Nē un galīgi nē.Raksta konteksts ir pieteikšanās Google akreditācijas datos, izmantojot ieejas atslēgu. “Lielais 3” un arī vairāki citi piedāvā atslēgu darījuma un atkopšanas iespējas, taču vietnes izmanto piekļuves atslēgas tieši — ja izmantojat piekļuves atslēgu ar Best Buy, viņi nepārbaudīs, piemēram, Google (ja vien neizmantojat “sociālās pieteikšanās” kurss). Šajā kontekstā Google konta dzēšana nozīmē tikai to, ka, ja tālrunis nomirst, viss var kļūt neveiksmīgs. Tie būtībā ir yubikey ar atkopšanas iespēju — tātad nedaudz mazāk droši, jo pastāv privātā atslēga darījuma režīmā, kas atrisina 50% no yubkeyys problēmas (atlikušais ir cenu zīme un lietotņu atbalsts sāpes).Šķiet, ka katra sistēma, kas, šķiet, spēj glabāt piekļuves atslēgas, prasa uzticēties lielajam trim (Apple, Google, Microsoft), lai neizdzēstu jūsu kontu bez brīdinājuma. Manā gadījumā, ja Apple dzēš manu iCloud kontu un atslēgu piekariņu, es zaudēju piekļuvi visam, kas ir nodrošināts ar ieejas atslēgu. Salīdziniet to ar to, kas notiek šobrīd, ja es iznīcinu savu galveno Yubikey: es eju uz savu banku, parādiet viņiem divus ID veidlapas, izmantojiet manu fizisko atslēgu, lai izgūtu Yubikey dublējumu no seifa, un turpiniet dzīvi.
Kamēr un ja vien neradīsies nopietnas un ilgstošas sekas uzņēmumiem, kas sniedz infrastruktūras pakalpojumus un kuri rīkojas vienpusēji, es to nekādā veidā neizmantošu. KeyPass/BitWarden var ģenerēt patvaļīgi spēcīgas paroles, jūs varat iegādāties tik daudz Webauthn atslēgu, cik vēlaties no dažādiem piegādātājiem. Izmantojot piekļuves atslēgas, jūs varat veikt vienu (automātisku, neapspriežamu) dzēšanu, lai netiktu neatgriezeniski izslēgts no visas jūsu tiešsaistes dzīves.
Ja vēlaties piešķirt šo spēku uzņēmumam, esiet mans viesis. Es gaidīšu, līdz tas tiks uzskatīts par ūdens vai elektroenerģijas uzņēmumiem, kas pārtrauc pakalpojumu bez redzama iemesla: lieli un sāpīgi naudas sodi.
Es neesmu pārliecināts, ka es saprotu, kā darbplūsma, kas prasaJa kopējat un ielīmējat paroles (vai ierakstāt tās no atmiņas, kam ir citas liela mēroga problēmas), jūs esat neaizsargāts pret pikšķerēšanu. Tādējādi piekļuves atslēgas jums būtu liels drošības uzlabojums.
paķer telefonu,
pieskaroties lietotnei,
ekrāna attēla uzņemšana un
pieskarieties, ko darīt ar šo informāciju......ir "vieglāka" darbība nekā paroles ievadīšana no atmiņas vai automātiska pabeigšana ar paroļu pārvaldnieku vai kopēšanas ielīmēšana ar paroļu pārvaldnieku.
Var būt arī citi ieguvumi, taču tas nekādā gadījumā nav vieglāk.
Savam Google kontam esmu atkārtoti reģistrējis savus YubiKeys, ko izmantoju kā 2FA, lai kļūtu par piekļuves atslēgām. Izmantojot 2FA, autentifikācija bija Google parole + FIDO U2F aparatūras atslēga. Izmantojot piekļuves atslēgas, tā ir FIDO2 aparatūras atslēga + atslēgas FIDO2 PIN.
