არა და აბსოლუტურად არა.სტატიის კონტექსტი არის შესვლა Google-ის სერთიფიკატში პაროლის გამოყენებით. „დიდი 3“ და ასევე რამდენიმე სხვა გვთავაზობენ გასაღების ესქროს და აღდგენას, მაგრამ საიტები უშუალოდ იყენებენ გასაღებებს - თუ იყენებთ პაროლის გასაღები Best Buy-ით, ისინი არ შეამოწმებენ Google-ს, მაგალითად (თუ არ იყენებთ „სოციალურ შესვლებს“ კურსი). ამ კონტექსტში, Google-ის მიერ თქვენი ანგარიშის წაშლა მხოლოდ იმას ნიშნავს, რომ თუ თქვენი ტელეფონი მოკვდება, რამ შეიძლება გაფუჭდეს. ისინი ძირითადად yubikey არიან აღდგენის ვარიანტით - ასე ოდნავ ნაკლებად უსაფრთხო, რადგან პირადი გასაღები არსებობს ესქროში, რომელიც წყვეტს პრობლემის 50%-ს yubikeys-თან (ფასი და აპლიკაციის მხარდაჭერა დარჩენილია ტკივილი).როგორც ჩანს, ყველა სისტემას, რომელსაც შეუძლია პაროლის შენახვა, მოითხოვს, რომ ენდოთ დიდ სამს (Apple, Google, Microsoft), რომ არ წაშალონ თქვენი ანგარიში გაფრთხილების გარეშე. ჩემს შემთხვევაში, თუ Apple წაშლის ჩემს iCloud ანგარიშს და keychain-ს, მე დავკარგავ წვდომას ყველაფერზე, რაც დაცულია პაროლით. შეადარეთ ეს იმას, რაც ახლა ხდება, თუ მე გავანადგურე ჩემი მთავარი Yubikey: მივდივარ ჩემს ბანკში, ვაჩვენე მათ ორი პირადობის მოწმობის ფორმები, გამოიყენეთ ჩემი ფიზიკური გასაღები, რათა მიიღოთ სარეზერვო Yubikey სეიფიდან და გააგრძელოთ ცხოვრება.
სანამ და სანამ არ იქნება სერიოზული და გრძელვადიანი შედეგები კომპანიებისთვის, რომლებიც უზრუნველყოფენ ინფრასტრუქტურულ მომსახურებას, რომლებიც მოქმედებენ ცალმხრივად, მე არ გამოვიყენებ ამას. KeyPass/BitWarden-ს შეუძლია თვითნებურად ძლიერი პაროლების გენერირება, შეგიძლიათ შეიძინოთ იმდენი Webauthn გასაღები, რამდენიც გსურთ სხვადასხვა გამყიდველისგან. გასაღებების საშუალებით, თქვენ ერთი (ავტომატური, შეთანხმების გარეშე) წაშლას შორს იქნებით თქვენი მთელი ონლაინ ცხოვრებიდან სამუდამოდ დაბლოკვისგან.
თუ გსურთ ეს ძალაუფლება კომპანიას მისცეთ, იყავი ჩემი სტუმარი. მე დაველოდები, სანამ მას ისე განიხილავენ, როგორც წყლის ან ელექტროენერგიის კომპანიებს, რომლებიც წყვეტენ მომსახურებას აშკარა მიზეზის გარეშე: დიდი და მავნე ჯარიმები.
დარწმუნებული არ ვარ, მესმის, როგორ მოითხოვს სამუშაო პროცესსთუ პაროლებს აკოპირებთ (ან აკრეფთ მათ მეხსიერებიდან, რასაც მასშტაბური სხვა პრობლემები აქვს), დაუცველი ხართ ფიშინგის მიმართ. ასე რომ, გასაღებები უსაფრთხოების დიდი გაუმჯობესება იქნება თქვენთვის.
