומר רק שאם הטלפון שלך ימות, הדברים עלולים להיות קשים. הם בעצם yubikey עם אפשרות שחזור - אז קצת פחות מאובטח כי המפתח הפרטי קיים בפקדון אשר פותר 50% מהבעיה עם yubikeys (תג המחיר והתמיכה באפליקציה הם הנותרים כְּאֵב).
אני לא בטוח שאני מבין איך זרימת עבודה זו דורשת
תופס את הטלפון שלך,
מקישים על אפליקציה,
לצלם תמונה של המסך שלך, ו
מקיש מה לעשות עם המידע הזה...

...היא פעולה "קלה" יותר מאשר הזנת סיסמה מהזיכרון, או השלמה אוטומטית עם מנהל סיסמאות, או הדבקת העתקה עם מנהל סיסמאות.

אולי יהיו יתרונות אחרים, אבל בשום פנים ואופן זה לא קל יותר.

אם אתה מעתיק/מדביק סיסמאות (או מקליד אותן מהזיכרון, שיש לו בעיות אחרות בקנה מידה), אתה חשוף להתחזות. אז מפתחות סיסמה יהיו שיפור אבטחה גדול עבורך.
אתה יכול לעשות מפתחות סיסמה עם מפתחות אבטחה של חומרה FIDO2 כמו YubiKey. אין סיבה לשנוא מפתחות.

עבור חשבון Google שלי, רשמתי מחדש את YubiKeys שלי שבהם השתמשתי כ-2FA כדי להיות מפתחות סיסמה. עם 2FA, האימות היה סיסמת גוגל + מפתח חומרה FIDO U2F. עם מפתחות סיסמה, זהו מפתח חומרה FIDO2 + PIN FIDO2 של מפתח.

אֲנָחָה. שוב אנחנו חוזרים על זה. נושא המפתחות מוציא את הגרוע ביותר בתגובות כאן וב-HN. הרבה פרנויה והתפשטות כללית של FUD.

אף אחת משלושת חברות הטכנולוגיה "הגדולות" לא תהיה שומרת על המפתחות שלך. מפתחות סיסמה מוחזקים במכשיר. אם אינך רוצה לסנכרן את מפתח הסיסמה שלך באמצעות שירות כלשהו, ​​​​שים את אותו מפתח במספר מכשירים. יש לך רק מכשיר אחד ועכשיו הוא נעלם? זו אותה בעיה כמו מנהלי סיסמאות ללא סנכרון. בסופו של דבר תצטרך לבצע אימות מחדש עם שירותים שונים בדיוק כמו שהיית עושה בכל מקרה דומה של נעילה. רוב האנשים יסנכרנו את מפתחות הסיסמה שלהם כמו שהם עושים את הסיסמאות שלהם. ולא, אם גוגל תסגור את החשבון שלך, היא לא תוכל להשבית את מפתחות הסיסמה שכבר יש לך במכשירים שלך. אתה תאבד את שירות הסנכרון שלהם, אבל תוכל להתחיל להשתמש באחד אחר במקום זאת.

מפתחות סיסמה לא ניתנים לדיוג, אי אפשר לשכוח אותם, לא ניתן לקבל אותם באמצעות דליפות נתונים, והם מטבעם ייחודיים ומאובטחים. אלו באמת שיפורים גדולים. הם גם קלים יותר לשימוש כי ברגע שהם נמצאים על המכשיר שלך האימות הוא פשוט.

אז, לאחר ששיחקתי עם היישום של מפתחות סיסמה של גוגל במשך כמה ימים, נראה שהוא השתפר מעט לעומת כאשר הגדרתי אותו לראשונה ביום השחרור.

אני משתמש ב-Yubikey בשביל זה, לא אנדרואיד או iOS. זה אומר שאני לא מחויב לגוגל/אפל כדי להיות מסוגל לנהל את המפתח שלי, וגם אני לא צריך לדאוג שהחשבון שלי ייפגע ובכך ידליף את המפתח.

כנקודת השוואה לכניסה לחשבון Google, אני גם משתמש ב-Yubikey הזה כדי לגשת לחשבון Microsoft שלי כבר זמן מה.

מיקרוסופט פועלת בכל הדפדפנים הגדולים בשולחן העבודה (למעט Safari ב-MacOS בפעם האחרונה שבדקתי). נראה שגוגל זקוקה לכרום.

