Ne ir visiškai ne.Straipsnio kontekstas yra prisijungimas prie „Google“ kredencialo naudojant prieigos raktą. „Didysis 3“ ir keletas kitų siūlo rakto sąlyginį deponavimą ir atkūrimą, tačiau svetainės tiesiogiai naudoja prieigos raktus – jei naudojate „Best Buy“ prieigos raktas, jie netikrins, pavyzdžiui, su „Google“ (nebent naudosite „socialinius prisijungimus“ kursas). Šiame kontekste „Google“ paskyros išvalymas reiškia, kad jei jūsų telefonas užges, viskas gali pasikeisti. Iš esmės jie yra „yubikey“ su atkūrimo parinktimi, todėl šiek tiek mažiau saugūs, nes egzistuoja privatus raktas sąlyginio deponavimo režime, kuris išsprendžia 50 % yubkeyys problemos (likęs yra kainų etiketė ir programos palaikymas skausmas).Atrodo, kad kiekviena sistema, kuri, atrodo, gali saugoti prieigos raktus, reikalauja, kad jūs pasitikėtumėte didžiosiomis trimis įmonėmis („Apple“, „Google“, „Microsoft“), kad neištrintų paskyros be įspėjimo. Mano atveju, jei „Apple“ ištrina mano „iCloud“ paskyrą ir raktų pakabuką, prarandu prieigą prie visko, kas apsaugota slaptažodžiu. Palyginkite tai su tuo, kas vyksta dabar, jei sunaikinsiu savo pagrindinį Yubikey: einu į savo banką, parodysiu jiems du ID formų, naudokite mano fizinį raktą, kad atgautumėte atsarginę Yubikey kopiją iš seifo, ir toliau gyvenimą.
Kol nebus rimtų ir ilgalaikių pasekmių infrastruktūros paslaugas teikiančioms įmonėms, veikiančioms vienašališkai, aš jokiu būdu tuo nepasinaudosiu. KeyPass / BitWarden gali generuoti savavališkai stiprius slaptažodžius, galite nusipirkti tiek Webauthn raktų, kiek norite iš įvairių pardavėjų. Turėdami prieigos raktus, jūs esate vienu (automatiniu, neaptartu) ištrynimu ir visam laikui negalėsite dalyvauti visame internete.
Jei norite tą galią suteikti įmonei, būk mano svečias. Lauksiu, kol tai bus traktuojama kaip vandens ar elektros įmonės, nutraukiančios paslaugas be jokios aiškios priežasties: didelės ir skaudžios baudos.
Nesu tikras, ar suprantu, kaip reikalinga darbo eigaJei kopijuojate ir įklijuojate slaptažodžius (arba įvedate juos iš atminties, o tai turi kitų didelių problemų), esate pažeidžiamas sukčiavimo. Taigi prieigos raktai būtų didelis jūsų saugumo patobulinimas.
paėmęs telefoną,
bakstelėjus programėlę,
nufotografuokite savo ekraną ir
bakstelėkite, ką daryti su ta informacija......yra „lengvesnė“ operacija nei slaptažodžio įvedimas iš atminties, automatinis užbaigimas naudojant slaptažodžių tvarkyklę arba kopijavimo įklijavimas naudojant slaptažodžių tvarkyklę.
Gali būti ir kitų privalumų, bet tai jokiu būdu nėra lengviau.
Savo „Google“ paskyroje iš naujo užregistravau savo „YubiKeys“, kuriuos naudojau kaip 2FA, kaip prieigos raktus. Naudojant 2FA, autentifikavimas buvo „Google“ slaptažodis + FIDO U2F aparatinės įrangos raktas. Su slaptažodžiais tai yra FIDO2 aparatinės įrangos raktas + rakto FIDO2 PIN kodas.
