Nei og absolutt ikke.Konteksten til artikkelen er å logge på en Google-legitimasjon med en passordnøkkel. "Big 3" og også flere andre tilbyr nøkkeldeponering og gjenoppretting, men nettsteder bruker adgangsnøkler direkte - hvis du bruker en passord med Best Buy, vil de ikke sjekke med Google for eksempel (med mindre du bruker "sosiale pålogginger" av kurs). I den sammenheng betyr google å tørke kontoen din bare at hvis telefonen din dør, kan ting bli vanskelig. De er i utgangspunktet en yubikey med et gjenopprettingsalternativ - så litt mindre sikre fordi den private nøkkelen eksisterer i escrow som løser 50% av problemet med yubikeys (prislappen og appstøtten er de resterende smerte).Hvert eneste system som ser ut til å kunne lagre passord, ser ut til å kreve at du stoler på de tre store (Apple, Google, Microsoft) for ikke å slette kontoen din uten forvarsel. I mitt tilfelle, hvis Apple sletter iCloud-kontoen min og nøkkelringen, mister jeg tilgangen til alt som er sikret med en passordnøkkel. Sammenlign det med det som skjer akkurat nå, hvis jeg ødelegger min viktigste Yubikey: Jeg går til banken min, vis dem to former for ID, bruk min fysiske nøkkel for å hente sikkerhetskopien Yubikey fra safen, og gå videre med liv.
Inntil og med mindre det får alvorlige og varige konsekvenser for selskaper som leverer infrastrukturtjenester som handler ensidig, er det ingen måte jeg kommer til å bruke dette. KeyPass/BitWarden kan generere vilkårlig sterke passord, du kan kjøpe så mange Webauthn-nøkler du vil fra en rekke leverandører. Med passord er du en (automatisert, ikke-omsettelig) sletting unna å bli permanent utestengt fra hele livet ditt på nettet.
Hvis du vil gi den makten til et selskap, vær min gjest. Jeg venter til det blir behandlet som at vann- eller kraftselskaper stenger tjenesten uten noen åpenbar grunn: store og skadelige bøter.
Jeg er ikke sikker på at jeg forstår hvordan en arbeidsflyt som kreverHvis du kopierer og limer inn passord (eller skriver dem fra minnet, noe som har andre problemer i stor skala), er du sårbar for nettfisking. Så passord vil være en stor sikkerhetsforbedring for deg.
tar telefonen din,
å trykke på en app,
ta et bilde av skjermen din, og
trykker på hva du skal gjøre med den informasjonen......er en "enklere" operasjon enn å skrive inn et passord fra minnet, eller autofullføring med en passordbehandler, eller kopiere lim inn med en passordbehandler.
Det kan være andre fordeler, men på ingen måte er det enklere.
For Google-kontoen min har jeg omregistrert YubiKeys jeg brukte som 2FA for å være passord. Med 2FA var autentiseringen Google-passord + FIDO U2F maskinvarenøkkel. Med passordnøkler er det FIDO2 maskinvarenøkkel + nøkkelens FIDO2 PIN.
Ingen av de "tre store" teknologiselskapene vil være getekeepers for passordene dine. Adgangsnøkler holdes på en enhet. Hvis du ikke vil synkronisere adgangsnøkkelen din via en slags tjeneste, kan du sette den samme nøkkelen på flere enheter. Du har bare én enhet Og nå er den borte? Det er det samme problemet som passordbehandlere uten synkronisering. Til slutt må du autentisere deg på nytt med forskjellige tjenester, akkurat som du ville gjort i et lignende tilfelle av å bli utestengt. De fleste vil synkronisere passordene sine som de gjør passordene sine. Og nei, hvis Google slår av kontoen din, kan de ikke deaktivere passordene du allerede har på enhetene dine. Du mister synkroniseringstjenesten deres, men du kan da begynne å bruke en annen i stedet.
Passnøkler kan ikke phishes, kan ikke glemmes, kan ikke fås gjennom datalekkasjer og er iboende unike og sikre. Det er virkelig store forbedringer. De er også enklere å bruke fordi når de først er på enheten din er autentisering enkel.
Jeg bruker en Yubikey for dette, ikke Android eller iOS. Dette betyr at jeg ikke er avhengig av Google/Apple for å kunne administrere nøkkelen min, og jeg trenger heller ikke å bekymre meg for at kontoen min blir kompromittert og dermed lekker passordet.
Som et sammenligningspunkt med Google-kontopåloggingen har jeg også brukt denne Yubikey for å få tilgang til Microsoft-kontoen min en stund nå.
Microsoft fungerer på tvers av alle de store nettleserne på skrivebordet (unntatt Safari på MacOS sist jeg sjekket). Google ser ut til å trenge Chrome.
