בכנות, אני הולך קצת יותר רחוק מזה.קנטן אמר:הציניקן שבי רוצה להישען לשיווק לפחות מהקצה של גוגל. אני מרגיש כאילו אני רואה פחות הסברים על המכניקה של Keys ויותר של גוגל שוללת את הביטוי "מות הסיסמה" לכמה שיותר מהדורות חדשות.
לחץ להרחבה...
כי אני חושב על זה הרבה לאחרונה. זה מעביר את הנטל לכמעט אשמתו של הלקוח אם זה ייושם במלואו. פריצות מסד נתונים/סיסמאות אינן עוד מה שמסכנים אנשים, אלא אובדן מכשיר פיזי או לחיצה על "אפשר" במנהל המפתחות שלהם. זהו שינוי משמעותי באחריות אם חשבונו של מישהו יתקלקל בעתיד, מכיוון שהוא יכול לטעון ששום דבר בצדו לא יכול למנוע זאת.
והדחיפה הענקית הזו של יחסי ציבור / אסטרוטורפינג חלקית בטענה שזה יהרוג סיסמאות מבלי להיכנס ממש לפרטים הללו גורמת לי להמשיך במורד חור הארנב הזה.
לא רק זה, אלא אם הם באמת אוכפים את דרישת ה-Bluetooth (שאני בספק רב כי זה יחסום למעשה אנשים מלהעניק גישה זמנית ל משפחה/חברים שרחוקים מהם) אז כגורם יחיד, זה בעצם לא מספק לאדם הפשוט הרבה יתרונות ביטחוניים, אלא מספק אחריות עצומה לתאגידים יתרונות.
אולי.בלתזר אמר:אני צריך לתהות עד כמה זה בטוח יותר בפועל. נראה לי שזו מערכת די מורכבת עם הרבה חלקים נעים. ככל שמשהו מורכב יותר, כך גדל הסיכוי שיש בעיות אבטחה.אני מבין את השיפור התיאורטי, אבל השטן נמצא בפרטי (היישום). אני חושב שאני מעדיף לחכות ולראות מאשר לקפוץ פנימה בשתי הרגליים.
לחץ להרחבה...
אין לי הרבה חששות אבטחה עם התקן (זה בעיקר ה-UX לשחזור והגירה שזו הבעיה IMO). אבל יותר חלקים נעים בהחלט מקשים על יישום מפתחות עבור ספקי שירות. גוגל יכולה לעשות את זה, ואני בטוח שלחברות טכנולוגיה גדולות אחרות לא יהיו בעיות גדולות, אבל מה לגבי עסקים מקומיים, פורומים של מעריצים, שירותים ממשלתיים ואחרים שמגלגלים את עצמם?
אני מניח שה"נחמה" שם היא שלמרות תגי "100% מאובטח" שנוטים להדביק באתרים האלה, אין כבר ערובה שמישהו עושה עבודה טובה עם האבטחה. אז יישום מפתח באגי עשוי לא להיות גרוע יותר ממה שהם כבר עושים.
לשולחן העבודה הביתי שלי אין חומרת Bluetooth בכלל. זה יכול להיפתר די בקלות, אבל בהתחשב בכך שלמחשב נייד העבודה שלי יש BT חסום על ידי IT, למה שאני יטרח?
זה מרגיש כמו אחד מאותם פתרונות שתוכננו על ידי ועבור מהנדסי חברת ביג טק או פרילנסרים של WFH שיכולים לעשות כל דבר שהם אוהבים עם החומרה שלהם, לא משהו שצריך להיות תואם ל-IT ארגוני או ממשלתי מכביד מדיניות.
אף אחת משלושת חברות הטכנולוגיה "הגדולות" לא תהיה שומרת על המפתחות שלך. מפתחות סיסמה מוחזקים במכשיר. אם אינך רוצה לסנכרן את מפתח הסיסמה שלך באמצעות שירות כלשהו, שים את אותו מפתח במספר מכשירים. יש לך רק מכשיר אחד ועכשיו הוא נעלם? זו אותה בעיה כמו מנהלי סיסמאות ללא סנכרון. בסופו של דבר תצטרך לבצע אימות מחדש עם שירותים שונים בדיוק כמו שהיית עושה בכל מקרה דומה של נעילה. רוב האנשים יסנכרנו את מפתחות הסיסמה שלהם כמו שהם עושים את הסיסמאות שלהם. ולא, אם גוגל תסגור את החשבון שלך, היא לא תוכל להשבית את מפתחות הסיסמה שכבר יש לך במכשירים שלך. אתה תאבד את שירות הסנכרון שלהם, אבל תוכל להתחיל להשתמש באחד אחר במקום זאת.