აიღე შენი ტელეფონი,
აპლიკაციაში შეხება,
თქვენი ეკრანის სურათის გადაღება და
შეეხეთ რა უნდა გააკეთოთ ამ ინფორმაციას...... უფრო "მარტივი" ოპერაციაა, ვიდრე პაროლის მეხსიერებიდან შეყვანა, ან პაროლის მენეჯერის ავტომატური შევსება ან პაროლის მენეჯერის კოპირების ჩასმა.
შეიძლება იყოს სხვა სარგებელი, მაგრამ ეს არავითარ შემთხვევაში არ არის ადვილი.
ჩემი Google ანგარიშისთვის მე ხელახლა დავარეგისტრირე ჩემი YubiKeys, რომლებსაც ვიყენებდი, როგორც 2FA, რათა გამშვები გასაღები ყოფილიყო. 2FA-სთან ერთად, ავტორიზაცია იყო Google პაროლი + FIDO U2F ტექნიკის გასაღები. გასაღებებით, ეს არის FIDO2 ტექნიკის გასაღები + გასაღების FIDO2 PIN.
„დიდი სამიდან“ ტექნიკური კომპანიებიდან არცერთი არ იქნება თქვენი პაროლის დამჭერი. პაროლი ინახება მოწყობილობაზე. თუ არ გსურთ თქვენი პაროლის სინქრონიზაცია რაიმე სახის სერვისის საშუალებით, ჩადეთ იგივე პაროლი მრავალ მოწყობილობაზე. თქვენ გაქვთ მხოლოდ ერთი მოწყობილობა და ახლა ის გაქრა? ეს იგივე პრობლემაა, როგორც პაროლის მენეჯერები სინქრონიზაციის გარეშე. საბოლოო ჯამში, თქვენ მოგიწევთ ხელახლა ავთენტიფიკაცია სხვადასხვა სერვისებით, ისევე როგორც თქვენ გააკეთებდით დაბლოკვის ნებისმიერ მსგავს შემთხვევაში. ადამიანების უმეტესობა სინქრონიზებს პაროლებს ისე, როგორც პაროლებს. და არა, თუ Google დახურავს თქვენს ანგარიშს, მათ არ შეუძლიათ გააუქმონ პაროლი, რომელიც უკვე გაქვთ თქვენს მოწყობილობებზე. თქვენ დაკარგავთ მათ სინქრონიზაციის სერვისს, მაგრამ ამის ნაცვლად შეგიძლიათ დაიწყოთ სხვა სერვისის გამოყენება.
საიდუმლო კლავიშების ფიშირება შეუძლებელია, მათი დავიწყება, მონაცემების გაჟონვის გზით მიღება და არსებითად უნიკალური და უსაფრთხოა. ეს მართლაც დიდი გაუმჯობესებაა. მათი გამოყენება ასევე უფრო ადვილია, რადგან როდესაც ისინი თქვენს მოწყობილობაზე იქნებიან, ავთენტიფიკაცია მარტივია.
ამისთვის ვიყენებ Yubikey-ს და არა Android-ს ან iOS-ს. ეს ნიშნავს, რომ მე არ ვარ ვალდებული Google/Apple-ზე, რომ შევძლო ჩემი გასაღების მართვა და არც უნდა ვიფიქრო იმაზე, რომ ჩემი ანგარიში გაფუჭდება და, შესაბამისად, გასაღების გაჟონვა.
Google-ის ანგარიშის შესვლასთან შედარებისთვის, მე ასევე ვიყენებ ამ Yubikey-ს ჩემს Microsoft-ის ანგარიშზე წვდომისთვის უკვე დიდი ხანია.
Microsoft მუშაობს ყველა მთავარ ბრაუზერზე დესკტოპზე (გარდა Safari-ისა MacOS-ზე ბოლო დროს, როცა შევამოწმე). როგორც ჩანს, Google-ს სჭირდება Chrome.