Microsoft har et alternativ under brukernavnfeltet for å logge på en annen måte, deretter velger du Windows Hello eller Sikkerhetsnøkkel, setter nøkkelen inn i en USB-port, skriver inn PIN-koden og trykker på knappen øverst. Den vil da spørre deg hvilken konto (hvis du har flere kontoer lagret), og du logges rett inn. Du trenger ikke engang å huske brukernavnet/e-postadressen din.
Google krever at du skriver inn brukernavn/e-post, så ber den om å sette inn nøkkelen. Du må deretter taste inn PIN-koden, og den logger deg på.
Fra et brukervennlighetsperspektiv er Microsoft bedre ved at du ikke trenger å huske e-posten din. For Ars-publikummet er dette sannsynligvis negativt. Men hvis du støtter 70 år gamle besteforeldre, jo mindre ting de trenger å huske, jo bedre. Jeg har ikke bekreftet, men en ulempe med MS-systemet er at Yubikey bare støtter et spesifikt antall lagrede legitimasjoner, mens fra det jeg kunne se i min forskning, har Google-metoden i utgangspunktet Yubikey generere en privat nøkkel spesifikt til det nettstedet basert på en intern privat nøkkel, PIN-koden din og noe informasjon gitt av nettstedet og nettleseren, hver gang den skal kjøre autentisering. Begge ser ut til å bruke en intern privat nøkkel som er spesifikk for Yubikey, PIN-koden din, noe informasjon om domenet gitt av nettleseren, og spesifikk informasjon gitt fra nettstedet du besøker for å utføre håndtrykket, noe som forhindrer MITM-angrep fra å lykkes ettersom de ikke kan forfalske alt dette data.
Jeg er ikke sikker på hva som mangler i Firefox for Google-implementeringen kontra Microsoft, hvorfor den ikke støtter det nye passordsystemet. Eller er det bare Google som ikke ber om passordet fordi Firefox ikke har implementert Bluetooth-delen, som har bivirkning av å ikke støtte Yubikeys/maskinvare-tokens fordi Firefox ikke blir bedt om det av Google-påloggingen nettstedet.
--
Hvis du mister passordet og ikke har en sikkerhetskopi, er sikkerhetsreduksjonen å logge på slik du logget på før passordet. Så vanligvis passord + OTP. Selv om dette betyr at nettstedet støtter et mindre sikkert autentiseringssystem, er en fordel at du ikke er det bruker passordet med jevne mellomrom, så det er mindre sannsynlig at det blir lekket eller fanget opp av en phishing/MITM angrep.
--
Fra et sikkerhetsperspektiv kan du se passord som en passordlommebok med begrenset sidestøtte. Hvis du bruker en Yubikey, er lommeboken en maskinvareenhet i lommen, beskyttet av en PIN-kode. Hvis du bruker Android/iOS-nøkkelen, synkroniseres lommeboken i et skysystem og beskyttes av kontopassordet + biometri. Hvis du mister enheten, ligner det på å miste passordfilen.
Når de først har funnet ut av alle kinkene, har dette potensialet til å endre mange ting i sikkerhetslandskapet, slik ikke-sikkerhetsbevisste individer vil ikke lenger motstå krav til sikre passord eller å finne ut hvordan du bruker en passordlommebok på riktig måte, og hvordan du får tilgang til/synkroniserer den på tvers av flere enheter. Ved i utgangspunktet å bli en passordlommebok, genererer passordene virkelig sikre, virkelig tilfeldige passord for hvert nettsted de brukes på, og er bygget med tanke på phishing-motstand.
Hvordan kan dette bli nedstemt? Det er 100% sant.
Det er WHO, ikke hva på forsiden. Ingen kjærlighet til Google på forsiden, slik at deres støtte har snudd publikum mot en industristandard.
Det er dumt.
Igjen, lesere, ikke ta hensyn til disse kommentatorene.
Å bruke et passord bør ikke være svaret på noe som er ment å erstatte passord.
Dette er litt latterlig. Hvordan ville du ellers autentisere deg for en eksisterende tjeneste for å oppdatere autentiseringsmekanismen din? Bortsett fra den allerede diskuterte QR-og-bluetooth-metoden. Og selv om angrepsoverflaten på serversiden ikke nødvendigvis reduseres ved å aktivere i stedet for å kreve innlogging med passord, betydelig reduserer angrepsoverflaten på klientsiden, ettersom du strengt tatt deltar i en nøkkelutveksling, aktivert av autentisering på OS-nivå. Og det er en seier for alle.
Hvis du er så langt at du ikke kan stole på noen av operativsystemets sikkerhetsfunksjoner, kan du like gjerne bare kaste dataenhetene dine og gå live på en tropisk øy eller noe. På et eller annet poeng en viss grad av tillit må gis til en del programvare.
