Nee, en absoluut niet.De context van het artikel is inloggen op een Google-inloggegevens met een toegangssleutel. De ‘grote 3’ en nog een aantal andere bieden sleutelbewaring en herstel aan, maar sites gebruiken rechtstreeks toegangssleutels – als u een wachtwoord bij Best Buy, ze zullen bijvoorbeeld niet controleren bij Google (tenzij u 'social logons' gebruikt van cursus). In die context betekent het wissen van uw account door Google alleen maar dat als uw telefoon uitvalt, het lastig kan worden. Ze zijn in feite een yubikey met een hersteloptie - dus iets minder veilig omdat de privésleutel bestaat in escrow die 50% van het probleem met yubikeys oplost (het prijskaartje en app-ondersteuning zijn de resterende pijn).Bij elk systeem dat wachtwoordsleutels lijkt te kunnen opslaan, moet u erop vertrouwen dat de grote drie (Apple, Google, Microsoft) uw account niet zonder waarschuwing verwijderen. In mijn geval verlies ik de toegang tot alles dat met een toegangssleutel is beveiligd als Apple mijn iCloud-account en de sleutelhanger verwijdert. Vergelijk dat eens met wat er nu gebeurt als ik mijn belangrijkste Yubikey vernietig: ik ga naar mijn bank en laat ze er twee zien vormen van identiteitsbewijs, gebruik mijn fysieke sleutel om de back-up Yubikey uit de kluis te halen en ga verder leven.
Tot en tenzij er ernstige en blijvende gevolgen zijn voor bedrijven die infrastructuurdiensten leveren die eenzijdig handelen, kan ik hier op geen enkele manier gebruik van maken. KeyPass/BitWarden kan willekeurig sterke wachtwoorden genereren. U kunt bij verschillende leveranciers zoveel Webauthn-sleutels kopen als u wilt. Met wachtwoordsleutels bent u één (geautomatiseerde, niet-onderhandelbare) verwijdering verwijderd van een permanente uitsluiting van uw hele online leven.
Als je die macht aan een bedrijf wilt geven, wees dan mijn gast. Ik wacht tot het wordt behandeld alsof water- of energiebedrijven de dienstverlening zonder duidelijke reden afsluiten: hoge en pijnlijke boetes.
Ik weet niet zeker of ik begrijp hoe een workflow dat vereistAls u wachtwoorden kopieert en plakt (of ze vanuit het geheugen typt, wat andere grootschalige problemen met zich meebrengt), bent u kwetsbaar voor phishing. Wachtwoordsleutels zouden dus een grote veiligheidsverbetering voor u zijn.
je telefoon pakken,
tikken op een app,
een foto van uw scherm maken, en
tikken op wat je met die informatie moet doen......is een "eenvoudigere" handeling dan het invoeren van een wachtwoord uit het geheugen, of automatisch aanvullen met een wachtwoordbeheerder, of kopiëren en plakken met een wachtwoordbeheerder.
Er zijn misschien nog meer voordelen, maar dat is zeker niet eenvoudiger.
Voor mijn Google-account heb ik mijn YubiKeys die ik gebruikte opnieuw geregistreerd als 2FA als toegangscode. Met 2FA was de authenticatie Google-wachtwoord + FIDO U2F-hardwaresleutel. Bij wachtwoordsleutels is dit de FIDO2-hardwaresleutel + de FIDO2-pincode van de sleutel.
Geen van de ‘grote drie’ technologiebedrijven zal uw toegangscodes in handen krijgen. Wachtwoorden worden op een apparaat bewaard. Als u uw toegangscode niet via een of andere dienst wilt synchroniseren, plaatst u dezelfde toegangscode op meerdere apparaten. Je hebt maar één apparaat. En nu is het weg? Dat is hetzelfde probleem als wachtwoordbeheerders zonder synchronisatie. Uiteindelijk zult u zich opnieuw moeten authenticeren bij verschillende diensten, net zoals u zou doen in elk soortgelijk geval van buitensluiting. De meeste mensen synchroniseren hun wachtwoorden op dezelfde manier als hun wachtwoorden. En nee, als Google uw account afsluit, kunnen ze de toegangscodes die u al op uw apparaten heeft, niet uitschakelen. U verliest hun synchronisatieservice, maar u kunt in plaats daarvan een andere gaan gebruiken.
Wachtwoorden kunnen niet worden gephishing, kunnen niet worden vergeten, kunnen niet via datalekken worden verkregen en zijn inherent uniek en veilig. Dat zijn echt grote verbeteringen. Ze zijn ook gemakkelijker te gebruiken, omdat authenticatie, zodra ze op uw apparaat staan, eenvoudig is.
