חשבונות Google ללא סיסמה הם קלים ובטוחים יותר מסיסמאות. הנה למה.

מה דעתך לחשוב קצת לפני שאתה משקר בדרכים כל כך ברורות?

המפתח הפרטי חייב להיות זמין במהלך האימות על ידי מה שאי פעם מאמת או שהוא לא יכול לעשות זאת. אין מתמטיקה של רשימת קסמים.

אפילו מובלעת מאובטחת לא תשנה את זה, מכיוון שהיתה לה גישה בעצמה, כמובן. כך שניתן ליצור מפתחות ציבוריים גם מהמפתח הפרטי הזה, מבלי לפגוע באבטחה.

אם לא, אז זו בחירה של המעצבים ולא מגבלה טכנית.

נראה שכל התוכנית סובבת רק סביב סוג אחד של איום: דיוג. הכל בו בנוי כדי למנוע את סוג ההתקפה האחד הזה - כל דאגה אחרת פשוט מתבטלת.
אני מאוד אוהב את הרעיון להקשות על התקפת דיוג, אבל הגישה הזו מקריבה יותר מדי בשביל זה.
כמו כן, אני לא אוהב את המנטרה של הפיכת סיסמאות למיושנות. אמנם מערכת זו מאובטחת יותר (נגד דיוג) וכנראה טובה יותר לשימוש יומיומי, סיסמה צריך להישאר שם לפחות כצורת גיבוי של אימות, כך שתוכל להוסיף חדש (או לנעול אבד) התקן. כן, מכשיר, לא מכשירים, כי זה מה שיש לרוב האנשים שאני מכיר. במיוחד אנשים פחות מביני טכנולוגיה - בדיוק אותה קבוצה שפגיעה יותר להתחזות.

יתרונות:
1. חסין בפני פישינג.
2. מידע סודי (PIN, ביומטריה, מפתח פרטי) נשמר באופן מקומי.

חסרונות:
1. מקרה של שימוש במכשיר יחיד אינו מטופל (לא ללא סיסמה כגיבוי)
2. דרישת בלוטות'.
3. במקרה של ביטול נעילה ביומטרי (בניגוד ל-PIN*):
א) פגיע לבן/בת זוג/שותפה לדירה/... (הם יכולים ללחוץ את האצבע שלך על המכשיר בזמן שאתה ישן)
ב) שחקני מדינה מדכאים יכולים להיכנס לכל מה שהם רוצים. לפחות במקום שבו אני גר, הם לא יכולים פשוט להוציא ממך את הסיסמה, אבל לכפות מכשיר על האצבע שלך לא ייחשב שימוש מופרז בכוח.

נראה שכל התוכנית סובבת רק סביב סוג אחד של איום: דיוג. הכל בו בנוי כדי למנוע את סוג ההתקפה האחד הזה - כל דאגה אחרת פשוט מתבטלת.
אני מאוד אוהב את הרעיון להקשות על התקפת דיוג, אבל הגישה הזו מקריבה יותר מדי בשביל זה.
כמו כן, אני לא אוהב את המנטרה של הפיכת סיסמאות למיושנות. אמנם מערכת זו מאובטחת יותר (נגד דיוג) וכנראה טובה יותר לשימוש יומיומי, סיסמה צריך להישאר שם לפחות כצורת גיבוי של אימות, כך שתוכל להוסיף חדש (או לנעול אבד) התקן. כן, מכשיר, לא מכשירים, כי זה מה שיש לרוב האנשים שאני מכיר. במיוחד אנשים פחות מביני טכנולוגיה - בדיוק אותה קבוצה שפגיעה יותר להתחזות.

יתרונות:
1. חסין בפני פישינג.
2. מידע סודי (PIN, ביומטריה, מפתח פרטי) נשמר באופן מקומי.