Neviens no "trīs lielajiem" tehnoloģiju uzņēmumiem nebūs jūsu piekļuves atslēgu uzraugs. Ieejas atslēgas tiek glabātas ierīcē. Ja nevēlaties sinhronizēt ieejas atslēgu, izmantojot kādu pakalpojumu, ievietojiet to pašu atslēgu vairākās ierīcēs. Jums ir tikai viena ierīce, un tagad tās vairs nav? Tā ir tāda pati problēma kā paroļu pārvaldniekiem bez sinhronizācijas. Galu galā jums būs jāveic atkārtota autentifikācija, izmantojot dažādus pakalpojumus, tāpat kā jebkurā līdzīgā bloķēšanas gadījumā. Lielākā daļa cilvēku sinhronizēs savas piekļuves atslēgas tāpat kā paroles. Un nē, ja Google slēdz jūsu kontu, viņi nevar atspējot piekļuves atslēgas, kas jau ir jūsu ierīcēs. Jūs zaudēsit to sinhronizācijas pakalpojumu, taču tā vietā varēsit sākt izmantot citu.
Ieejas atslēgas nevar izkrāpt, tās nevar aizmirst, tās nevar iegūt datu noplūdes rezultātā, un tās pēc savas būtības ir unikālas un drošas. Tie ir patiešām lieli uzlabojumi. Tos ir arī vieglāk lietot, jo, tiklīdz tie ir jūsu ierīcē, autentifikācija ir vienkārša.
Šim nolūkam es izmantoju Yubikey, nevis Android vai iOS. Tas nozīmē, ka man nav uzticēts Google/Apple, lai varētu pārvaldīt savu atslēgu, kā arī man nav jāuztraucas par to, ka mans konts tiek uzlauzts un tādējādi tiek nopludināta piekļuves atslēga.
Salīdzinājumam ar Google konta pieteikšanos es jau kādu laiku izmantoju šo Yubikey, lai piekļūtu savam Microsoft kontam.
Microsoft darbojas visās galvenajās darbvirsmas pārlūkprogrammās (izņemot Safari operētājsistēmā MacOS, kad pēdējo reizi pārbaudīju). Šķiet, ka Google ir nepieciešams Chrome.
Microsoft zem lietotājvārda lauka piedāvā iespēju pierakstīties citā veidā, pēc tam atlasiet Windows Hello vai drošības atslēgu, ievietojiet atslēgu USB portā, ievadiet PIN un nospiediet pogu augšpusē. Pēc tam tiks jautāts, kurš konts (ja ir saglabāti vairāki konti), un jūs esat pieteicies. Jums pat nav jāatceras savs lietotājvārds/e-pasta adrese.
Google pieprasa ievadīt savu lietotājvārdu/e-pastu, pēc tam tiek prasīts ievietot atslēgu. Pēc tam jums jāievada PIN kods, un tas jūs pieteiks.
No lietojamības viedokļa Microsoft ir labāka, jo jums nav jāatceras jūsu e-pasts. Ars pūlim tas, iespējams, ir negatīvs. Bet, ja jūs atbalstāt 70 gadus vecus vecvecākus, jo mazāk lietas viņiem jāatceras, jo labāk. Es neesmu apstiprinājis, bet MS sistēmas mīnuss ir tas, ka Yubikey atbalsta tikai noteiktu skaitu saglabāto akreditācijas datu, turpretim no tā, ko es varēju redzēt savā pētījumā, Google metode pamatā paredz, ka Yubikey ģenerē privāto atslēgu tieši šai vietnei. uz iekšējo privāto atslēgu, jūsu PIN un kādu informāciju, ko nodrošina vietne un pārlūkprogramma, katru reizi, kad tai ir jāpalaiž autentifikācija. Šķiet, ka abi izmanto iekšējo privāto atslēgu, kas raksturīga Yubikey, jūsu PIN, kāda pārlūkprogrammas sniegtā informācija par domēnu un īpaša informācija, kas tiek sniegta no vietnes, kuru apmeklējat, lai veiktu rokasspiedienu, kas neļauj MITM uzbrukumiem būt veiksmīgiem, jo tie nevar visu to izkrāpt. datus.