Microsoft-ს აქვს ვარიანტი მომხმარებლის სახელის ველის ქვემოთ, რომ შეხვიდეთ სხვა გზით, შემდეგ აირჩიეთ Windows Hello ან უსაფრთხოების გასაღები, ჩადეთ გასაღები USB პორტში, შეიყვანეთ PIN და დააჭირეთ ღილაკს ზემოთ. შემდეგ ის გკითხავთ, რომელ ანგარიშზე (თუ რამდენიმე ანგარიში გაქვთ შენახული) და თქვენ პირდაპირ შესული ხართ. თქვენ არც კი გჭირდებათ თქვენი მომხმარებლის სახელი/ელფოსტის მისამართის დამახსოვრება.
Google მოითხოვს, რომ შეიყვანოთ თქვენი მომხმარებლის სახელი/ელფოსტა, შემდეგ ის ითხოვს გასაღების ჩასმას. ამის შემდეგ თქვენ უნდა შეიყვანოთ PIN და ის შეგიყვანთ სისტემაში.
გამოყენებადობის თვალსაზრისით, Microsoft უკეთესია იმით, რომ თქვენ არ გჭირდებათ თქვენი ელ.ფოსტის დამახსოვრება. Ars ბრბოსთვის ეს ალბათ უარყოფითია. მაგრამ თუ მხარს უჭერთ 70 წლის ბებია-ბაბუას, რაც ნაკლები რამ უნდა დაიმახსოვრონ, მით უკეთესი. მე არ დამიდასტურებია, მაგრამ MS სისტემის მინუსი არის ის, რომ Yubikey მხარს უჭერს მხოლოდ შენახული სერთიფიკატების გარკვეულ რაოდენობას, მაშინ როცა რაც მე დავინახე ჩემს კვლევაში, Google-ის მეთოდს ძირითადად აქვს Yubikey-ის პერსონალური გასაღების გენერირება კონკრეტულად ამ საიტისთვის. შიდა პირად გასაღებზე, თქვენს PIN-ზე და საიტისა და ბრაუზერის მიერ მოწოდებულ ზოგიერთ ინფორმაციას, ყოველ ჯერზე, როცა მას სჭირდება გაშვება ავთენტიფიკაცია. როგორც ჩანს, ორივე იყენებს Yubikey-ს სპეციფიკურ შიდა პირად გასაღებს, თქვენს PIN-ს, ბრაუზერის მიერ მოწოდებული დომენის შესახებ გარკვეულ ინფორმაციას და კონკრეტულს. ინფორმაცია მოწოდებული საიტიდან, რომელსაც სტუმრობთ ხელის ჩამორთმევის შესასრულებლად, რაც ხელს უშლის MITM შეტევებს წარმატებული იყოს, რადგან მათ არ შეუძლიათ ამ ყველაფრის გაყალბება მონაცემები.
დარწმუნებული არ ვარ, რა აკლია Firefox-ს Google-ის განხორციელებისთვის Microsoft-ის წინააღმდეგ, რატომ არ უჭერს მხარს ახალი პაროლის სისტემას. ან უბრალოდ Google არ ითხოვს გასაღებს, რადგან Firefox-ს არ აქვს დანერგილი Bluetooth ნაწილი, რომელსაც აქვს Yubikeys/ტექნიკური ტოკენების მხარდაჭერის გვერდითი ეფექტი, რადგან Firefox არ ითხოვს ამას Google-ის შესვლაზე საიტი.
--
თუ დაკარგავთ გასაღებს და არ გაქვთ სარეზერვო გასაღები, უსაფრთხოების სარეზერვო საშუალებაა შეხვიდეთ იმ გზით, როგორც შესვლამდე შედიოდით პაროლის წინ. ასე რომ, ჩვეულებრივ პაროლი + OTP. მიუხედავად იმისა, რომ ეს ნიშნავს, რომ საიტი მხარს უჭერს ნაკლებად უსაფრთხო ავთენტიფიკაციის სისტემას, ერთი უპირატესობა ის არის, რომ თქვენ არ ხართ რეგულარულად იყენებთ პაროლს, ამიტომ ნაკლებად სავარაუდოა, რომ ის გაჟონვა ან ჩაეჭრა ფიშინგის/MITM-ის მიერ თავდასხმა.