חסרונות:
1. מקרה של שימוש במכשיר יחיד אינו מטופל (לא ללא סיסמה כגיבוי)
2. דרישת בלוטות'.
3. במקרה של ביטול נעילה ביומטרי (בניגוד ל-PIN*):
א) פגיע לבן/בת זוג/שותפה לדירה/... (הם יכולים ללחוץ את האצבע שלך על המכשיר בזמן שאתה ישן)
ב) שחקני מדינה מדכאים יכולים להיכנס לכל מה שהם רוצים. לפחות במקום שבו אני גר, הם לא יכולים פשוט להוציא ממך את הסיסמה, אבל לכפות מכשיר על האצבע שלך לא ייחשב שימוש מופרז בכוח
ג) פגיע למתקפה פיזית (שוב, הוצאת הסיסמה ממך קשה יותר מאשר לרסן אותך ולהשתמש באצבע שלך כדי לפתוח את המכשיר)

אז אם בחור מקבל גישה מרחוק לטלפון שלך, ואז ישכפל את הטלפון שלך, יחד עם מפתח המאסטר המוצפן שיש לך, האם זה אומר שיש לו גישה בלתי מוגבלת לחשבון שלך? אני פשוט לא מבין איך זה טוב יותר ממאמת שמשנה את המפתח כל דקה, בהשוואה למערכת ללא סיסמה עם מפתח אחד בלבד שלא משתנה לעולם.

גישה פיזית לא באמת נחוצה ברגע שהם מקבלים גישה מרחוק. מכיוון שהם יכולים לעשות הכל ברגע שהמסך ננעל, והסימן היחיד הוא העובדה שהטלפון שלך מתחמם מבלי שתעשה כלום.

מערכת מרכזית המאחסנת את כל המפתחות שלך נשמעת כמו אסון מובטח בהמתנה. מה רע בפשוט להפוך את זה ללא כאב לשירותים בודדים להגדיר לך מפתח עבורם? אני כבר נכנס ל-gitlab עם מפתח סיסמה (למעשה אני חושב שזה חובה עכשיו או שזה יגיע בקרוב); gitlab מאחסן את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. הכל בסדר. אני אשמח להיכנס לשירותי גוגל באותו אופן, כאשר גוגל מאחסנת את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. כנ"ל לגבי אמזון, BBC וכו'. וכו ' כל ספק שומר את המפתח הסודי שלו עבור המפתח שלי עבור השירות המתאים.

אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)

מערכת מרכזית המאחסנת את כל המפתחות שלך נשמעת כמו אסון מובטח בהמתנה. מה רע בפשוט להפוך את זה ללא כאב לשירותים בודדים להגדיר לך מפתח עבורם? אני כבר נכנס ל-gitlab עם מפתח סיסמה (למעשה אני חושב שזה חובה עכשיו או שזה יגיע בקרוב); gitlab מאחסן את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. הכל בסדר. אני אשמח להיכנס לשירותי גוגל באותו אופן, כאשר גוגל מאחסנת את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. כנ"ל לגבי אמזון, BBC וכו'. וכו ' כל ספק שומר את המפתח הסודי שלו עבור המפתח שלי עבור השירות המתאים.

אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)

אני לא יכול להשתמש בשירותים האלה מכיוון שאני לא יכול לחלוק סיסמאות עם אשתי בלי לשלם עמלות.

מדוע עלי לשלם עמלות כדי לגשת לאבטחה. אם כרטיס האשראי שלי נדחה ואני לא שם לב אליו מיד, נחשו מה הסיסמאות שלכם נעלמו.

לסמוך עליהם זה כמו לסמוך על פייסבוק. ראה את הפריצה של LastPass מכל מיני סיבות לא. הסיסמאות שלך הן המוצר שלהם.

מערכת מרכזית המאחסנת את כל המפתחות שלך נשמעת כמו אסון מובטח בהמתנה. מה רע בפשוט להפוך את זה ללא כאב לשירותים בודדים להגדיר לך מפתח עבורם? אני כבר נכנס ל-gitlab עם מפתח סיסמה (למעשה אני חושב שזה חובה עכשיו או שזה יגיע בקרוב); gitlab מאחסן את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. הכל בסדר. אני אשמח להיכנס לשירותי גוגל באותו אופן, כאשר גוגל מאחסנת את המפתח הציבורי והמכשיר שלי מאחסן את המפתח הסודי. כנ"ל לגבי אמזון, BBC וכו'. וכו ' כל ספק שומר את המפתח הסודי שלו עבור המפתח שלי עבור השירות המתאים.

אבל אני לא צריך לסמוך על זה אחד שירות לחנות את כל המפתחות הציבוריים של המפתחות שלי עבור כל השירותים. אם השירות ייעלם... (וכן, הדברים תואמים לאחור לכניסה לסיסמה לעת עתה, אבל לכמה זמן?)