Es neesmu pārliecināts, kas pietrūkst pārlūkprogrammā Firefox Google un Microsoft ieviešanai, kāpēc tas neatbalsta jauno piekļuves atslēgu sistēmu. Vai arī Google vienkārši nepieprasa ieejas atslēgu, jo Firefox nav ieviesis Bluetooth daļu, kurai ir blakusefekts, ka netiek atbalstīti Yubikeys/aparatūras marķieri, jo Firefox to neprasa Google pieteikšanās vietne.
--
Ja pazaudējat ieejas atslēgu un jums nav rezerves piekļuves atslēgas, drošības rezerves ir pieteikties tādā veidā, kā pieteicāties pirms ieejas atslēgas. Tātad parasti parole + OTP. Lai gan tas nozīmē, ka vietne atbalsta mazāk drošu autentifikācijas sistēmu, viena priekšrocība ir tā, ka jūs to neatbalstāt paroles izmantošana regulāri, tāpēc ir mazāka iespēja, ka to nopludinās vai pārtvers pikšķerēšanas/MITM uzbrukums.
--
No drošības viedokļa piekļuves atslēgas varat skatīt kā paroļu maku ar ierobežotu vietnes atbalstu. Ja izmantojat Yubikey, seifs ir aparatūras ierīce jūsu kabatā, ko aizsargā PIN. Ja izmantojat Android/iOS ieejas atslēgu, seifs tiek sinhronizēts mākoņsistēmā un aizsargāts ar jūsu konta paroli un biometriskajiem datiem. Ja pazaudējat ierīci, tas ir līdzīgi paroles faila pazaudēšanai.
Tiklīdz viņi ir noskaidrojuši visas domstarpības, tas var mainīt daudzas lietas drošības vidē, jo personas, kuras neapzinās drošību. vairs nav jāpretojās drošas paroles prasībām vai jāizdomā, kā pareizi izmantot paroļu maku un kā tam piekļūt/sinhronizēt vairākās ierīces. Būtībā kļūstot par paroļu maku, piekļuves atslēgas ģenerē patiešām drošas, patiešām nejaušas paroles katrai vietnei, kurā tās tiek izmantotas, un ir izveidotas, ņemot vērā pikšķerēšanas aizsardzību.
Kā to var nobalsot? Tā ir 100% taisnība.
Tas ir PVO, nē kas pirmajā lapā. Pirmajā lapā nav mīlestības pret Google, tāpēc viņu atbalsts ir vērsis pūli pretī nozares standarts.
Tas ir muļķīgi.
Atkal, lasītāji, nepievērsiet šiem komentētājiem nekādu uzmanību.
Paroles izmantošana nedrīkst būt atbilde uz kaut ko, kas paredzēts paroļu aizstāšanai.
Tas ir kaut kā smieklīgi. Kā citādi jūs autentificētos esošam pakalpojumam lai atjauninātu savu autentifikācijas mehānismu? Neskaitot jau apspriesto QR un Bluetooth metodi. Un, lai gan uzbrukuma virsma servera pusē ne vienmēr tiek samazināta, iespējojot, nevis pieprasot pieteikšanos paroli, ievērojami samazina uzbrukuma virsmu klienta pusē, jo jūs stingri iesaistāties atslēgu apmaiņā, ko nodrošina OS līmeņa autentifikācija. Un tā ir uzvara visiem.
Ja esat tiktāl, ka nevarat uzticēties nevienam no savas OS drošības līdzekļiem, varat arī vienkārši izmest savas skaitļošanas ierīces un doties tiešraidē uz tropu salu vai kaut ko citu. Plkst kādu punktu zināma līmeņa uzticēšanās ir jāpiešķir kādai programmatūras daļai.
Manuprāt, šeit ir daudz neskaidrību, jo mums ir izgāzta vesela tehnoloģiju kaudze un pasniegta kā fait accompli. Ļaujiet man kā nezinātājam mēģināt to dekonstruēt pēc analoģijas ar to, ko es saprotu: SSH atslēgu pāri. Es aicinu citus izlaist caurumus tajā, ko es kļūdos.1. Publiskās/privātās autentifikācijas atslēgas. Tas darbojas aptuveni tāpat kā SSH. Vietne zina tikai jūsu publisko atslēgu, un jūs parakstāt ziņojumus, lai pierādītu, ka jums ir privātā atslēga.