--
უსაფრთხოების პერსპექტივიდან, თქვენ შეგიძლიათ ნახოთ პაროლის საფულე, როგორც საიტის შეზღუდული მხარდაჭერა. თუ იყენებთ Yubikey-ს, საფულე არის აპარატურა თქვენს ჯიბეში, დაცული PIN-ით. თუ იყენებთ Android/iOS პაროლს, საფულე სინქრონიზებულია ღრუბლოვან სისტემაში და დაცულია თქვენი ანგარიშის პაროლით + ბიომეტრიით. თუ მოწყობილობა დაკარგეთ, ეს პაროლის ფაილის დაკარგვის მსგავსია.
მას შემდეგ, რაც ისინი გააცნობიერებენ ყველა ნაკლოვანებას, ამას აქვს პოტენციალი, რომ შეცვალოს ბევრი რამ უსაფრთხოების ლანდშაფტში, როგორც ამას არაუსაფრთხოებისადმი შეგნებული პირები შეძლებენ. აღარ უნდა ეწინააღმდეგებოდეს უსაფრთხო პაროლის მოთხოვნებს ან არ უნდა გაერკვია, თუ როგორ სწორად გამოიყენოთ პაროლის საფულე და როგორ მივიღოთ წვდომა/სინქრონიზაცია მასზე მრავალჯერ მოწყობილობები. ძირითადად, პაროლის საფულედ გადაქცევით, გასაღებები ქმნიან მართლაც უსაფრთხო, მართლაც შემთხვევით პაროლებს ყველა საიტისთვის, რომელზეც ისინი გამოიყენება და აგებულია ფიშინგის წინააღმდეგობის გათვალისწინებით.
როგორ შეიძლება ამის უარყოფა? 100% მართალია.
ეს არის ჯანმო, არა რა წინა გვერდზე. Google-ის სიყვარული არ არის პირველ გვერდზე, ისეთი, რის გამოც მათმა მხარდაჭერამ ბრბოს წინააღმდეგ მიმართა ინდუსტრიის სტანდარტი.
სისულელეა.
კიდევ ერთხელ, მკითხველო, ნუ მიაქცევთ ამ კომენტატორებს ყურადღებას.
პაროლის გამოყენება არ უნდა იყოს პასუხი პაროლების ჩანაცვლებაზე.
ეს რაღაცნაირი სასაცილოა. სხვაგვარად როგორ გააკეთებთ ავტორიზაციას არსებულ სერვისზე თქვენი ავთენტიფიკაციის მექანიზმის განახლების მიზნით? გარდა უკვე განხილული QR-and-bluetooth მეთოდისა. და მიუხედავად იმისა, რომ სერვერის მხარეს თავდასხმის ზედაპირი სულაც არ მცირდება ჩართვით და არა პაროლის შესვლის მოთხოვნით, ის მნიშვნელოვნად ამცირებს თავდასხმის ზედაპირს კლიენტის მხარეს, რადგან თქვენ მკაცრად ხართ ჩართული გასაღების გაცვლაში, რომელიც ჩართულია OS-ის დონის ავტორიზაციის საშუალებით. და ეს ყველასთვის გამარჯვებაა.
თუ იმ დონემდე ხართ, რომ ვერ ენდობით თქვენი OS-ის უსაფრთხოების რომელიმე მახასიათებელს, შეგიძლიათ უბრალოდ გადააგდოთ თქვენი კომპიუტერული მოწყობილობები და გადახვიდეთ ტროპიკულ კუნძულზე ან სხვა. ზე რაღაც წერტილი გარკვეული დონის ნდობა უნდა მიენიჭოს გარკვეულ პროგრამულ უზრუნველყოფას.