Det er mye forvirring her, tror jeg fordi en hel teknologistabel har blitt dumpet over oss og presentert som et fullført faktum. La meg, som en ignorant, prøve å dekonstruere det analogt med det jeg forstår: SSH-nøkkelpar. Jeg inviterer andre til å plukke hull i det jeg tar feil.1. Offentlige/private autentiseringsnøkler. Dette fungerer omtrent det samme som SSH. Nettstedet kjenner bare din offentlige nøkkel, og du signerer meldinger for å bevise at du har den private nøkkelen.
2. Anti phishing beskyttelse. Nøkler er spesifikke for et nettsted, så et phishing-nettsted får en annen nøkkel. SSH har vertsnøkler for dette, jeg antar at keypass bruker noe med TLS vertsnøkler å gjøre? Nettleseren din bruker det til å velge hvilken nøkkel du vil bruke? Eller bare med DNS-navn?
3. Midler for å låse opp nøklene for å bevise at den rette brukeren bruker dem. SSH har passordfraser, jeg antar at det er her den biometriske / Bluetooth-tingen kommer inn? SSH kan også låse opp nøkler med smartkort, og så jeg antar at det biometriske er litt som en annen opplåsingsmodus?
4. Synkroniserer nøkler mellom enheter. Det er antagelig her sky-økosystemer kommer inn, som iCloud og Chrome passordsynkronisering? For SSH er det ingen støtte, men du kan lage din egen med rsync eller hva som helst?
Hva tok jeg feil?
Hvis det ovennevnte stort sett stemmer, kunne jeg tenke meg å bygge en åpen stabel som i utgangspunktet gjør det samme som SSH gjør ved å bruke en haug med filer i ~/.ssh og rsync for å flytte mellom enheter. Det er "sykkel"-tilnærmingen der alle bevegelige deler er eksponert og lett å forstå hva som skjer.
Det er ikke bare dumpet på folk - dette er en oppdatering til FIDO2, i seg selv den andre versjonen av standarden. U2F var FIDO1; dette er CTAP 2.2 ([edit: Rettet fra min WAG på 2.4 som var feil, takk fortsatt feil!]), en del av FIDO2/WebAuthn. Dette er egentlig ikke noe komplisert som det går... de har løsnet opp i Authenticator-kravene slik at den private nøkkelen kan (må...) kopieres sikkert, og lagt til noen Javascript-funksjoner for å gjøre livet enklere. Passordløse pålogginger? Alltid vært mulig med FIDO2. Det er den fine delen av det - FIDO1 kan bare være MFA. Legger du til en privat nøkkel til nettleseren din lagret i TPM-en eller det sikre elementet? Alltid vært mulig, og ble tidligere implementert i Chrome, Firefox og Safari. Det som er nytt er at det kan synkroniseres og få tilgang via BT/QR-rigmarole. Tidligere ble det referert til (og flagget til nettsider) som "plattformspesifikke nøkler", i motsetning til de bærbare som var maskinvareenheter. Nå er det PassKeys.
Siden hele poenget med passordsystemet ser ut til å være å bli kvitt passord, la meg liste opp noen av fordelene med passord:
- de er enkle nok til å forstå for alle som er mentalt i stand til å betjene en elektronisk enhet
- de er enkle å huske hvis du i det hele tatt anstrenger deg og bruker dem regelmessig
- de fungerer på alle operativsystemer ut av esken
- de krever ikke Internett-tilgang (noen systemer er offline av en god grunn)
- de krever ikke samarbeid fra noen tredjepart
- de krever ikke tilstedeværelsen av en smarttelefon eller annen gadget
- de krever ikke Bluetooth, WiFi, kameraer eller batterier
- de kan - i nødstilfelle - lagres uten behov for strøm
- de kan enkelt overføres til en annen person uten bruk av noen enhet
- hvis du ikke er handikappet og ikke bruker en smarttelefon, tar autentisering med et passord bare noen få sekunder
Dine poeng #1, #2 og #10 er bare feil – spør alle som jobber i teknisk support hvor ofte de må tilbakestille passord fordi noen glemt passordet sitt, lot caps lock-tasten være på (eller plasserte hånden feil på tastaturet), eller fudge-fingret den nok ganger til å bli låst ute. Ja, ja, jeg vet at du personlig alltid slår det perfekt ut, men stol på meg, alle som får kundestøtte har et … mindre optimistisk … syn på menneskeheten. Jeg vil også legge til at jeg støtter mange blinde brukere og inntasting av passord massivt suger for dem fordi mange nettsteder har kompleksitetskrav som er vanskelige for brukere av skjermlesere, og hvis du ikke er en dyktig berøringsskriver, er det ikke bra å si det høyt. Det er en nisje, men det er en som mange mennesker som bygger autentiseringssystemer også er lovpålagt å støtte godt, og det er en av grunnene til at jeg er interessert i teknologien siden "Vil du logge på med passordet ditt?" "Ja" er minst én størrelsesorden raskere og enklere enn noen form for passord + MFA for mange brukere.