מפתחות סיסמה לא ניתנים לדיוג, אי אפשר לשכוח אותם, לא ניתן לקבל אותם באמצעות דליפות נתונים, והם מטבעם ייחודיים ומאובטחים. אלו באמת שיפורים גדולים. הם גם קלים יותר לשימוש כי ברגע שהם נמצאים על המכשיר שלך האימות הוא פשוט.
הפעלת אותם, נכון?
לחץ להרחבה...
לא, וגם אני לא. למרות הרעיון שהוא "בטוח יותר" מטבעו, זה גם מטבעו מְסוּכָּן לחיים שלך מחוץ לטכנולוגיה. שקול את ההשלכות המשפטיות של עשייה זו, ובאמת כל דבר, לפני שתמשיך! חלקם עשויים להציע שמדובר בפרנויה בלבד, או "יש לך מה להסתיר?", אבל זכור שבית המשפט העליון אישר שלא ניתן לכפות עליך לספק משהו שאתה לָדַעַת, אבל זה אתה פחית להיות נאלץ לספק לך משהו יש, ומשהו שאתה הם.
בעיקרו של דבר, המשטרה ורשויות אחרות יכולות לחייב ביטול נעילת פנים וביטול נעילת טביעת אצבע (ביומטרי), אך אינן יכולות להכריח או לאלץ אותך לספק את הסיסמה שלך.
לכן, החשבונות, המכשירים וכו' שלך יהיו כפופים כעת במלואם חוּקִי חיפוש (אפילו תחת תיקונים שכביכול מונעים זאת), ויהיה לו את היכולת לעשות זאת בנסיבות רבות, כולל בטווח של 100 מייל מגבול.
אין מצב שאשמח לספק זאת.
אם אתה משתמש ביומטריה במכשירים הניידים שלך, הכירו את תכונת ה-LOCKDOWN שלה. הן iOS והן אנדרואיד מספקות פונקציונליות זו. וחדשות טובות, זה עדיין אפשרי לחלוטין להקליט בזמן שמכשיר ננעל (בשתי הפלטפורמות).
לא, למרבה הצער, אני לא אאפשר זאת אלא אם כן זה בא עם היכולת לספק גורם נוסף ב חיבור, כגון ביטול נעילה של סיכה, דפוס או תמונה.
עריכה: נוספה הערה לגבי השלכות משפטיות.
ג'רי לאב אמר:שאלה.אם מכשיר עם מפתחות סיסמה נפרץ לחלוטין; האם לשחקן הרע יש כעת גישה לאימות לכל החשבונות שלי בכל מקום מהמכשיר הזה (מאחר שיש לו את המפתחות והוא מעביר את כל האבטחה שהמכשיר המסוים הזה משתמש בו)?
כלומר: אני מבין שליוביקי שלי יש בעיה דומה (אם למישהו יש את זה פיזית, הוא יכול להגיע לכל הדברים שלי), אז זה לא בהכרח חדש; אבל עדיין.
לחץ להרחבה...
לא, הם אמורים להיות מאוחסנים באחסון מאובטח כגון TPM או Secure Enclave שדורשים PIN/קוד גישה או ביומטריה כדי לפתוח.
עם מפתח Yubi (ורוב אימותי FIDO2), אתה יכול גם לדרוש PIN/קוד גישה כדי להשתמש בו, כך שעצם קבלתו לא חייבת להיות קטסטרופלית.
ג'ארקס אמר:זו הסיבה שלכולם יש בעיות עם כל המאמרים האלה. יש הטוענים ש-Bluetooth נדרש לאימות קרבה, אחרים טוענים שלא. התיעוד ה"רשמי" לוקה בחסר מאוד, התיעוד של מנהל הסיסמאות לא ממש מציין כך או כך. זה נראה כמו אינטגרציה לא מלאה.
לחץ להרחבה...
זו רק בעיה בכך שקטעי ההערות מלאים באנשים שחוזרים על FUD מבלי לאמת אף אחד מהפרטים (בדומה לאגדות האורבניות על ביומטריה).
מפתחות סיסמה פועלים בכל מכשיר שרשמתם. לכל מכשיר יש מפתח שניתן להשתמש בו כדי להתחבר וזה עובד גם אם אתה במצב טיסה ברשת מבודדת.