აქ ბევრი დაბნეულობაა, ვფიქრობ, იმიტომ, რომ მთელი ტექნოლოგიური დასტა დაგვეყარა და წარმოადგინეს, როგორც შესრულებული ფაქტი. ნება მომეცით, როგორც უცოდინარი, შევეცადო მისი დეკონსტრუქცია ანალოგიით, რასაც მე მესმის: SSH გასაღების წყვილები. მე ვიწვევ სხვებს, გაარჩიონ ხვრელები იმაში, რაც მე არასწორად ვცდები.1. საჯარო/პირადი ავთენტიფიკაციის გასაღებები. ეს მუშაობს დაახლოებით ისევე, როგორც SSH. ვებსაიტმა იცის მხოლოდ თქვენი საჯარო გასაღები და თქვენ ხელს აწერთ შეტყობინებებს იმის დასამტკიცებლად, რომ გაქვთ პირადი გასაღები.
2. ფიშინგისგან დაცვა. გასაღებები სპეციფიკურია საიტისთვის, ამიტომ ფიშინგის საიტი სხვა გასაღებს იღებს. SSH-ს აქვს ჰოსტის კლავიშები ამისათვის, მე ვივარაუდო, რომ keypass იყენებს რაიმე კავშირს TLS ჰოსტის გასაღებებთან? თქვენი ბრაუზერი იყენებს ამას, რომ აირჩიოთ რომელი გასაღების გამოყენება? ან უბრალოდ DNS სახელით?
3. გასაღებების განბლოკვის საშუალებები იმის დასამტკიცებლად, რომ სწორი მომხმარებელი იყენებს მათ. SSH-ს აქვს საიდუმლო ფრაზები, ვფიქრობ, აქ შემოდის ბიომეტრიული / Bluetooth რამ? SSH-ს ასევე შეუძლია კლავიშების განბლოკვა სმარტ ბარათებით და ასე რომ, მე ვივარაუდო, რომ ბიომეტრია ცოტათი ჰგავს განბლოკვის სხვა რეჟიმს?
4. კლავიშების სინქრონიზაცია მოწყობილობებს შორის. სავარაუდოდ, აქ მოდის ღრუბლოვანი „ეკოსისტემები“, როგორიცაა iCloud და Chrome პაროლის სინქრონიზაცია? SSH-სთვის მხარდაჭერა არ არის, მაგრამ შეგიძლიათ მოამზადოთ თქვენი საკუთარი rsync ან სხვა?
რა დავაშავე?
თუ ზემოაღნიშნული ზოგადად სწორია, მე შემიძლია წარმოვიდგინო ღია სტეკის აგება, რომელიც ძირითადად აკეთებს იგივეს, რასაც SSH აკეთებს ფაილების წყობის გამოყენებით ~/.ssh-ში და rsync-ში მოწყობილობებს შორის გადაადგილებისთვის. ეს არის "ველოსიპედის" მიდგომა, სადაც ყველა მოძრავი ნაწილი გამოფენილია და ადვილად გასაგებია რა ხდება.
ეს არ არის მხოლოდ ხალხზე გადაყრილი - ეს არის FIDO2-ის განახლება, თავად სტანდარტის მეორე ვერსია. U2F იყო FIDO1; ეს არის CTAP 2.2 ([რედაქტირება: შესწორებულია ჩემი WAG 2.4-დან, რომელიც არასწორი იყო, მადლობა მაინც არასწორია!]), FIDO2/WebAuthn-ის ნაწილი. ეს ნამდვილად არაფერია რთული... მათ გაათავისუფლეს Authenticator-ის მოთხოვნები ისე, რომ პირადი გასაღების უსაფრთხოდ კოპირება შესაძლებელი იყოს (უნდა იყოს...) და დაამატეს Javascript-ის რამდენიმე ფუნქცია ცხოვრების გასაადვილებლად. პაროლის გარეშე შესვლა? ყოველთვის შესაძლებელი იყო FIDO2-ით. ეს არის მისი სუფთა ნაწილი - FIDO1 შეიძლება იყოს მხოლოდ MFA. გსურთ პირადი გასაღების დამატება თქვენს ბრაუზერში, რომელიც ინახება TPM-ში ან უსაფრთხო ელემენტში? ყოველთვის შესაძლებელი იყო და ადრე დანერგილი იყო Chrome-ში, Firefox-სა და Safari-ში. ახალი ის არის, რომ მისი სინქრონიზაცია და წვდომა შესაძლებელია BT/QR rigmarole-ის საშუალებით. ადრე მას მოიხსენიებდნენ (და მონიშნული იყო ვებსაიტებზე), როგორც „პლატფორმის სპეციფიკური გასაღებები“, განსხვავებით პორტატული მოწყობილობებისგან. ახლა ეს PassKeys-ია.