Ik gebruik hiervoor een Yubikey, geen Android of iOS. Dit betekent dat ik niet verplicht ben aan Google/Apple om mijn sleutel te kunnen beheren, en dat ik me ook geen zorgen hoef te maken dat mijn account in gevaar komt en daardoor de toegangssleutel lekt.
Ter vergelijking met het inloggen op mijn Google-account: ik gebruik deze Yubikey ook al een tijdje om toegang te krijgen tot mijn Microsoft-account.
Microsoft werkt in alle grote browsers op desktops (behalve Safari op MacOS de laatste keer dat ik het controleerde). Google lijkt Chrome nodig te hebben.
Microsoft heeft onder het gebruikersnaamveld een optie om op een andere manier in te loggen. Vervolgens selecteer je Windows Hello of Beveiligingssleutel, steek je de sleutel in een USB-poort, voer je de pincode in en druk je op de knop bovenaan. Vervolgens wordt u gevraagd welk account u heeft (als u meerdere accounts heeft opgeslagen) en u bent direct ingelogd. U hoeft uw gebruikersnaam/e-mailadres niet eens te onthouden.
Google vereist dat u uw gebruikersnaam/e-mailadres invoert en vraagt vervolgens om het invoegen van de sleutel. Vervolgens moet u de pincode invoeren en wordt u ingelogd.
Vanuit een bruikbaarheidsperspectief is Microsoft beter omdat u uw e-mail niet hoeft te onthouden. Voor het Ars-publiek is dit waarschijnlijk negatief. Maar als u 70-jarige grootouders ondersteunt, geldt: hoe minder dingen ze hoeven te onthouden, hoe beter. Ik heb het niet bevestigd, maar een nadeel van het MS-systeem is dat de Yubikey slechts een specifiek aantal opgeslagen inloggegevens ondersteunt, terwijl Voor zover ik in mijn onderzoek kon zien, zorgt de Google-methode er feitelijk voor dat de Yubikey een privésleutel genereert die specifiek voor die site is gebaseerd op een interne privésleutel, uw pincode en bepaalde informatie die door de site en de browser wordt verstrekt, elke keer dat deze moet worden uitgevoerd authenticatie. Beiden lijken een interne privésleutel te gebruiken die specifiek is voor de Yubikey, uw pincode, enige informatie over het domein die door de browser wordt verstrekt, en specifieke informatie die wordt verstrekt vanaf de site die u bezoekt om de handshake uit te voeren, waardoor MITM-aanvallen niet succesvol kunnen zijn, omdat ze dat niet allemaal kunnen vervalsen gegevens.
Ik weet niet zeker wat er ontbreekt in Firefox voor de Google-implementatie versus de Microsoft-implementatie, waarom het het nieuwe wachtwoordsysteem niet ondersteunt. Of vraagt Google gewoon niet om de toegangssleutel omdat Firefox het Bluetooth-gedeelte, dat de neveneffect van het niet ondersteunen van Yubikeys/hardwaretokens omdat Firefox er niet om wordt gevraagd door de Google-login plaats.
--
Als u de toegangscode kwijtraakt en geen reservewachtwoord hebt, kunt u als beveiligingsmaatregel inloggen op de manier waarop u zich aanmeldde vóór de toegangscode. Dus meestal wachtwoord + OTP. Hoewel dit betekent dat de site een minder veilig authenticatiesysteem ondersteunt, is een voordeel dat u dat niet doet het wachtwoord regelmatig gebruiken, zodat het minder waarschijnlijk wordt gelekt of onderschept door een phishing/MITM aanval.
--
Vanuit veiligheidsoogpunt kunt u wachtwoordsleutels zien als een wachtwoordportemonnee met beperkte site-ondersteuning. Als u een Yubikey gebruikt, is de portemonnee een hardwareapparaat in uw zak, beschermd door een pincode. Als u de Android/iOS-wachtwoordsleutel gebruikt, wordt de portemonnee gesynchroniseerd in een cloudsysteem en beschermd door uw accountwachtwoord + biometrie. Als u het apparaat verliest, is dit vergelijkbaar met het verliezen van het wachtwoordbestand.