למיקרוסופט יש אפשרות מתחת לשדה שם המשתמש להיכנס בדרך אחרת, ואז אתה בוחר ב-Windows Hello או מפתח אבטחה, מכניס את המפתח ליציאת USB, מזין את ה-PIN ולחץ על הכפתור למעלה. לאחר מכן הוא ישאל אותך איזה חשבון (אם יש לך מספר חשבונות שמורים), ואתה מחובר ישר. אתה אפילו לא צריך לזכור את שם המשתמש/כתובת האימייל שלך.

גוגל דורשת ממך להזין את שם המשתמש/אימייל שלך, ואז היא מבקשת להכניס את המפתח. לאחר מכן עליך להזין את ה-PIN, והוא מתחבר אותך.

מנקודת מבט של שימושיות, Microsoft עדיפה בכך שאינך צריך לזכור את הדוא"ל שלך. עבור הקהל Ars, זה כנראה שלילי. אבל אם אתם תומכים בסבא וסבתא בני 70, ככל שהם צריכים לזכור פחות דברים, כך ייטב. לא אישרתי, אבל החיסרון של מערכת MS הוא שה-Yubikey תומך רק במספר מסוים של אישורים מאוחסנים, בעוד ממה שיכולתי לראות במחקר שלי, בשיטת גוגל בעצם יוביקי מייצר מפתח פרטי במיוחד לאתר זה מבוסס על מפתח פרטי פנימי, ה-PIN שלך, וכמה מידע מסופק על ידי האתר והדפדפן, בכל פעם שהוא צריך להפעיל את אימות. נראה ששניהם משתמשים במפתח פרטי פנימי ספציפי ל-Yubikey, קוד ה-PIN שלך, מידע מסוים על הדומיין שסופק על ידי הדפדפן, וספציפי מידע שסופק מהאתר שבו אתה מבקר כדי לבצע את לחיצת היד, מה שמונע מהתקפות MITM להצליח מכיוון שהן לא יכולות לזייף את כל זה נתונים.

אני לא בטוח מה חסר בפיירפוקס עבור היישום של גוגל לעומת זה של מיקרוסופט, למה הוא לא תומך במערכת הסיסמה החדשה. או שפשוט גוגל לא מבקשת את המפתח מכיוון שפיירפוקס לא הטמיעה את חלק ה-Bluetooth, שיש לו את תופעת לוואי של אי תמיכה באסימוני Yubikeys/חומרה מכיוון שפיירפוקס לא מתבקש לעשות זאת על ידי ההתחברות של גוגל אֲתַר.

--

אם איבדת את מפתח הסיסמה ואין לך מפתח גיבוי, החזרה לאבטחה היא להתחבר באופן שבו נכנסת לפני המפתח. אז בדרך כלל סיסמה + OTP. אמנם זה אומר שהאתר תומך במערכת אימות פחות מאובטחת, אבל יתרון אחד הוא שאתה לא שימוש בסיסמה על בסיס קבוע, כך שסביר להניח שהיא תודלף או תיירטה על ידי דיוג/MITM לִתְקוֹף.

--

מנקודת מבט אבטחה, אתה יכול לראות את מפתחות הסיסמה כארנק סיסמאות עם תמיכה מוגבלת באתר. אם אתה משתמש ב-Yubikey, הארנק הוא מכשיר חומרה בכיס שלך, מוגן באמצעות PIN. אם אתה משתמש במפתח אנדרואיד/iOS, הארנק מסונכרן במערכת ענן ומוגן על ידי סיסמת חשבונך + ביומטריה. אם אתה מאבד את המכשיר, זה דומה לאובדן קובץ הסיסמה.

ברגע שהם יבינו את כל הבעיות, יש לזה פוטנציאל לשנות הרבה דברים בנוף האבטחה, כפי שיעשו אנשים שאינם מודעים לאבטחה. לא להתנגד עוד לדרישות סיסמה מאובטחת או צורך להבין כיצד להשתמש נכון בארנק סיסמה, וכיצד לגשת/לסנכרן אותו בין מספר מכשירים. בעצם הפיכתם לארנק סיסמאות, מפתחות הסיסמה מייצרים סיסמאות מאובטחות באמת ואקראיות עבור כל אתר שבו הם נמצאים בשימוש, ונבנים מתוך מחשבה על עמידות להתחזות.

איך אפשר להצביע נגד זה? זה 100% נכון.

שֶׁלָה WHO, לא מה בעמוד הראשון. אין אהבה לגוגל בעמוד הראשון, כזו שהתמיכה שלהם הפכה את הקהל נגד תקן תעשייתי.