ვინაიდან პაროლის სისტემის მთელი მიზანი პაროლების მოშორებაა, ნება მომეცით ჩამოვთვალო პაროლების რამდენიმე უპირატესობა:
- ისინი საკმარისად მარტივია გასაგები ყველასთვის, ვისაც გონებრივად შეუძლია ელექტრონული მოწყობილობის მართვა
- ისინი ადვილად დასამახსოვრებელია, თუ რაიმე ძალისხმევას მიმართავთ და რეგულარულად იყენებთ მათ
- ისინი მუშაობენ ყველა ოპერაციულ სისტემაზე
- მათ არ სჭირდებათ ინტერნეტთან წვდომა (ზოგიერთი სისტემა კარგი მიზეზის გამო ხაზგარეშეა)
- ისინი არ საჭიროებენ მესამე მხარის თანამშრომლობას
- მათ არ სჭირდებათ სმარტფონის ან სხვა გაჯეტის არსებობა
- მათ არ სჭირდებათ Bluetooth, WiFi, კამერები ან ბატარეები
- მათი შენახვა შესაძლებელია - საგანგებო სიტუაციებში - ელექტროენერგიის საჭიროების გარეშე
- ისინი შეიძლება ადვილად გადაეცეს სხვა ადამიანს რაიმე მოწყობილობის გამოყენების გარეშე
- თუ შეზღუდული შესაძლებლობის მქონე არ ხართ და არ იყენებთ სმარტფონს, პაროლით ავთენტიფიკაციას მხოლოდ რამდენიმე წამი სჭირდება
თქვენი პუნქტები #1, #2 და #10 უბრალოდ არასწორია – ჰკითხეთ ნებისმიერს, ვინც მუშაობს ტექნიკურ მხარდაჭერაში, რამდენად ხშირად უწევთ პაროლის გადატვირთვა, რადგან ვინმეს დაავიწყდათ პაროლი, დატოვეს caps lock გასაღები (ან არასწორად მოათავსეს ხელი კლავიატურაზე), ან საკმარისად აიღეს თითი, რომ ჩაკეტილიყო გარეთ. დიახ, დიახ, მე ვიცი, რომ თქვენ პირადად ყოველთვის მშვენივრად ამუშავებთ ამას, მაგრამ მერწმუნეთ, ყველას, ვინც რეკავს დახმარების ცენტრში, აქვს... ნაკლებად ოპტიმისტური... შეხედულება კაცობრიობაზე. მე ასევე დავამატებ, რომ მე მხარს ვუჭერ უამრავ ბრმა მომხმარებელს და პაროლის შეყვანას მასიურად ძალიან ცუდია მათთვის, რადგან ბევრ საიტს აქვს სირთულის მოთხოვნები, რომლებიც რთულია ეკრანის მკითხველის მომხმარებლებისთვის და თუ თქვენ არ ხართ გამოცდილი სენსორული მბეჭდავი, ამის ხმამაღლა თქმა არ არის კარგი. ეს არის ნიშა, მაგრამ ეს არის ის, რისთვისაც ავტორიზაციის სისტემების მშენებელმა ბევრმა ადამიანმა ასევე კანონიერად უნდა უზრუნველყოს კარგი მხარდაჭერა, და ეს არის ერთ-ერთი მიზეზი, რის გამოც მე მაინტერესებს ტექნოლოგია „გსურთ შესვლა თქვენი პაროლით?“ "დიახ" არის მინიმუმ ერთი რიგითობა უფრო სწრაფი და მარტივი, ვიდრე ნებისმიერი ფორმის პაროლი + MFA ბევრისთვის მომხმარებლები.