Als ze eenmaal alle knikken hebben ontdekt, heeft dit het potentieel om veel dingen in het veiligheidslandschap te veranderen, net zoals niet-veiligheidsbewuste individuen dat zullen doen. niet langer weerstand bieden aan veilige wachtwoordvereisten of hoeven uit te zoeken hoe u een wachtwoordportemonnee op de juiste manier gebruikt en hoe u deze kunt openen/synchroniseren met meerdere apparaten. Door in feite een wachtwoordportemonnee te worden, genereren de wachtwoordsleutels echt veilige, echt willekeurige wachtwoorden voor elke site waarop ze worden gebruikt, en zijn ze gebouwd met phishing-resistentie in gedachten.
Hoe kan dit gemind worden? Het is 100% waar.
Zijn WHO, niet Wat op de voorpagina. Geen liefde voor Google op de voorpagina, zodanig dat hun steun de menigte tegen heeft gekeerd een industriestandaard.
Het is dom.
Nogmaals, lezers, besteed geen aandacht aan deze commentatoren.
Het gebruik van een wachtwoord mag niet het antwoord zijn op iets dat bedoeld is om wachtwoorden te vervangen.
Dit is nogal belachelijk. Hoe zou u zich anders kunnen authenticeren bij een bestaande service? om uw authenticatiemechanisme bij te werken? Afgezien van de al besproken QR-en-bluetooth-methode. En hoewel het aanvalsoppervlak aan de serverkant niet noodzakelijkerwijs wordt verkleind door het inschakelen in plaats van het vereisen van inloggen met een wachtwoord, gebeurt dit wel aanzienlijk verkleint het aanvalsoppervlak aan de clientzijde, omdat u strikt bezig bent met sleuteluitwisseling, mogelijk gemaakt door authenticatie op besturingssysteemniveau. En dat is winst voor iedereen.
Als je zo ver bent dat je de beveiligingsfuncties van je besturingssysteem niet meer kunt vertrouwen, kun je net zo goed je computerapparatuur weggooien en op een tropisch eiland gaan wonen of zoiets. Bij een punt Er moet een zekere mate van vertrouwen worden gegeven aan een stukje software.
Er is hier veel verwarring, denk ik, omdat een hele technische stapel op ons is gedumpt en als een voldongen feit wordt gepresenteerd. Laat ik, als onwetende, proberen het te deconstrueren naar analogie van wat ik wel begrijp: SSH-sleutelparen. Ik nodig anderen uit om gaten te ontdekken in wat ik verkeerd zie.1. Publieke/private authenticatiesleutels. Dit werkt ongeveer hetzelfde als SSH. De website kent alleen uw publieke sleutel en u ondertekent berichten om te bewijzen dat u over de privésleutel beschikt.
2. Bescherming tegen phishing. Sleutels zijn specifiek voor een site, dus een phishingsite krijgt een andere sleutel. SSH heeft hiervoor hostsleutels, ik neem aan dat keypass iets gebruikt dat te maken heeft met TLS-hostsleutels? Uw browser gebruikt dat om te selecteren welke sleutel u wilt gebruiken? Of gewoon op DNS-naam?
3. Middelen om de sleutels te ontgrendelen om te bewijzen dat de juiste gebruiker ze gebruikt. SSH heeft wachtwoordzinnen, ik neem aan dat dit is waar het biometrische / Bluetooth-gedoe om de hoek komt kijken? SSH kan ook sleutels ontgrendelen met smartcards, en dus neem ik aan dat de biometrie een beetje op een andere ontgrendelingsmodus lijkt?
4. Sleutels synchroniseren tussen apparaten. Dit is vermoedelijk waar cloud-ecosystemen in beeld komen, zoals iCloud- en Chrome-wachtwoordsynchronisatie? Voor SSH is er geen ondersteuning, maar je kunt er zelf een maken met rsync of wat dan ook?
Wat heb ik verkeerd gedaan?
Als het bovenstaande in grote lijnen klopt, kan ik me voorstellen dat je een open stack bouwt die in principe hetzelfde doet als SSH, met behulp van een stapel bestanden in ~/.ssh en rsync om tussen apparaten te verplaatsen. Dat is de ‘fiets’-benadering waarbij alle bewegende delen zichtbaar zijn en gemakkelijk te begrijpen wat er aan de hand is.