2. Aizsardzība pret pikšķerēšanu. Atslēgas ir raksturīgas vietnei, tāpēc pikšķerēšanas vietne saņem citu atslēgu. SSH šim nolūkam ir resursdatora atslēgas, es pieņemu, ka Keypass izmanto kaut ko darīt ar TLS resursdatora atslēgām? Jūsu pārlūkprogramma to izmanto, lai izvēlētos, kuru taustiņu izmantot? Vai tikai pēc DNS nosaukuma?
3. Atslēgu atbloķēšanas līdzekļi, lai pierādītu, ka tās izmanto pareizais lietotājs. SSH ir ieejas frāzes, es pieņemu, ka šeit tiek izmantota biometriskā / Bluetooth lieta? SSH var arī atbloķēt atslēgas ar viedkartēm, un tāpēc es pieņemu, ka biometriskie dati ir nedaudz līdzīgi citam atbloķēšanas režīmam?
4. Atslēgu sinhronizēšana starp ierīcēm. Iespējams, ka šeit parādās mākoņu “ekosistēmas”, piemēram, iCloud un Chrome paroles sinhronizācija? SSH atbalstam nav, bet jūs varat izveidot savu, izmantojot rsync vai citu?
Ko es kļūdījos?
Ja iepriekš teiktais kopumā ir pareizi, es varētu iedomāties izveidot atvērtu steku, kas būtībā darbojas tāpat kā SSH, izmantojot failu kaudzi ~/.ssh un rsync, lai pārvietotos starp ierīcēm. Tā ir “velosipēda” pieeja, kurā visas kustīgās daļas ir atklātas un ir viegli saprast, kas notiek.
Tas ir ne tikai izmests uz cilvēkiem — šis ir FIDO2 atjauninājums, kas pats par sevi ir standarta otrā versija. U2F bija FIDO1; tas ir CTAP 2.2 ([labots: labots no mana WAG 2.4, kas bija nepareizs, paldies Still Incorrect!]), daļa no FIDO2/WebAuthn. Tas tiešām nav nekas sarežģīts... viņi ir atvieglojuši Autentifikatora prasības, lai privāto atslēgu varētu (jābūt...) droši kopēt, un ir pievienojuši dažus Javascript līdzekļus, lai atvieglotu dzīvi. Pieteikšanās bez paroles? Vienmēr bijis iespējams ar FIDO2. Tā ir tā glītā daļa — FIDO1 varētu būt tikai MFA. Vai pārlūkprogrammai pievienojat privāto atslēgu, kas saglabāta TPM vai drošajā elementā? Vienmēr bijis iespējams, un iepriekš tika ieviests pārlūkprogrammās Chrome, Firefox un Safari. Jaunums ir tas, ka to var sinhronizēt un piekļūt, izmantojot BT/QR rigmarole. Iepriekš tas tika saukts (un atzīmēts tīmekļa vietnēs) kā "platformai specifiskas atslēgas", pretstatā pārnēsājamajām atslēgām, kas bija aparatūras ierīces. Tagad tas ir PassKeys.