Nė viena iš „trijų didžiųjų“ technologijų įmonių nebus jūsų slaptažodžių prižiūrėtoja. Prieigos raktai laikomi įrenginyje. Jei nenorite sinchronizuoti slaptažodžio naudodami tam tikrą paslaugą, įdėkite tą patį kodą keliuose įrenginiuose. Turite tik vieną įrenginį, o dabar jo nebėra? Tai ta pati problema, kaip ir slaptažodžių tvarkytuvėse be sinchronizavimo. Galų gale turėsite iš naujo autentifikuoti naudodami skirtingas paslaugas, kaip tai darytumėte bet kuriuo panašiu atveju, kai būsite užrakintas. Daugelis žmonių sinchronizuos savo prieigos raktus, kaip ir slaptažodžius. Ir ne, jei „Google“ uždarys jūsų paskyrą, ji negalės išjungti prieigos raktų, kuriuos jau turite savo įrenginiuose. Prarasite jų sinchronizavimo paslaugą, bet galėsite pradėti naudoti kitą.
Prieigos kodų negalima sukčiauti, jų negalima pamiršti, jų negalima gauti per duomenų nutekėjimą ir jie yra unikalūs ir saugūs. Tai tikrai dideli patobulinimai. Juos taip pat lengviau naudoti, nes kai jie yra jūsų įrenginyje, autentifikavimas yra paprastas.
Tam naudoju Yubikey, o ne Android ar iOS. Tai reiškia, kad aš nepriklausau „Google“ / „Apple“, kad galėčiau tvarkyti savo raktą, taip pat neturiu jaudintis, kad mano paskyra gali būti pažeista ir dėl to nutekės slaptažodis.
Palygindamas su „Google“ paskyros prisijungimu, jau kurį laiką naudoju šį „Yubikey“ savo „Microsoft“ paskyrai pasiekti.
„Microsoft“ veikia visose pagrindinėse darbalaukio naršyklėse (išskyrus „Safari“ sistemoje „MacOS“, kai paskutinį kartą tikrinau). Panašu, kad „Google“ reikia „Chrome“.
„Microsoft“ turi parinktį, esančią po naudotojo vardo lauku, prisijungti kitu būdu, tada pasirenkate „Windows Hello“ arba saugos raktą, įdedate raktą į USB prievadą, įveskite PIN kodą ir paspauskite viršuje esantį mygtuką. Tada jūsų paklaus, kuri paskyra (jei turite išsaugotas kelias paskyras), ir jūs iškart prisijungsite. Jums net nereikia atsiminti vartotojo vardo / el. pašto adreso.
„Google“ reikalauja įvesti savo vartotojo vardą / el. pašto adresą, tada paprašys įterpti raktą. Tada turėsite įvesti PIN kodą ir jis jus prisijungs.
Naudojimo požiūriu „Microsoft“ yra geresnė tuo, kad jums nereikia atsiminti el. Ars miniai tai tikriausiai yra neigiama. Bet jei remiate 70 metų senelius, kuo mažiau dalykų jiems reikia atsiminti, tuo geriau. Nepatvirtinau, bet MS sistemos trūkumas yra tas, kad Yubikey palaiko tik tam tikrą saugomų kredencialų skaičių, tuo tarpu iš to, ką galėjau matyti savo tyrime, „Google“ metodas iš esmės reiškia, kad „Yubikey“ sugeneruoja privatų raktą būtent toje svetainėje. vidiniame privačiame rakte, jūsų PIN kodas ir tam tikra informacija, kurią teikia svetainė ir naršyklė, kiekvieną kartą, kai reikia paleisti autentifikavimas. Atrodo, kad abu jie naudoja vidinį privatų raktą, būdingą Yubikey, jūsų PIN kodą, tam tikrą informaciją apie naršyklės pateiktą domeną ir konkrečią informacija, pateikta iš svetainės, kurioje lankotės, norint atlikti rankos paspaudimą, o tai neleidžia MITM atakoms būti sėkmingoms, nes jos negali viso to apgauti duomenis.