Het wordt niet alleen op mensen gedumpt - dit is een update van FIDO2, zelf de tweede versie van de standaard. U2F was FIDO1; dit is CTAP 2.2 ([bewerken: gecorrigeerd uit mijn WAG van 2.4 die verkeerd was, bedankt nog steeds onjuist!]), onderdeel van FIDO2/WebAuthn. Dit is echt niets ingewikkelds, zoals dat gaat... ze hebben de Authenticator-vereisten versoepeld, zodat de privésleutel veilig kan (moet) worden gekopieerd, en een aantal Javascript-functies toegevoegd om het leven gemakkelijker te maken. Wachtwoordloze logins? Altijd al mogelijk geweest met FIDO2. Dat is het leuke ervan: FIDO1 kan alleen MFA zijn. Wilt u een privésleutel toevoegen aan uw browser, opgeslagen in het TPM- of beveiligde element? Altijd mogelijk geweest, en werd eerder geïmplementeerd in Chrome, Firefox en Safari. Wat nieuw is, is dat het kan worden gesynchroniseerd en toegankelijk is via de BT/QR-rigmarole. Voorheen werd er naar verwezen (en gemarkeerd op websites) als "platformspecifieke sleutels", in tegenstelling tot de draagbare sleutels die hardwareapparaten waren. Nu zijn het PassKeys.
Aangezien het hele doel van het wachtwoordsysteem lijkt te zijn om wachtwoorden te verwijderen, wil ik enkele voordelen van wachtwoorden opsommen:
- ze zijn eenvoudig genoeg om te begrijpen voor iedereen die mentaal in staat is een elektronisch apparaat te bedienen
- ze zijn gemakkelijk te onthouden als u er enige moeite voor doet en ze regelmatig gebruikt
- ze werken out-of-the-box op alle besturingssystemen
- ze hebben geen internettoegang nodig (sommige systemen zijn om een goede reden offline)
- ze vereisen niet de medewerking van een derde partij
- ze vereisen niet de aanwezigheid van een smartphone of ander gadget
- ze hebben geen Bluetooth, WiFi, camera's of batterijen nodig
- ze kunnen – in geval van nood – worden opgeslagen zonder dat er elektriciteit nodig is
- ze kunnen eenvoudig worden overgedragen aan een andere persoon, zonder gebruik van een apparaat
- Als u niet gehandicapt bent en geen smartphone gebruikt, duurt authenticatie met een wachtwoord slechts enkele seconden
Uw punten #1, #2 en #10 zijn gewoon verkeerd. Vraag iedereen die bij de technische ondersteuning werkt hoe vaak ze hun wachtwoord opnieuw moeten instellen omdat iemand hun wachtwoord vergeten, de Caps Lock-toets aan laten staan (of hun hand verkeerd op het toetsenbord hebben geplaatst), of er zo vaak met hun vingers mee hebben gespeeld dat ze vergrendeld werden uit. Ja, ja, ik weet dat je het persoonlijk altijd perfect voor elkaar krijgt, maar geloof me, iedereen die helpdeskoproepen krijgt, heeft een … minder optimistische … kijk op de mensheid. Ik zal er ook aan toevoegen dat ik veel blinde gebruikers en wachtwoordinvoer steun massaal Dit is vervelend voor hen, omdat veel sites complexiteitseisen stellen die moeilijk zijn voor gebruikers van schermlezers en als je geen bekwame typist bent, is het niet geweldig om dit hardop te zeggen. Dat is een niche, maar het is er een die veel mensen die authenticatiesystemen bouwen, wettelijk ook goed moeten ondersteunen, en het is een van de redenen waarom ik erin geïnteresseerd ben de technologie sinds “Wilt u inloggen met uw wachtwoord?” “Ja” is voor velen minstens één orde van grootte sneller en eenvoudiger dan welke vorm van wachtwoord + MFA dan ook gebruikers.
Punt #3 geldt voor WebAuthn MFA, maar altijd met wachtwoorden – zoiets als een Yubikey werkt overal waar je USB/NFC hebt, maar misschien wel moeten een pincode instellen of hun biometrische reekssleutels gebruiken voor wachtwoordimplementeerders zoals Google.com, die meer nodig hebben dan alleen een simpele sleutel kraan.
Punten #5, #6, #7 en #8 gelden ook voor alle vormen van WebAuthn – zowel MFA als wachtwoordsleutels. Punt #4 is waar, behalve voor de eerste keer dat u een apparaat inschrijft bij het synchroniseren van een bestaande sleutel. Na de eerste keer dat je je sleutels synchroniseert, heb je geen netwerkverbinding nodig. Als je niet wilt synchroniseren, kun je ook een paar biometrische Yubikey-sleutels kopen die weer volledig offline werken, overal waar je USB of NFC hebt.
Dan blijft nummer 9 over, wat een slechte gewoonte is en indien mogelijk moet worden vermeden. Moderne systemen beschikken over zaken als op rollen gebaseerde authenticatie, waarbij mensen nooit wachtwoorden delen maar meerdere mensen een bepaalde rol mogen aannemen, of zaken als verouderde of gedelegeerde accounts waarbij je nooit meer wachtwoorden deelt, maar één of beter nog meerdere personen in combinatie de mogelijkheid geeft om bijvoorbeeld je wachtwoord opnieuw in te stellen of controle te krijgen over uw bestanden.