Tā kā visa piekļuves atslēgu sistēmas jēga, šķiet, ir atbrīvoties no parolēm, ļaujiet man uzskaitīt dažas no paroļu priekšrocībām:
- tie ir pietiekami vienkārši, lai tos saprastu ikviens, kurš garīgi spēj vadīt elektronisku ierīci
- tos ir viegli atcerēties, ja pieliekat pūles un regulāri lietojat
- tie darbojas visās operētājsistēmās
- tām nav nepieciešama piekļuve internetam (dažas sistēmas pamatota iemesla dēļ ir bezsaistē)
- tiem nav nepieciešama nevienas trešās puses sadarbība
- tiem nav nepieciešama viedtālruņa vai cita sīkrīka klātbūtne
- tiem nav nepieciešams Bluetooth, WiFi, kameras vai baterijas
- avārijas gadījumā tos var uzglabāt bez elektrības
- tos var viegli pārsūtīt citai personai, neizmantojot nekādas ierīces
- ja neesat invalīds un neizmantojat viedtālruni, autentifikācija ar paroli aizņem tikai dažas sekundes
Jūsu punkti Nr. 1, Nr. 2 un Nr. 10 ir vienkārši nepareizi — pajautājiet ikvienam, kurš strādā tehniskajā atbalstā, cik bieži viņiem ir jāatiestata parole, jo kāds aizmirsa savu paroli, atstāja ieslēgtu lielo burtu taustiņu (vai nepareizi novietoja roku uz tastatūras) vai pietiekami reižu piespieda to ar pirkstiem, lai tiktu bloķēta. ārā. Jā, jā, es zinu, ka jūs personīgi vienmēr to lieliski izdodat, bet ticiet man, ikvienam, kurš saņem palīdzības dienesta zvanus, ir … mazāk optimistisks … skatījums uz cilvēci. Piebildīšu arī to, ka atbalstu daudz aklo lietotāju un paroles ievadīšanu masveidā viņiem tas ir nepatīkami, jo daudzām vietnēm ir sarežģītības prasības, kas ir sarežģītas ekrāna lasītāju lietotājiem, un, ja neesat prasmīgs skārienmašīnas mašīnrakstītājs, teikt to skaļi nav lieliski. Tā ir niša, taču daudziem cilvēkiem, kas veido autentifikācijas sistēmas, ir juridiski pienākums arī to labi atbalstīt, un tas ir viens no iemesliem, kāpēc es esmu ieinteresēts. tehnoloģija kopš “Vai vēlaties pieteikties ar savu piekļuves atslēgu?” “Jā” ir vismaz par vienu pakāpi ātrāks un vienkāršāks nekā jebkura veida parole + MFA daudziem tiem lietotājiem.
3. punkts attiecas uz WebAuthn MFA, taču vienmēr ir piekļuves atslēgas — kaut kas līdzīgs Yubikey darbojas visur, kur jums ir USB/NFC, bet jūs varētu jāiestata PIN kods vai jāizmanto biometriskās sērijas atslēgas piekļuves atslēgu ieviesējiem, piemēram, Google.com, kam nepieciešams vairāk nekā vienkārša krāns.
5., 6., 7. un 8. punkts attiecas arī uz visiem WebAuthn veidiem — gan MFA, gan piekļuves atslēgām. 4. punkts ir patiess, izņemot pirmo reizi, kad reģistrējat ierīci, sinhronizējot esošu atslēgu. Pēc pirmās atslēgas sinhronizēšanas nav nepieciešams tīkla savienojums. Ja nevēlaties sinhronizēt, varat arī iegādāties pāris Yubikey biometriskās atslēgas, kas atkal darbojas pilnībā bezsaistē jebkur, kur ir USB vai NFC.
Tas atstāj 9. vietu, kas ir slikta prakse, un no tā, ja iespējams, ir jāizvairās. Mūsdienu sistēmās ir tādas lietas kā uz lomu balstīta autentifikācija, kad cilvēki nekad nedala paroles, bet vairākas personas var uzņemties noteiktu lomu, vai tādas lietas kā mantota vai deleģēta. konti, kuros jūs vairs nekad nekopīgojat paroles, bet sniedzat vienam vai, vēl labāk, vairākiem cilvēkiem, kas nepieciešami kopā, iespēju veikt tādas darbības kā, piemēram, atiestatīt paroli vai iegūt kontroli pār savus failus.