Nesu tikras, ko „Firefox“ trūksta „Google“ ir „Microsoft“ diegimui, kodėl ji nepalaiko naujos slaptažodžio sistemos. Ar tiesiog „Google“ neprašo slaptažodžio, nes „Firefox“ neįdiegė „Bluetooth“ dalies, kuri turi šalutinis poveikis, kai nepalaikomi „Yubikeys“ / aparatinės įrangos prieigos raktai, nes „Firefox“ to neprašo „Google“ prisijungimas svetainę.
--
Jei pametate prieigos raktą ir neturite atsarginio kodo, atsarginis saugos būdas yra prisijungti taip, kaip buvote prisijungę prieš prieigos raktą. Taigi paprastai slaptažodis + OTP. Nors tai reiškia, kad svetainė palaiko mažiau saugią autentifikavimo sistemą, vienas privalumas yra tas, kad jūs to nepalaikote reguliariai naudojate slaptažodį, todėl mažesnė tikimybė, kad jis bus nutekintas arba perimtas sukčiavimo / MITM puolimas.
--
Saugumo požiūriu galite peržiūrėti prieigos raktus kaip slaptažodžių piniginę su ribotu svetainės palaikymu. Jei naudojate Yubikey, piniginė yra kišenėje esantis aparatūros įrenginys, apsaugotas PIN kodu. Jei naudojate „Android“ / „iOS“ prieigos raktą, piniginė sinchronizuojama debesų sistemoje ir apsaugota paskyros slaptažodžiu + biometriniais duomenimis. Jei pametate įrenginį, tai panašu į slaptažodžio failo praradimą.
Kai tik jie išsiaiškins visus niuansus, tai gali daug ką pakeisti saugumo aplinkoje, nes tai padarys saugumu nesirūpinantys asmenys. nebereikės priešintis saugaus slaptažodžio reikalavimams ar sugalvoti, kaip tinkamai naudoti slaptažodžių piniginę ir kaip ją pasiekti / sinchronizuoti keliuose prietaisai. Iš esmės tapę slaptažodžių pinigine, prieigos raktai sukuria tikrai saugius, tikrai atsitiktinius slaptažodžius kiekvienai svetainei, kurioje jie naudojami, ir yra sukurti atsižvelgiant į apsaugą nuo sukčiavimo.
Kaip tai gali būti nubalsuota? Tai 100% tiesa.
tai PSO, ne ką pirmajame puslapyje. Jokios meilės „Google“ pirmajame puslapyje, dėl kurios jų parama atsigręžė prieš minią pramonės standartas.
Tai kvaila.
Vėlgi, skaitytojai, nekreipkite į šiuos komentatorius jokio dėmesio.
Slaptažodžio naudojimas neturėtų būti atsakymas į kažką, kuriuo siekiama pakeisti slaptažodžius.
Tai savotiškai juokinga. Kaip kitaip patvirtintumėte esamą paslaugą norėdami atnaujinti autentifikavimo mechanizmą? Be jau aptarto QR ir „Bluetooth“ metodo. Ir nors atakos paviršius serverio pusėje nebūtinai sumažinamas įjungiant, o ne reikalaujant prisijungimo slaptažodžio, gerokai sumažina atakos paviršių kliento pusėje, nes jūs griežtai keičiate raktus, kuriuos įgalina OS lygio autentifikavimas. Ir tai yra visų laimėjimas.
Jei esate tiek, kad negalite pasitikėti jokiomis savo OS saugos funkcijomis, taip pat galite tiesiog išmesti savo kompiuterių įrenginius ir pradėti transliuoti tropinėje saloje ar panašiai. At tam tikras taškas kai kuriai programinei įrangai turi būti suteiktas tam tikras pasitikėjimo lygis.
Manau, čia yra daug painiavos, nes visas technologijų krūvas buvo išmestas ant mūsų ir pateiktas kaip fait accompli. Leiskite man, kaip neišmanėliui, pabandyti jį dekonstruoti pagal analogiją su tuo, ką aš suprantu: SSH raktų poromis. Kviečiu kitus išsprūsti, ką aš darau ne taip.1. Viešieji / privatūs autentifikavimo raktai. Tai veikia maždaug taip pat kaip SSH. Svetainė žino tik jūsų viešąjį raktą, o jūs pasirašote pranešimus, kad įrodytumėte, jog turite privatų raktą.