זה טיפשי.

שוב, קוראים, אל תשימו לב למגיבים הללו.

שימוש בסיסמה לא אמור להיות התשובה למשהו שנועד להחליף סיסמאות.

זה סוג של מגוחך. אחרת איך תבצע אימות לשירות קיים על מנת לעדכן את מנגנון האימות שלך? מלבד שיטת ה-QR וה-Bluetooth שכבר דנו עליה. ולמרות שמשטח ההתקפה בצד השרת אינו בהכרח מצטמצם על ידי הפעלה במקום דרישה לכניסה למפתח סיסמה, באופן משמעותי מפחית את משטח ההתקפה מצד הלקוח, מכיוון שאתה עוסק אך ורק בהחלפת מפתחות, המופעל על ידי אימות ברמת מערכת ההפעלה. וזה ניצחון לכולם.

אם הגעת לנקודה שאינך יכול לסמוך על אף אחת מתכונות האבטחה של מערכת ההפעלה שלך, אתה יכול באותה מידה פשוט לזרוק את מכשירי המחשוב שלך ולעבור לחיות על אי טרופי או משהו כזה. בְּ נקודה כלשהי יש לתת רמה מסוימת של אמון באיזו תוכנה.

יש כאן הרבה בלבול, אני חושב כי ערימה טכנולוגית שלמה הושלכה עלינו והוצגה כעובדה מוגמרת. תן לי, בתור בור, לנסות לפרק את זה באנלוגיה למה שאני כן מבין: צמדי מפתחות SSH. אני מזמין אחרים לבחור חורים במה שאני טועה.

1. מפתחות אימות ציבוריים/פרטיים. זה עובד בערך כמו SSH. האתר יודע רק את המפתח הציבורי שלך, ואתה חותם על הודעות כדי להוכיח שאתה מחזיק במפתח הפרטי.

2. הגנה נגד פישינג. מפתחות הם ספציפיים לאתר, כך שאתר התחזות מקבל מפתח אחר. ל-SSH יש מפתחות מארח בשביל זה, אני מניח ש-keypass משתמש במשהו שקשור למפתחות מארח TLS? הדפדפן שלך משתמש בזה כדי לבחור באיזה מפתח להשתמש? או רק לפי שם DNS?

3. אמצעי לפתיחת המפתחות כדי להוכיח שהמשתמש הנכון משתמש בהם. ל-SSH יש ביטויי סיסמה, אני מניח שכאן נכנס העניין הביומטרי / בלוטות'? SSH יכול גם לפתוח מפתחות עם כרטיסים חכמים, ולכן אני מניח שהביומטרי הוא קצת כמו מצב פתיחה אחר?

4. סנכרון מפתחות בין מכשירים. כנראה שכאן נכנסות 'מערכות אקולוגיות' בענן, כמו סנכרון סיסמאות iCloud ו-Chrome? עבור SSH אין תמיכה, אבל אתה יכול לבשל בעצמך עם rsync או משהו כזה?

מה טעיתי?

אם האמור לעיל נכון באופן כללי, אני יכול לדמיין בניית מחסנית פתוחה שעושה בעצם את אותו הדבר כמו ש-SSH עושה באמצעות ערימת קבצים ב-~/.ssh ו-rsync כדי לעבור בין מכשירים. זוהי גישת ה'אופניים' שבה כל החלקים הנעים חשופים וקל להבין מה קורה.