המקום שבו Bluetooth נכנס הוא אפשרות אחת כאשר אתה רוצה להשתמש במערכת שאין לה את המפתח אבל יש לך משהו כמו טלפון שכן. אתה יכול להתחבר, למשל, למחשב ציבורי על ידי שימוש בטלפון שלך כדי לענות על האתגר של אותו מחשב, שבו Bluetooth מונע מהתקפה להתרחש יותר זמן ממרחק קצר מהטלפון שלך (כלומר, איזה בחור בבלארוס שמנסה לעשות דיוג אתה לא יכול לעשות בלוטות' מקומי וגם אם הם יכולים, בדיקת תזמון התגובה הייתה לְהִכָּשֵׁל). זוהי נוחות עבור התרחיש הזה, אבל אם זה לא משהו שאתה עושה, אתה לא צריך לחשוב על זה.
בהחלט לא. הדרישות של מכשיר נוסף וביומטרי אומר שלעולם לא אשתמש במפתחי סיסמה. אני אשאר עם סיסמאות וקודים במידת הצורך. ביומטריה על גופתי המתה.
אני חושב שזה יותר פשוט.ג'ארקס אמר:בכנות, אני הולך קצת יותר רחוק מזה.כי אני חושב על זה הרבה לאחרונה. זה מעביר את הנטל לכמעט אשמתו של הלקוח אם זה ייושם במלואו. פריצות מסד נתונים/סיסמאות אינן עוד מה שמסכנים אנשים, אלא אובדן מכשיר פיזי או לחיצה על "אפשר" במנהל המפתחות שלהם. זהו שינוי משמעותי באחריות אם חשבונו של מישהו יתקלקל בעתיד, מכיוון שהוא יכול לטעון ששום דבר בצדו לא יכול למנוע זאת.
והדחיפה הענקית הזו של יחסי ציבור / אסטרוטורפינג חלקית בטענה שזה יהרוג סיסמאות מבלי להיכנס ממש לפרטים הללו גורמת לי להמשיך במורד חור הארנב הזה.
לא רק זה, אלא אם הם באמת אוכפים את דרישת ה-Bluetooth (שאני בספק רב כי זה יחסום למעשה אנשים מלהעניק גישה זמנית ל משפחה/חברים שרחוקים מהם) אז כגורם יחיד, זה בעצם לא מספק לאדם הפשוט הרבה יתרונות ביטחוניים, אלא מספק אחריות עצומה לתאגידים יתרונות.
לחץ להרחבה...
ביג טק רוצה להרוג סיסמאות כי זה עלות משמעותית. חשבונות שנפגעו מייצגים בעיה מרכזית בשירות לקוחות. זה מונע מאנשים להשתמש בשירותים שלהם, זה גורם לאנשים לאבד את הנתונים החשובים ולעתים קרובות מאוד אישיים שלהם, וזה יקר וגוזל זמן לתקן. זו הסיבה שגוגל, פייסבוק וכו'. כל כך להוטים לדחוף את 2FA ורוצים להפוך אותו לכמה שיותר קרוב לחובה. 2FA נוכחי מפחית משמעותית את בעיות האבטחה הללו - אך הוא מגיע גם עם שורה של בעיות UX ופשרות. בטווח הארוך, מפתחות סיסמה מבטלים הרבה מהחסרונות הללו תוך שהם מספקים UX טוב יותר.
זכור שאנו משתמשים בסיסמאות משחר המחשוב - ובכל זאת אנו עדיין רואים עיקריות טעויות שנעשו ביישום שלהם, אפילו דברים בעלי ראש כמו חברות המאחסנות אותם בטקסט פשוט לא מאובטח מסדי נתונים. אבל אפילו אז, עברו כמה עשורים עד שבאמת סידרנו הרבה מהבעיות, והופיעו מנהלי סיסמאות טובים באמת. למפתחות הגישה ייקח קצת זמן לסדר גם את הבעיות.
כמו כן, בחייך, ההאשמות באסטרוטורפינג הן פשוט קצת מגוחכות. אתה יודע איך סיקור חדשות טכנולוגי עובד נכון? מדוע אתר חדשות טכנולוגי שמסקר טכנולוגיה חדשה חשוד? לא בשביל זה אתה כאן?
אם יש לי בעיה עם הדיווח סביב מפתחות, זו ההצעה שהם מוכנים כעת לפריים טיים. אני חושב שהם מסודרים ואולי כדאי להשתמש עבור סוגי האנשים שנוטים לקרוא חדשות טכנולוגיות על אבטחת כניסה... אבל משתמשים ממוצעים, היום, לא כל כך. יחד עם זאת, הם גם לא יגיעו לשם אם אנשים לא יודעים שהם קיימים, אז בהחלט יש תועלת בהוצאת הבשורה.
אני חושב שהרבה אנשי Ars יהיו המומים באיזו תדירות אנשים שנותרו מאחור בעניין הזה צריכים לשחזר את החשבונות שלהם. היו לי הרבה אנשים שנכנסו וכשאני מציע להפעיל 2FA הם מיד מתנגדים כי בפעם האחרונה הם עשו שהם איבדו גישה לחשבון השני ואז הדבר שהם ניסו להגן עליו נעלם לָנֶצַח.