2. Apsauga nuo sukčiavimo. Raktai yra specifiniai svetainei, todėl sukčiavimo svetainė gauna kitą raktą. SSH tam turi pagrindinio kompiuterio raktus, manau, kad „keypass“ naudoja kažką bendro su TLS pagrindinio kompiuterio raktais? Jūsų naršyklė naudoja tai, kad pasirinktų, kurį klavišą naudoti? Ar tik pagal DNS pavadinimą?
3. Raktų atrakinimo priemonės, siekiant įrodyti, kad juos naudoja tinkamas vartotojas. SSH turi slaptafrazių, manau, čia atsiranda biometrinis / Bluetooth dalykas? SSH taip pat gali atrakinti raktus su intelektualiosiomis kortelėmis, todėl manau, kad biometriniai duomenys yra šiek tiek panašūs į kitą atrakinimo režimą?
4. Raktų sinchronizavimas tarp įrenginių. Tikriausiai čia atsiranda debesų „ekosistemos“, pvz., „iCloud“ ir „Chrome“ slaptažodžių sinchronizavimas? SSH palaikymo nėra, bet galite susikurti patys naudodami rsync ar dar ką nors?
Ką aš suklydau?
Jei tai iš esmės teisinga, galėčiau įsivaizduoti, kad sukuriamas atviras dėklas, kuris iš esmės veikia taip pat, kaip SSH, naudojant krūvą failų, esančių ~/.ssh ir rsync, kad būtų galima judėti iš vieno įrenginio į kitą. Tai yra „dviračio“ metodas, kai visos judančios dalys yra atviros ir lengvai suprantama, kas vyksta.
Tai ne tik žmonių – tai FIDO2, antrosios standarto versijos, atnaujinimas. U2F buvo FIDO1; tai yra CTAP 2.2 ([redaguoti: ištaisyta iš mano WAG 2.4, kuris buvo neteisingas, ačiū Vis tiek neteisingai!]), FIDO2/WebAuthn dalis. Iš tikrųjų čia nėra nieko sudėtingo... jie sušvelnino Autentifikatoriaus reikalavimus, kad privatųjį raktą būtų galima (būtina...) saugiai nukopijuoti, ir pridėjo keletą „Javascript“ funkcijų, kad gyvenimas būtų lengvesnis. Prisijungimai be slaptažodžio? Visada buvo įmanoma naudojant FIDO2. Tai yra tvarkinga dalis – FIDO1 gali būti tik MFA. Pridėti privatų raktą prie savo naršyklės, saugomo TPM arba saugiame elemente? Visada buvo įmanoma ir anksčiau buvo įdiegta „Chrome“, „Firefox“ ir „Safari“.. Nauja yra tai, kad jį galima sinchronizuoti ir pasiekti per BT/QR ryšį. Anksčiau jis buvo vadinamas (ir pažymėtas svetainėse) kaip "specifiniai platformos raktai", o ne nešiojamieji, kurie buvo aparatūros įrenginiai. Dabar tai yra „PassKeys“.