Het feit dat iets nieuw is en je nog niet hebt geleerd hoe het werkt, betekent niet dat het slecht is of moet worden vermeden. Wachtwoorden zijn voor de meesten van ons een grote verandering – met uitzondering van .gov, aangezien PIV/CAC daar teruggaat tot de vorige eeuw, ook al zijn er maar weinig andere plaatsen hebben het overgenomen – maar ze hebben naast de beveiligingsvoordelen een aantal verbeteringen in bruikbaarheid, en er is een duidelijk pad om uit te bouwen enkele van de ontbrekende onderdelen (ik wil bijvoorbeeld echt de mogelijkheid hebben om een Apple/Google-wachtwoord te synchroniseren met een Yubikey, zodat ik deze zomaar in mijn kluis kan laten vallen geval).
Het moet uiteraard niet alleen beschikbaar zijn tijdens het synchroniseren, maar ook tijdens de authenticatie, omdat het daarvoor wordt gebruikt. En het moet ook beschikbaar zijn tijdens de eerste registratie.En dat is wat ik je probeer uit te leggen: het zou gemakkelijk zijn om je te authenticeren met een bestaand apparaat en dat te gebruiken apparaat om een andere openbare sleutel toe te voegen, die op een ander, nieuw apparaat wordt gegenereerd en door sommigen naar het oude apparaat wordt verzonden middelen. Ik zou bijvoorbeeld een nieuw sleutelpaar met een geheime sleutel/openbare sleutel kunnen maken op mijn desktopcomputer, de openbare sleutel naar mijn laptop kunnen sturen, inloggen met mijn laptop en de openbare sleutel op het bureaublad toevoegen. Ik doe de hele tijd soortgelijke dingen met SSH.
Er is hier geen technisch obstakel. Als dat niet mogelijk is met toegangssleutels, dan is dat een keuze.
De privésleutel is niet toegankelijk. Waarom zou u het niet opzoeken in plaats van een onwaarheid keer op keer te herhalen?
En nu ben ik nog meer in de war dan voordat ik begon - ik heb het artikel doorgestuurd naar mijn CS-majoor/betere helft om dingen uit te leggen, maar dat is misschien niet genoeg.
Wachtwoorden zijn gemakkelijk te verteren. 2FA is eenvoudig uit te leggen. Wachtwoorden zijn best logisch, maar net als ik denk dat ik het misschien wel snap, lees ik de volgende paragraaf en raak ik nog meer verdwaald.
De hemel help mijn broers en zussen en ouders.
Bedankt dat je dat zegt. De reacties van Dan en anderen (bijvoorbeeld @Wbd's gepromote commentaar waarin de mijne wordt geciteerd) is gebaseerd op een fundamentele verkeerde interpretatie van het commentaar.Je realiseert je toch dat zowel 1Password als Bitwarden werken aan ondersteuning voor wachtwoordsleutels?Ik wil mijn besturingssysteemprovider (in mijn geval Apple voor zowel mobiele als desktopapparaten) niet vertrouwen met toegangscodes en het antwoord is herhaaldelijk: "Maar jij VERTROUW GOOGLE AL MET UW PASWOORD." Ja prima, ik voer een lang willekeurig wachtwoord in van BitWarden/KeePass, sluit mijn Yubikey aan en druk op de knop. Het is op geen enkel moment afhankelijk van mijn OS-provider.
En zeker, op dit moment is er de mogelijkheid om geen wachtwoordsleutels meer te gebruiken en een wachtwoord te gebruiken zoals voorheen, maar de hele tech-hype-trein is op weg naar "GEEN WACHTWOORDEN MEER VOOR IEDEREEN'-station en als ik zeg: 'maar wacht even, als ik geen toegang meer heb tot elk ander account omdat mijn OS-provider besluit dat hij me niet leuk vindt, wat gebeurt er dan', word ik een trol genoemd en verkeerd geinformeerd. Er zijn ook zoveel randgevallen die ik kan bedenken waarin dit niet werkt en in plaats van te zeggen: "Ja, die zijn terechte zorgen in de toekomst met alleen een sleutel die we willen”, is er aanhoudende kritiek op al deze kwesties Ondervragen.
1Password is zelfs zo ver gegaan om te zeggen dat wachtwoordsleutels “de toekomst van authenticatie” zijn: https://www.future.1password.com/passkeys/