א מִגרָשׁ של אנשים יבחרו להיות פחות מאובטחים אם זה אומר שהם יכולים להיות בטוחים באופן סביר שהם עדיין יוכלו לגשת לחשבונות שלהם לאחר שיחליפו טלפון או כל דבר אחר.
לעזאזל, יש לנו מספר קטן של פטרונים שהם מבוגרים מאוד או שיש להם TBIs שאנחנו שומרים עבורם תיק נעול במקרה הנדיר שהם צריכים להיכנס ולגשת לחשבון מקוון.
שום דבר מדברי המפתח הזה לא נשמע כאילו זה הולך לעשות להם את החיים קלים יותר. זה באמת נשמע כאילו זה יקשה על העבודה שלי ככל שהיא תתפשט.
אני מקווה שאני טועה.
מאיפה אתה מביא את המידע הזה?adamsc אמר:זו רק בעיה בכך שקטעי ההערות מלאים באנשים שחוזרים על FUD מבלי לאמת אף אחד מהפרטים (בדומה לאגדות האורבניות על ביומטריה).מפתחות סיסמה פועלים בכל מכשיר שרשמתם. לכל מכשיר יש מפתח שניתן להשתמש בו כדי להתחבר וזה עובד גם אם אתה במצב טיסה ברשת מבודדת.
המקום שבו Bluetooth נכנס הוא אפשרות אחת כאשר אתה רוצה להשתמש במערכת שאין לה את המפתח אבל יש לך משהו כמו טלפון שכן. אתה יכול להתחבר, למשל, למחשב ציבורי על ידי שימוש בטלפון שלך כדי לענות על האתגר של אותו מחשב, שבו Bluetooth מונע מהתקפה להתרחש יותר זמן ממרחק קצר מהטלפון שלך (כלומר, איזה בחור בבלארוס שמנסה לעשות דיוג אתה לא יכול לעשות בלוטות' מקומי וגם אם הם יכולים, בדיקת תזמון התגובה הייתה לְהִכָּשֵׁל). זוהי נוחות עבור התרחיש הזה, אבל אם זה לא משהו שאתה עושה, אתה לא צריך לחשוב על זה.
לחץ להרחבה...
כל אחד מהמאמרים האלה צריך לקשר לתיעוד ממשי כי אחרת זה רק הצהרות שאינן מאומתות כלל. אני מנסה לחפש בגוגל את זרימת העבודה או המפרט, וממש כל תוצאות החיפוש פשוט לא מצרף שום דבר אחר מאשר הבלוג של גוגל והעיתונות הקשורה לחדשות המתרברב כיצד זה יהרוג סיסמאות ללא הטכנולוגיה האמיתית מסמכים.
אל תטרח להגיד לי איך לעשות את זה עד שתגיד לי איך להתאושש אם משהו משתבש. והחלמה מוטב להיות חסינת תקלות, כי זה הרבה יותר קל להיות טיפש לפעמים מאשר להיות חכם בכל פעם ארור.
לא זכרתי את הסיסמה שלי לגוגל כשהגדרתי את הטלפון החדש שלי, אז גוגל שאלתי את שאר ההתחברות שלי אם אני יכול להיכנס, אמרתי שכן, ואני נכנסתי.
אני משתמש בטלפון אנדרואיד. אני משתמש בכרום יש לי אופיס 365 בטלפון לעסקים ורק לעסקים. איך אני יכול לאמת רק עסקים מבלי לוותר על מידע אישי. או לכיוון השני
בעבודה אני משתמש בשלושה דפדפנים. Firefox אם אני מחפש משהו באופן אישי, כרום עבור מערכת ה-ERP שלנו, וחיפושי אינטרנט הקשורים ל-Edge לעבודה, כל אחד מקבל כניסות שונות ומאחסן כניסות שונות.
אם אתה נכנס למערכת אקולוגית אחת, המערכות האלה עובדות בסדר. עד שהם יבוטלו
מצטערים, המערכת הזו עדיין לא מוכנה לפריים טיים. תעיר אותי כשזה קורה וזה חלק ואני לא צריך לסמוך על Chrome כדי לעשות את זה (אני מאוד לא אוהב את Chrome ומסרב להשתמש בו אלא אם יש צורך מוחלט). יש לקוות שמוזילה יכולה לגרום ליישום לעבוד ללא הבעיות הרגילות שלהם (שנוגעות הרבה יותר לחילוקי דעות בין אנשים שמנהלים דברים מאשר בבעיות טכניות בימינו).