זה מרגיש כאילו מי שיש לו את האצבע על כפתור ה'קידום' לא מנסה להציג אחר תצוגות מעניינות, אבל במקום זאת מחדד את הקורא עם נרטיב לנסות ולזכות באיזשהו סוג טיעון אינטרנט.
המפתח הפרטי חייב להיות זמין במהלך האימות על ידי מה שאי פעם מאמת או שהוא לא יכול לעשות זאת. אין מתמטיקה של רשימת קסמים.
אפילו מובלעת מאובטחת לא תשנה את זה, מכיוון שהיתה לה גישה בעצמה, כמובן. כך שניתן ליצור מפתחות ציבוריים גם מהמפתח הפרטי הזה, מבלי לפגוע באבטחה.
אם לא, אז זו בחירה של המעצבים ולא מגבלה טכנית.
אני מאוד אוהב את הרעיון להקשות על התקפת דיוג, אבל הגישה הזו מקריבה יותר מדי בשביל זה.
כמו כן, אני לא אוהב את המנטרה של הפיכת סיסמאות למיושנות. אמנם מערכת זו מאובטחת יותר (נגד דיוג) וכנראה טובה יותר לשימוש יומיומי, סיסמה צריך להישאר שם לפחות כצורת גיבוי של אימות, כך שתוכל להוסיף חדש (או לנעול אבד) התקן. כן, מכשיר, לא מכשירים, כי זה מה שיש לרוב האנשים שאני מכיר. במיוחד אנשים פחות מביני טכנולוגיה - בדיוק אותה קבוצה שפגיעה יותר להתחזות.
יתרונות:
1. חסין בפני פישינג.
2. מידע סודי (PIN, ביומטריה, מפתח פרטי) נשמר באופן מקומי.
חסרונות:
1. מקרה של שימוש במכשיר יחיד אינו מטופל (לא ללא סיסמה כגיבוי)
2. דרישת בלוטות'.
3. במקרה של ביטול נעילה ביומטרי (בניגוד ל-PIN*):
א) פגיע לבן/בת זוג/שותפה לדירה/... (הם יכולים ללחוץ את האצבע שלך על המכשיר בזמן שאתה ישן)
ב) שחקני מדינה מדכאים יכולים להיכנס לכל מה שהם רוצים. לפחות במקום שבו אני גר, הם לא יכולים פשוט להוציא ממך את הסיסמה, אבל לכפות מכשיר על האצבע שלך לא ייחשב שימוש מופרז בכוח.
אני מאוד אוהב את הרעיון להקשות על התקפת דיוג, אבל הגישה הזו מקריבה יותר מדי בשביל זה.
כמו כן, אני לא אוהב את המנטרה של הפיכת סיסמאות למיושנות. אמנם מערכת זו מאובטחת יותר (נגד דיוג) וכנראה טובה יותר לשימוש יומיומי, סיסמה צריך להישאר שם לפחות כצורת גיבוי של אימות, כך שתוכל להוסיף חדש (או לנעול אבד) התקן. כן, מכשיר, לא מכשירים, כי זה מה שיש לרוב האנשים שאני מכיר. במיוחד אנשים פחות מביני טכנולוגיה - בדיוק אותה קבוצה שפגיעה יותר להתחזות.
יתרונות:
1. חסין בפני פישינג.
2. מידע סודי (PIN, ביומטריה, מפתח פרטי) נשמר באופן מקומי.
חסרונות:
1. מקרה של שימוש במכשיר יחיד אינו מטופל (לא ללא סיסמה כגיבוי)
2. דרישת בלוטות'.
3. במקרה של ביטול נעילה ביומטרי (בניגוד ל-PIN*):
א) פגיע לבן/בת זוג/שותפה לדירה/... (הם יכולים ללחוץ את האצבע שלך על המכשיר בזמן שאתה ישן)
ב) שחקני מדינה מדכאים יכולים להיכנס לכל מה שהם רוצים. לפחות במקום שבו אני גר, הם לא יכולים פשוט להוציא ממך את הסיסמה, אבל לכפות מכשיר על האצבע שלך לא ייחשב שימוש מופרז בכוח
ג) פגיע למתקפה פיזית (שוב, הוצאת הסיסמה ממך קשה יותר מאשר לרסן אותך ולהשתמש באצבע שלך כדי לפתוח את המכשיר)
גישה פיזית לא באמת נחוצה ברגע שהם מקבלים גישה מרחוק. מכיוון שהם יכולים לעשות הכל ברגע שהמסך ננעל, והסימן היחיד הוא העובדה שהטלפון שלך מתחמם מבלי שתעשה כלום.
המידע השגוי מתפרסם כ'סתם שואל שאלות'.
בסדר, שמענו פעמיים עכשיו שאתה לא אוהב את הטון שלי. אפשר פשוט להמשיך הלאה, או שאתה רוצה לספר לי פעם שלישית?
אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)
אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)
לא, זה לא הטון שלי. זה שאני לא סובל מתגובות מוטעות בשרשור הזה בשמחה. אנשים כועסים כשמישהו עקשן מספיק כדי להתקשר ל-BS על דברים שלא קשה להפריך על ידי מי שלוקח את המאמץ המינימלי לקרוא את המפרט.