זה לא מושלך רק על אנשים - זהו עדכון ל-FIDO2, בעצמו הגרסה השנייה של התקן. U2F היה FIDO1; זה CTAP 2.2 ([עריכה: תוקן מה-WAG שלי של 2.4 שהיה שגוי, תודה עדיין לא נכון!]), חלק מ-FIDO2/WebAuthn. זה באמת לא מסובך כמו שזה הולך... הם שחררו את דרישות ה-Authenticator כך שניתן (חייבים...) להעתיק את המפתח הפרטי בצורה מאובטחת, והוסיפו כמה תכונות של Javascript כדי להקל על החיים. כניסות ללא סיסמה? תמיד היה אפשרי עם FIDO2. זה החלק המסודר של זה - FIDO1 יכול להיות רק MFA. האם להוסיף מפתח פרטי לדפדפן שלך המאוחסן ב-TPM או ברכיב מאובטח? תמיד היה אפשרי, ו הוטמע בעבר בכרום, פיירפוקס וספארי. מה שחדש הוא שניתן לסנכרן אותו, ולגשת אליו דרך BT/QR rigmarole. בעבר, הוא כונה (וסומן לאתרי אינטרנט) כ"מפתחות ספציפיים לפלטפורמה", בניגוד לאלה הניידים שהיו התקני חומרה. עכשיו זה PassKeys.
מכיוון שנראה שכל המטרה של מערכת המפתחות היא להיפטר מסיסמאות, הרשו לי לפרט כמה מהיתרונות של סיסמאות:
  • הם פשוטים מספיק כדי להבין עבור כל מי שמסוגל נפשית להפעיל מכשיר אלקטרוני
  • קל לזכור אותם אם אתה מתאמץ בכלל ומשתמש בהם באופן קבוע
  • הם עובדים על כל מערכות ההפעלה מחוץ לקופסה
  • הם אינם דורשים גישה לאינטרנט (יש מערכות שאינן מקוונות מסיבה טובה)
  • הם אינם דורשים שיתוף פעולה של אף צד שלישי
  • הם אינם דורשים נוכחות של סמארטפון או גאדג'ט אחר
  • הם אינם דורשים Bluetooth, WiFi, מצלמות או סוללות
  • ניתן לאחסן אותם במקרה חירום ללא צורך בחשמל
  • ניתן להעביר אותם בקלות לאדם אחר ללא שימוש במכשיר כלשהו
  • אם אינך מוגבל ואינו משתמש בסמארטפון, אימות באמצעות סיסמה אורך שניות בודדות

הנקודות שלך מס' 1, מס' 2 ו-#10 פשוט שגויות - שאל את כל מי שעובד בתמיכה טכנית באיזו תדירות הוא צריך לבצע איפוס סיסמה בגלל שמישהו שכחו את הסיסמה שלהם, השאירו את מקש ה-caps lock מופעל (או שמו את ידם לא נכון על המקלדת), או הקישו על זה מספיק פעמים כדי להינעל הַחוּצָה. כן, כן, אני יודע שאתה באופן אישי תמיד מוציא את זה בצורה מושלמת, אבל תאמין לי, לכל מי שמקבל טלפונים למוקד יש נקודת מבט … פחות אופטימית … על האנושות. אוסיף גם שאני תומך בהרבה משתמשים עיוורים ובהזנת סיסמא בצורה מאסיבית מבאס עבורם כי לאתרים רבים יש דרישות מורכבות שקשה למשתמשי קוראי מסך, ואם אתה לא קלדנית מיומנת להגיד את זה בקול זה לא נהדר. זו נישה אבל היא כזו שאנשים רבים שבונים מערכות אימות נדרשים על פי חוק לתמוך היטב, וזו אחת הסיבות שבגללן אני מתעניין בה הטכנולוגיה מאז "האם אתה רוצה להיכנס עם המפתח שלך?" "כן" הוא לפחות סדר גודל אחד מהיר וקל יותר מכל צורה של סיסמה + MFA עבור רבים מהם משתמשים.

נקודה מס' 3 נכונה לגבי WebAuthn MFA אבל תמיד מפתחות - משהו כמו Yubikey עובד בכל מקום שיש לך USB/NFC אבל אתה יכול צריך להגדיר קוד PIN או להשתמש במפתחות הסדרה הביומטרית שלהם עבור מיישמי מפתחות סיסמה כמו Google.com שדורשים יותר מאשר פשוט בֶּרֶז.

נקודות #5, #6, #7 ו-#8 נכונות גם לכל סוגי WebAuthn - גם MFA וגם מפתחות סיסמה. נקודה מס' 4 נכונה למעט הפעם הראשונה שבה אתה רושם מכשיר בעת סנכרון מפתח קיים. לאחר הפעם הראשונה שסנכרנת את המפתחות שלך, אינך זקוק לחיבור רשת. אם אתה לא רוצה לסנכרן, אתה יכול גם לקנות כמה מפתחות ביומטריים של Yubikey ששוב עובדים במצב לא מקוון לחלוטין בכל מקום שיש לך USB או NFC.

זה משאיר את מס' 9, שהוא תרגול גרוע ויש להימנע ממנו אם אפשר. למערכות מודרניות יש דברים כמו אימות מבוסס תפקידים, שבהם אנשים אף פעם לא חולקים סיסמאות, אבל מותר למספר אנשים לקחת תפקיד נתון, או דברים כמו מדור קודם או מואצלה חשבונות שבהם אתה שוב לעולם לא משתף סיסמאות אלא נותן לאחד או, אפילו טוב יותר, למספר אנשים הנדרשים בשילוב את היכולת לעשות משהו כמו לאפס את הסיסמה שלך או להשיג שליטה על הקבצים שלך.