Tas, ka kaut kas ir jauns un jūs neesat iemācījies, kā tas darbojas, nenozīmē, ka tas ir slikts vai no tā jāizvairās. Piekļuves atslēgas ir lielas pārmaiņas lielākajai daļai no mums — izņemot .gov, jo PIV/CAC tur aizsākās iepriekšējā gadsimtā, pat ja dažas citas vietas to pieņēma, taču papildus drošības priekšrocībām tiem ir vairāki lietojamības uzlabojumi, un ir skaidrs ceļš, kā dažas trūkstošās daļas (piemēram, es ļoti vēlos iespēju sinhronizēt Apple/Google ieejas atslēgu ar Yubikey, lai es varētu to iemest savā seifā gadījums).
Acīmredzot tai jābūt pieejamai ne tikai sinhronizācijas, bet arī autentifikācijas laikā, jo tas tiek izmantots. Un tam ir jābūt pieejamam arī sākotnējās reģistrācijas laikā.Un to es cenšos jums paskaidrot: to būtu viegli autentificēt ar esošu ierīci un izmantot to ierīce, lai pievienotu citu publisko atslēgu, kas tiek ģenerēta citā, jaunā ierīcē un kāda no tām nosūtīta uz veco ierīci nozīmē. Piemēram, es varētu izveidot jaunu slepeno atslēgu/publiskās atslēgas atslēgu pāri savā galddatorā, nosūtīt publisko atslēgu uz klēpjdatoru, pieteikties ar savu klēpjdatoru un pievienot darbvirsmas publisko atslēgu. Es visu laiku daru līdzīgas lietas ar SSH.
Šeit nav nekādu tehnisku šķēršļu. Ja tas nav iespējams ar piekļuves atslēgām, tad tas ir pēc izvēles.
Privātā atslēga nav pieejama. Kāpēc gan to nepameklēt, nevis atkārtot nepatiesību atkal un atkal.
Un tagad esmu vairāk apmulsis nekā pirms darba sākšanas — esmu pārsūtījis rakstu savai CS galvenajai/labākajai pusei, lai izskaidrotu lietas, taču ar to var nepietikt.
Paroles ir viegli sagremojamas. 2FA ir viegli izskaidrot. Piekļuves atslēgām ir kāda jēga, taču tieši tad, kad domāju, ka varētu to iegūt, es izlasu nākamo rindkopu un vairāk apmaldos.
Debesis palīdz maniem brāļiem un māsām un vecākiem.
Paldies, ka to pateicāt. Dena un citu personu atbildes (piemēram, @Wbd's reklamētais komentārs, kurā citēts manējais), ir balstīts uz būtisku nepareizu komentāra lasīšanu.Jūs taču saprotat, ka gan 1Password, gan Bitwarden strādā pie ieejas atslēgas atbalsta, vai ne?Es nevēlos uzticēties savam operētājsistēmas nodrošinātājam (manā gadījumā Apple gan mobilajām ierīcēm, gan galddatoriem) ar piekļuves atslēgām, un atbilde tiek atkārtoti "Bet yOu JAU UZTICĒJIETIES GOOGALEM AR SAVU PAROLI." Jā, labi, es ievadu garu nejaušu paroli no BitWarden/KeePass, pievienoju savu Yubikey un nospiediet pogu pogu. Tas nekādā gadījumā nav atkarīgs no mana OS nodrošinātāja.
Un, protams, šobrīd ir iespēja neizmantot piekļuves atslēgas un izmantot paroli tāpat kā iepriekš, taču viss tehnoloģiju ažiotāžas vilciens ir ceļā uz "NO MORE PASSWORDS PASSKEYS FOR VISI” stacija un, ja es saku: "Bet pagaidiet, ja man tiek liegts piekļūt visiem citiem kontiem, jo mans OS pakalpojumu sniedzējs nolemj, ka es tam nepatīku, kas notiek", mani sauc par troli un dezinformēts. Ir arī tik daudz malas gadījumu, kad es varu iedomāties, kur tas nedarbojas, un tā vietā, lai teiktu: "Jā, tie ir pamatotas bažas par tikai piekļuves atslēgu nākotnē, ko mēs vēlamies," ir šī ilgstošā kritika par jebkuru nopratināšana.
1Password ir nonācis tik tālu, ka paroles ir "autentifikācijas nākotne": https://www.future.1password.com/passkeys/