ממה שקראתי במאמר, זו לא מערכת מרכזית. זו רק מערכת אימות חדשה ושום "שירות מרכזי" אינו חלק מהאימות בכלל. זו אחת מנקודות החוזק שלה. אולי יש לי הסתייגויות לגבי זה (ראה הודעות קודמות שלי) אבל זה לא אחד מהם.
מדוע עלי לשלם עמלות כדי לגשת לאבטחה. אם כרטיס האשראי שלי נדחה ואני לא שם לב אליו מיד, נחשו מה הסיסמאות שלכם נעלמו.
לסמוך עליהם זה כמו לסמוך על פייסבוק. ראה את הפריצה של LastPass מכל מיני סיבות לא. הסיסמאות שלך הן המוצר שלהם.
אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)
הם לֹא יושבים ליד המקלדת וחולמים דרכים חדשות להטביע את העולם בשטויות למטרות מרושעות. זה לא איזה קמפיין אסטרוטורף. אבל כמה פוסטרים כאן, דן ביניהם, התייחסו אליהם כך. זה לא עוזר שדן עושה זאת לעתים קרובות לא מובן הביקורת או השאלות של אותם אנשים ותשובות לחששות שלא היו להם; ברור שהבעיה של הבנת הנקרא אינה חד צדדית.
חחח כן בטח, אני אתן לך צעד אחר צעד איך לעשות את זה.
סוג של שאלה מטומטמת. אם אתה לא יודע, בסדר, זה לא אומר שאי אפשר לעשות את זה. אף אידיוט לא ישים הכל כדי להוכיח שאתה טועה בשרשור חסר חשיבות.
אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.
ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.
אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.
ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.
חחח כן בטח, אני אתן לך צעד אחר צעד איך לעשות את זה.
סוג של שאלה מטומטמת. אם אתה לא יודע, בסדר, זה לא אומר שאי אפשר לעשות את זה. אף אידיוט לא ישים הכל כדי להוכיח שאתה טועה בשרשור חסר חשיבות.
אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.
ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.
לא, זה 100% השוחקים, הטון, הביטול והדפיקות בחזה. ההכחשה העיקשת היא חדשה.
גוגל, כן נכון. כל מה שקריטי בחיים שלי נמצא בראש שלי. פריטים משניים מקודדים ונרשמים פיזית, במספר מקומות. פלאף אתרים ואפליקציות? בטח, אני אשתמש במנהל מפתח סיסמה. זה לא יהרוג אותי אם אאבד גישה לכל זה.
מפתחות סיסמה לא נראו לי פשוטים או אינטואיטיביים. לפחות כולם מבינים סיסמא.
לפי passkeys.directory, ebay מאפשר זאת. כדי לעשות זאת, אני כנראה צריך להוריד את אפליקציית ebay לטלפון שלי. אני לא רוצה; נאמר לי שוב ושוב שאפליקציות מאפשרות לחברות לעקוב אחריך. ואני ממילא לא רוצה אפליקציות נוספות בטלפון שלי. האם מפתחות סיסמה רק מובילים אותנו בהמשך חור הארנב? הייתי משתמש בו אם הייתי יכול לעשות זאת באמצעות 1Password, אני חושב.
הגדרת מפתח כניסה לחשבון Google שלך != באמצעות חשבון Google שלך כדי לאחסן את המפתחות שלך.
האם אתה מאמין שמכיוון שיש לך סיסמה שאתה נכנס איתה לגוגל, אתה נותן להם גישה אוטומטית לכל סיסמה שבה אתה משתמש כדי להיכנס לכל חשבון אחר? כי זה ההיגיון שאתה פועל תחתיו כאן עבור מפתחות סיסמה.
לַעֲרוֹך:
מנהלי סיסמאות, דפדפנים וכו'. כולם עובדים על יישומים משלהם של התקן כך שלא תהיה תלוי בשימוש בענקי הטכנולוגיה הגדולים כדי לטפל בו. כרגע זה מטופל בעיקר על ידי גוגל ואפל במערכות האקולוגיות האישיות שלהן, אבל תמיכה של צד שלישי תסיר את הצורך בכך ברגע שהעבודה תיעשה כדי שזה יקרה.
חשבתי על זה אולי להיות קשור לזה, אבל אני לא רואה שום אזכור של מפתחות סיסמה באפליקציה. עכשיו אני חושש שזה עלול להיות מצב נוסף של "אנחנו נשבור את האפליקציה הישנה כדי להגביר את האפליקציה המתחרה החדשה ואז להרוג אותה לגמרי", כי זה הוא גוגל אנחנו מדברים עליו.
גוגל עדכנה לאחרונה את אפליקציית Authenticator והוסיפה גם סנכרון של סודות. ללא ספק תכונה גרועה אם אתה מודע מאוד לאבטחה אבל תכונה טובה לכל השאר. האם אתה יודע כמה פעמים אנשים התלוננו שהם ננעלו מחוץ לחשבונות שלהם בגלל שהם קיבלו טלפון חדש, הורידו המאמת, ורק אז למדו שסודות ה-TOTP שלהם נשמרו רק באופן מקומי בטלפון הישן שלהם שאין להם עוד?
לעשות זאת פעם אחת לכל חשבון לכל מכשיר הוא עדיין נטל עצום.
כמו כן, הרבה אנשים לא הגדירו זיהוי פנים או סריקת טביעות אצבע, בגלל חששות פרטיות ואבטחה.