זה שמשהו חדש ולא למדת איך הוא עובד לא אומר שהוא רע או שיש להימנע ממנו. מפתחות סיסמה הם שינוי גדול עבור רובנו - .gov למעט מאז PIV/CAC חוזר למאה הקודמת שם גם אם מעט מקומות אחרים אימצו את זה - אבל יש להם מספר שיפורים בשימושיות בנוסף ליתרונות האבטחה, ויש דרך ברורה לבנייה. חלק מהחלקים החסרים (למשל, אני באמת רוצה את היכולת לסנכרן מפתח אפל/גוגל ל-Yubikey כדי שאוכל להשאיר אותו בכספת שלי רק ב מקרה).

ברור שהוא חייב להיות זמין לא רק במהלך הסנכרון, אלא גם במהלך האימות, מכיוון שהוא משמש עבורו. וזה גם צריך להיות זמין במהלך ההרשמה הראשונית.

וזה מה שאני מנסה להסביר לך: יהיה קל לבצע אימות עם מכשיר קיים, ולהשתמש בזה מכשיר כדי להוסיף מפתח ציבורי אחר, שנוצר במכשיר אחר, חדש, ונשלח למכשיר הישן על ידי אומר. לדוגמה, אני יכול ליצור מפתח סודי / מפתח ציבורי חדש במחשב השולחני שלי, לשלוח את המפתח הציבורי למחשב הנייד שלי, להיכנס עם המחשב הנייד שלי ולהוסיף את המפתח הציבורי של שולחן העבודה. אני עושה דברים דומים עם SSH כל הזמן.

אין כאן שום מכשול טכני. אם זה לא אפשרי עם מפתחות סיסמה, אז זה מבחירה.


המפתח הפרטי אינו נגיש. למה לא לחפש את זה במקום לחזור על שקר שוב ושוב.
בתור מישהו שמסוגל להבין את רוב המאמרים על Ars אבל ללא רקע טכני אמיתי, אני חושבים שהמכשול הגדול ביותר לאימוץ כללי הולך להיות לגרום לאנשים להבין מה קורה עַל. קראתי את המאמר, פעמיים. קראתי את התגובות המובילות וכמה מהאחרות.

ועכשיו אני יותר מבולבל ממה שהייתי לפני שהתחלתי - העברתי את המאמר למג"ר/חצי טוב יותר כדי להסביר דברים אבל אולי זה לא מספיק.

סיסמאות מתעכלות בקלות. קל להסביר את 2FA. מפתחות סיסמה די הגיוניים, אבל בדיוק כשאני חושב שאולי אקבל את זה, אני קורא את הפסקה הבאה והולך לאיבוד יותר.

שמיים עזרו לאחים והוריי.

תודה לך שאמרת את זה. התגובות של דן ואחרים (למשל, @Wbdהתגובה המקודמת של התגובה שלי) מבוססת על קריאה שגויה בסיסית של ההערה.

אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.

ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.

אתה מבין שגם 1Password וגם Bitwarden עובדים על תמיכה במפתח סיסמה, נכון?

1Password הרחיק לכת עד כדי לומר שמפתחות סיסמה הם "עתיד האימות": https://www.future.1password.com/passkeys/

ההודעה האחרונה בבלוג

הסקייטבורד הטוב ביותר למתחילים
September 03, 2023

שלטו ביסודות, ממדרכות ועד חצי צינורות. אנו עשויים להרוויח הכנסות מהמוצרים הזמינים בדף זה ולהשתתף בתוכניות שותפים. למד עוד >חגורת סקייטבורד לתרמ...

שלושה כלים המונעים על ידי אדם להרס מירבי
September 03, 2023

בין אם אתם מבקעים עצים או הורסים בית שלם, הכלים האלה יכולים לעשות את העבודה. כשלעצמו, לגוף האדם אין סיכוי מול בטון או עצים. עם זאת, חמושים בכלי יצ...

מל"טים ומסוקים חוברים למטרות צופיות בעיראק
September 03, 2023

מתוך תרגיל אימון באפריל 2015 בפורט בליס, טקסס. המסוקים היו מזווגים עם מל"טים מסוג RQ-7 Shadow. אלכסנדר נילי, צבא ארה"ב, באמצעות ויקימדיה קומונסטורפ...