Kadangi atrodo, kad visa slaptažodžių sistemos esmė yra atsikratyti slaptažodžių, leiskite man išvardyti kai kuriuos slaptažodžių pranašumus:
- jie pakankamai paprasti, kad juos suprastų kiekvienas, protiškai pajėgus valdyti elektroninį įrenginį
- jas lengva atsiminti, jei iš viso dedate pastangų ir reguliariai naudojate
- jie veikia visose operacinėse sistemose
- jiems nereikia interneto prieigos (kai kurios sistemos yra neprisijungusios dėl rimtos priežasties)
- jiems nereikia jokios trečiosios šalies bendradarbiavimo
- jiems nereikia išmaniojo telefono ar kitos programėlės
- jiems nereikia Bluetooth, WiFi, fotoaparatų ar baterijų
- avariniu atveju juos galima laikyti nenaudojant elektros
- jie gali būti lengvai perduodami kitam asmeniui nenaudojant jokio prietaiso
- jei nesate neįgalus ir nenaudojate išmaniojo telefono, autentifikavimas slaptažodžiu užtrunka vos kelias sekundes
Jūsų taškai Nr. 1, Nr. 2 ir Nr. 10 yra neteisingi – paklauskite visų, kurie dirba techninėje palaikymo tarnyboje, kaip dažnai jie turi iš naujo nustatyti slaptažodį, nes kažkas pamiršo slaptažodį, paliko didžiųjų raidžių klavišą įjungtą (arba neteisingai padėjo ranką ant klaviatūros) arba paspaudė pirštais pakankamai kartų, kad užsirakintų išeiti. Taip, taip, aš žinau, kad jūs asmeniškai visada puikiai tai darote, bet patikėkite manimi, kiekvienas, sulaukęs pagalbos tarnybos skambučių, turi... mažiau optimistišką... požiūrį į žmoniją. Taip pat pridursiu, kad palaikau daug aklųjų vartotojų ir slaptažodžių įvedimą masiškai nemalonu, nes daugelyje svetainių taikomi sudėtingumo reikalavimai, kurie yra sunkūs ekrano skaitytuvo naudotojams, o jei nesate įgudęs liečiamųjų mašinėlių, tai pasakyti garsiai nėra puiku. Tai yra niša, bet daugelis žmonių, kuriančių autentifikavimo sistemas, teisiškai privalo taip pat gerai palaikyti, ir tai yra viena iš priežasčių, kodėl aš domiuosi technologija, nes „Ar norite prisijungti naudodami savo prieigos raktą? „Taip“ yra bent vienu dydžiu greitesnis ir lengvesnis nei bet kokios formos slaptažodis + MFA daugeliui tų vartotojų.
3 punktas galioja WebAuthn MFA, bet visada slaptažodžiai – kažkas panašaus į Yubikey veikia visur, kur turite USB / NFC, bet galite reikia nustatyti PIN kodą arba naudoti jų biometrinių serijų raktus slaptažodžio diegimo programoms, pvz., Google.com, kuriems reikia daugiau nei paprasto bakstelėkite.
5, 6, 7 ir 8 taškai taip pat galioja visoms WebAuthn formoms – tiek MFA, tiek prieigos raktams. 4 punktas yra teisingas, išskyrus pirmą kartą, kai užregistruojate įrenginį, kai sinchronizuojate esamą raktą. Pirmą kartą sinchronizavus raktus, tinklo ryšio nereikia. Jei nenorite sinchronizuoti, taip pat galite nusipirkti kelis „Yubikey“ biometrinius raktus, kurie vėl veikia neprisijungę bet kur, kur turite USB arba NFC.
Tai palieka #9, o tai yra bloga praktika ir, jei įmanoma, to reikėtų vengti. Šiuolaikinėse sistemose yra tokių dalykų kaip vaidmenimis pagrįstas autentifikavimas, kai žmonės niekada nesidalija slaptažodžiais, bet keliems žmonėms leidžiama atlikti tam tikrą vaidmenį, arba tokius dalykus kaip senas arba deleguotas. paskyros, kuriose niekada nesidalijate slaptažodžiais, bet suteikiate vienam arba, dar geriau, keliems žmonėms, kurių reikia kartu, galimybę atlikti kažką, pavyzdžiui, nustatyti slaptažodį iš naujo arba valdyti savo failus.