תודה לך שאמרת את זה. התגובות של דן ואחרים (למשל, @Wbdהתגובה המקודמת של התגובה שלי) מבוססת על קריאה שגויה בסיסית של ההערה.

אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.

ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.

תודה לך שאמרת את זה. התגובות של דן ואחרים (למשל, @Wbdהתגובה המקודמת של התגובה שלי) מבוססת על קריאה שגויה בסיסית של ההערה.

אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.

ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.

תודה לך שאמרת את זה. התגובות של דן ואחרים (למשל, @Wbdהתגובה המקודמת של התגובה שלי) מבוססת על קריאה שגויה בסיסית של ההערה.

אני לא רוצה לסמוך על ספק מערכת ההפעלה שלי (אפל במקרה שלי עבור מכשירים ניידים ושולחניים) עם מפתחות סיסמה והתגובה היא שוב ושוב "אבל אתה אתה כבר סומך על Google עם הסיסמה שלך." כן, בסדר, אני מזין סיסמה אקראית ארוכה מ-BitWarden/KeePass, ומחבר את ה- Yubikey שלי ולוחץ על לַחְצָן. בשום שלב זה לא תלוי בספק מערכת ההפעלה שלי.

ובטח, כרגע יש אפשרות לא להשתמש במפתחות ולהשתמש בסיסמה כמו קודם, אבל כל הרכבת ההייפ הטכנולוגית בדרך ל"אין עוד סיסמאות עבור כולם" ואם אני אומר, "אבל רגע, אם יינעלו לי מחוץ לכל חשבון אחר כי ספק מערכת ההפעלה שלי מחליט שהוא לא אוהב אותי, מה קורה" קוראים לי טרול ו מידע מוטעה. יש גם כל כך הרבה מקרי קצה שאני יכול לחשוב עליהם שבהם זה לא עובד ובמקום להגיד, "כן, אלה הם דאגות תקפות בעתיד עם מפתח סיסמה בלבד שאנו רוצים", יש ביקורת מתמשכת זו על כל תִשׁאוּל.

קראת בכלל את הכתבה?

הגדרת מפתח כניסה לחשבון Google שלך ​​!= באמצעות חשבון Google שלך ​​כדי לאחסן את המפתחות שלך.

האם אתה מאמין שמכיוון שיש לך סיסמה שאתה נכנס איתה לגוגל, אתה נותן להם גישה אוטומטית לכל סיסמה שבה אתה משתמש כדי להיכנס לכל חשבון אחר? כי זה ההיגיון שאתה פועל תחתיו כאן עבור מפתחות סיסמה.

הן בעצם סיסמאות שהמכשיר שלך ממציא כדי שלא תצטרך להתעסק איתן, לא צריך לזכור אותן ולא צריך לנהל אותן. הביצוע הוא מבול של פרטים, אבל אתה בעצם יכול לחשוב עליהם כעל אישורי כניסה לכל מכשיר. זה נראה שברגע שאתה אומר "בטח, אני אשתמש בדבר הזה של PASSKEY" במכשיר מסוים, לא תצטרך לחשוב על להשתמש בו שוב במכשיר הזה.

לַעֲרוֹך:

מנהלי סיסמאות, דפדפנים וכו'. כולם עובדים על יישומים משלהם של התקן כך שלא תהיה תלוי בשימוש בענקי הטכנולוגיה הגדולים כדי לטפל בו. כרגע זה מטופל בעיקר על ידי גוגל ואפל במערכות האקולוגיות האישיות שלהן, אבל תמיכה של צד שלישי תסיר את הצורך בכך ברגע שהעבודה תיעשה כדי שזה יקרה.

הממ, כנראה שגוגל שינתה לאחרונה את הסמל של אפליקציית המאמת שלהם. הרגע שמתי לב כי ניסיתי להיכנס לאתר ולא הצלחתי למצוא את הסמל הישן בטלפון שלי.

חשבתי על זה אולי להיות קשור לזה, אבל אני לא רואה שום אזכור של מפתחות סיסמה באפליקציה. עכשיו אני חושש שזה עלול להיות מצב נוסף של "אנחנו נשבור את האפליקציה הישנה כדי להגביר את האפליקציה המתחרה החדשה ואז להרוג אותה לגמרי", כי זה הוא גוגל אנחנו מדברים עליו.