წერტილი #3 ეხება WebAuthn MFA-ს, მაგრამ ყოველთვის არის გასაღებები – რაღაც Yubikey მუშაობს ყველგან, სადაც USB/NFC გაქვთ, მაგრამ შეიძლება საჭიროა PIN-ის დაყენება ან მათი ბიომეტრიული სერიის კლავიშების გამოყენება პაროლის განმახორციელებელებისთვის, როგორიცაა Google.com, რომლებიც საჭიროებენ უფრო მეტს, ვიდრე მარტივი ჩამოსასხმელი.
პუნქტები #5, #6, #7 და #8 ასევე ეხება WebAuthn-ის ყველა ფორმას – როგორც MFA, ასევე გასაღებებს. წერტილი #4 არის ჭეშმარიტი, გარდა იმ შემთხვევისა, როდესაც პირველად დაარეგისტრირეთ მოწყობილობა არსებული გასაღების სინქრონიზაციისას. გასაღებების პირველად სინქრონიზაციის შემდეგ, აღარ დაგჭირდებათ ქსელის კავშირი. თუ არ გსურთ სინქრონიზაცია, ასევე შეგიძლიათ იყიდოთ Yubikey-ის რამდენიმე ბიომეტრიული კლავიატურა, რომელიც კვლავ მუშაობს სრულად ოფლაინ ყველგან, სადაც გაქვთ USB ან NFC.
ეს ტოვებს #9, რაც ცუდი პრაქტიკაა და თავიდან უნდა იქნას აცილებული, თუ ეს შესაძლებელია. თანამედროვე სისტემებს აქვთ ისეთი რამ, როგორიცაა როლებზე დაფუძნებული ავთენტიფიკაცია, სადაც ადამიანები არასოდეს იზიარებენ პაროლებს, მაგრამ რამდენიმე ადამიანს უფლება აქვს იკისროს მოცემული როლი, ან ისეთი რამ, როგორიცაა მემკვიდრეობა ან დელეგირება ანგარიშები, სადაც თქვენ აღარასდროს იზიარებთ პაროლებს, მაგრამ აძლევთ ერთ ან, კიდევ უკეთესი, რამდენიმე ადამიანს, რომლებიც საჭიროებენ კომბინაციას, შეუძლიათ გააკეთონ ისეთი რამ, როგორიცაა პაროლის გადაყენება ან კონტროლის მოპოვება. თქვენი ფაილები.
მხოლოდ იმიტომ, რომ რაღაც ახალია და არ გისწავლიათ როგორ მუშაობს, არ ნიშნავს რომ ის ცუდია ან თავიდან უნდა იქნას აცილებული. პაროლის ღილაკები დიდი ცვლილებაა უმრავლესობისთვის – .gov გამონაკლისია მას შემდეგ, რაც PIV/CAC ბრუნდება წინა საუკუნეში, თუნდაც რამდენიმე სხვა ადგილას მიიღეს იგი - მაგრამ მათ აქვთ მრავალი გაუმჯობესებული გამოყენებადობა, უსაფრთხოების უპირატესობების გარდა, და არსებობს მკაფიო გზა მშენებლობისთვის ზოგიერთი დაკარგული ნაწილი (მაგ., ძალიან მინდა Apple/Google-ის გასაღების Yubikey-თან სინქრონიზაციის შესაძლებლობა, რათა შემეძლოს მისი ჩაგდება ჩემს სეიფში საქმე).
ის, ცხადია, ხელმისაწვდომი უნდა იყოს არა მხოლოდ სინქრონიზაციის დროს, არამედ ავტორიზაციის დროსაც, რადგან ამისთვის გამოიყენება. და ის ასევე ხელმისაწვდომი უნდა იყოს პირველადი რეგისტრაციის დროს.და ეს არის ის, რისი ახსნასაც ვცდილობ: ადვილი იქნება არსებული მოწყობილობით ავტორიზაცია და მისი გამოყენება მოწყობილობა სხვა საჯარო გასაღების დასამატებლად, რომელიც გენერირდება სხვა, ახალ მოწყობილობაზე და იგზავნება ძველ მოწყობილობაზე ზოგიერთის მიერ ნიშნავს. მაგალითად, მე შემიძლია შევქმნა ახალი საიდუმლო გასაღები / საჯარო გასაღების წყვილი ჩემს დესკტოპზე, გავუგზავნო საჯარო გასაღები ჩემს ლეპტოპს, შევიდე ჩემი ლეპტოპით და დავამატო დესკტოპის საჯარო გასაღები. მე ყოველთვის მსგავს რაღაცეებს ვაკეთებ SSH-ით.