Vien todėl, kad kažkas naujo ir jūs neišmokote, kaip tai veikia, dar nereiškia, kad tai yra blogai arba to reikia vengti. Prieigos raktai yra didelis pokytis daugeliui iš mūsų – išskyrus .gov, nes ten PIV/CAC grįžta į ankstesnį šimtmetį, net jei keliose kitose vietose priėmė jį, tačiau jie turi daug naudingumo patobulinimų, be saugumo pranašumų, ir yra aiškus kelias kai kurių trūkstamų dalių (pvz., aš tikrai noriu galimybės sinchronizuoti Apple / Google slaptažodį su Yubikey, kad galėčiau jį įdėti į savo seifą atvejis).
Akivaizdu, kad jis turi būti pasiekiamas ne tik sinchronizuojant, bet ir autentifikuojant, nes jis tam naudojamas. Ji taip pat turi būti prieinama pirminės registracijos metu.Štai ką aš bandau jums paaiškinti: būtų lengva autentifikuoti esamą įrenginį ir jį naudoti įrenginį, kad pridėtumėte kitą viešąjį raktą, kuris sugeneruojamas kitame naujame įrenginyje ir siunčiamas į seną įrenginį. reiškia. Pavyzdžiui, galėčiau sukurti naują slaptojo rakto / viešojo rakto raktų porą savo staliniame kompiuteryje, nusiųsti viešąjį raktą į nešiojamąjį kompiuterį, prisijungti naudodamas nešiojamąjį kompiuterį ir pridėti darbalaukio viešąjį raktą. Aš nuolat darau panašius dalykus su SSH.
Čia nėra jokių techninių kliūčių. Jei tai neįmanoma naudojant prieigos raktus, tai pasirenkama.
Privatus raktas nepasiekiamas. Kodėl gi nepasižvalgius, užuot kartojus melą.
Ir dabar esu labiau sutrikęs nei prieš pradėdamas – persiunčiau straipsnį savo CS pagrindinei/geresnei pusei, kad paaiškinčiau dalykus, bet to gali nepakakti.
Slaptažodžiai lengvai įsisavinami. 2FA lengva paaiškinti. Prisijungimo raktai turi prasmę, bet tik tada, kai pagalvoju, kad galėčiau juos gauti, perskaitau kitą pastraipą ir labiau pasiklystu.
Dangus padėk mano broliams ir seserims ir tėvams.
Ačiū, kad tai pasakėte. Dano ir kitų atsakymai (pvz., @Wbdreklamuojamas komentaras, kuriame cituojamas mano) yra pagrįstas iš esmės klaidingu komentaro supratimu.Jūs suprantate, kad ir „1Password“, ir „Bitwarden“ palaiko slaptažodžio palaikymą, tiesa?Nenoriu pasitikėti savo OS tiekėju (mano atveju „Apple“ tiek mobiliesiems, tiek staliniams įrenginiams) su slaptažodžiais ir atsakymas kartojasi „Bet yOu JAU PASITIKĖKITE GOOGEL SU SAVO SLAPTAŽODŽIU." Taip, gerai, aš įvedu ilgą atsitiktinį slaptažodį iš BitWarden / KeePass, įjungiu savo Yubikey ir paspauskite mygtuką. Niekada tai nepriklauso nuo mano OS teikėjo.
Ir, žinoma, šiuo metu yra galimybė nenaudoti slaptažodžių ir naudoti slaptažodį, kaip anksčiau, tačiau visas techninis ažiotažas yra pakeliui į „NO MORE PASSWORDS PASSKEYS FOR VISIEMS“ stotis ir jei sakau „bet palauk, jei man užrakinta bet kuri kita paskyra, nes mano OS teikėjas nusprendžia, kad aš jam nepatinku, kas atsitiks“, mane vadina troliu ir klaidingai informuotas. Taip pat yra tiek daug ypatingų atvejų, kai galiu galvoti, kai tai neveikia, ir užuot sakęs: „Taip, tie yra pagrįstas susirūpinimas tik slaptažodžiu ateityje, kurio mes norime“, – tokia nuolatinė bet kuri kritika klausinėjant.
1Password teigė, kad slaptažodžiai yra „autentifikavimo ateitis“: https://www.future.1password.com/passkeys/