აქ ტექნიკური დაბრკოლება არ არის. თუ ეს შეუძლებელია ღილაკებით, მაშინ ეს არჩევანის გაკეთებაა.
პირადი გასაღები მიუწვდომელია. რატომ არ უნდა მოძებნოთ ის, ნაცვლად იმისა, რომ სიცრუე განმეორდეს.
ახლა კი უფრო დაბნეული ვარ, ვიდრე დავიწყებამდე - სტატია გადავუგზავნე ჩემს CS მაიორს/უკეთეს ნახევარს რაღაცეების ასახსნელად, მაგრამ ეს შეიძლება არ იყოს საკმარისი.
პაროლები ადვილად ითვისება. 2FA ადვილი ასახსნელია. საიდუმლო კლავიშებს რაღაც აზრი აქვს, მაგრამ მხოლოდ მაშინ, როცა ვფიქრობ, რომ შეიძლება გავიგო, ვკითხულობ შემდეგ აბზაცს და უფრო მეტად ვიკარგები.
სამოთხე დაეხმარე ჩემს და-ძმებს და მშობლებს.
გმადლობთ ამის თქმისთვის. დანის და სხვების პასუხები (მაგალითად, @Wbd's დაწინაურებული კომენტარი ჩემს ციტირებით) ეფუძნება კომენტარის ფუნდამენტურ არასწორ წაკითხვას.თქვენ ხვდებით, რომ ორივე 1Password და Bitwarden მუშაობენ პაროლის მხარდაჭერაზე, არა?არ მინდა ვენდო ჩემს OS პროვაიდერს (ჩემს შემთხვევაში Apple-ს როგორც მობილური, ასევე დესკტოპ მოწყობილობებისთვის) გასაღებები და პასუხი არაერთხელ არის "მაგრამ შენ უკვე ენდეთ GOoGLE-ს თქვენს პაროლს." დიახ, კარგი, მე შევიყვან გრძელ შემთხვევით პაროლს BitWarden/KeePass-დან და ვაერთებ ჩემს Yubikey-ს და ვაჭერ ღილაკი. არავითარ შემთხვევაში არ არის დამოკიდებული ჩემს OS პროვაიდერზე.
და რა თქმა უნდა, ახლა არის შესაძლებლობა, არ გამოიყენოთ პაროლი და გამოიყენოთ პაროლი, როგორც ადრე, მაგრამ მთელი ტექნიკური აჟიოტაჟი მიდის გზაზე "NO MORE PASSWORDS PASKEYS FOR" ყველა" სადგური და თუ მე ვიტყვი, "მაგრამ მოითმინე, თუ მე დამიბლოკეს ყველა სხვა ანგარიშზე, რადგან ჩემი OS პროვაიდერი გადაწყვეტს, რომ არ მომწონს, რა ხდება" მე მეძახიან ტროლს და დეზინფორმაცია. ასევე არის იმდენი ზღვრული შემთხვევა, რომ შემიძლია ვიფიქრო, სადაც ეს არ მუშაობს და იმის ნაცვლად, რომ ვთქვა: "დიახ, ისინი არის მართებული შეშფოთება მხოლოდ პაროლის მქონე მომავალში, რაც ჩვენ გვსურს," არის ეს მუდმივი კრიტიკა ნებისმიერის მიმართ დაკითხვა.
1Password იქამდე მივიდა, რომ პაროლ გასაღები არის „ავტენტიფიკაციის მომავალი“: https://www.future.1password.com/passkeys/