Punkt #3 er sant for WebAuthn MFA, men alltid passord – noe sånt som en Yubikey fungerer hvor som helst du har USB/NFC, men du kan må angi en PIN-kode eller bruke deres biometriske serienøkler for implementere av passord som Google.com som krever mer enn en enkel trykk.
Punkt #5, #6, #7 og #8 gjelder også for alle former for WebAuthn – både MFA og passord. Punkt #4 er sant bortsett fra første gang du registrerer en enhet når du synkroniserer en eksisterende nøkkel. Etter første gang du har synkronisert nøklene dine, trenger du ikke en nettverkstilkobling. Hvis du ikke vil synkronisere, kan du også kjøpe et par Yubikey biometriske nøkler som igjen fungerer helt offline hvor som helst du har USB eller NFC.
Det etterlater #9, som er dårlig praksis og bør unngås hvis det er mulig. Moderne systemer har ting som rollebasert autentisering, der folk aldri deler passord, men flere personer har lov til å påta seg en gitt rolle, eller ting som eldre eller delegert kontoer hvor du igjen aldri deler passord, men gir en eller, enda bedre, flere personer som kreves i kombinasjon muligheten til å gjøre noe som å tilbakestille passordet ditt eller få kontroll over filene dine.
Bare fordi noe er nytt og du ikke har lært hvordan det fungerer, betyr det ikke at det er dårlig eller bør unngås. Passnøkler er en stor forandring for de fleste av oss – .gov unntatt siden PIV/CAC går tilbake til forrige århundre der selv om få andre steder tatt i bruk det – men de har en rekke brukervennlighetsforbedringer i tillegg til sikkerhetsfordelene, og det er en klar vei for å bygge ut noen av de manglende delene (f.eks. jeg vil virkelig ha muligheten til å synkronisere en Apple/Google-nøkkel med en Yubikey, slik at jeg kan legge den i safen min akkurat i sak).
Det må åpenbart være tilgjengelig ikke bare under synkronisering, men også under autentisering, siden det brukes til det. Og den må også være tilgjengelig under første registrering.Og det er det jeg prøver å forklare deg: Det ville være enkelt å autentisere med en eksisterende enhet og bruke den enhet for å legge til en annen offentlig nøkkel, som genereres på en annen, ny enhet og sendes til den gamle enheten av noen midler. For eksempel kan jeg opprette en ny hemmelig nøkkel / offentlig nøkkel-nøkkelpar på min stasjonære maskin, sende den offentlige nøkkelen til den bærbare datamaskinen min, logge på med den bærbare datamaskinen og legge til den offentlige stasjonære nøkkelen. Jeg gjør lignende ting med SSH hele tiden.
Det er ingen teknisk hindring her. Hvis det ikke er mulig med passord, er det etter eget valg.
Den private nøkkelen er ikke tilgjengelig. Hvorfor ikke slå det opp i stedet for å gjenta en usannhet om og om igjen.
Og nå er jeg mer forvirret enn jeg var før jeg begynte - jeg har videresendt artikkelen til min CS major/bedre halvdel for å forklare ting, men det er kanskje ikke nok.
Passord er lett fordøyelige. 2FA er lett å forklare. Passnøkler er på en måte fornuftige, men akkurat når jeg tror jeg kan få det, leser jeg neste avsnitt og blir mer borte.
Himmelen hjelpe mine søsken og foreldre.
Takk for at du sa det. Svarene fra Dan og andre (f.eks. @Wbdsin promoterte kommentar som siterer min) er basert på en grunnleggende feillesing av kommentaren.Du skjønner at både 1Password og Bitwarden jobber med passordstøtte, ikke sant?Jeg vil ikke stole på min OS-leverandør (Apple i mitt tilfelle for både mobile og stasjonære enheter) med passord, og svaret er gjentatte ganger "Men du STOLLER ALLEREDE på GOoGLe MED PASSORDET DITT." Ja, greit, jeg skriver inn et langt tilfeldig passord fra BitWarden/KeePass, og kobler til Yubikey og trykker på knapp. Det er ikke på noe tidspunkt avhengig av OS-leverandøren min.
Og visst, akkurat nå er det muligheten til å ikke bruke passord og å bruke et passord som før, men hele teknologihype-toget er på vei til "INGEN FLERE PASSORD PASSNOKKER FOR ALLE" stasjon og hvis jeg sier, "men hold ut, hvis jeg blir utestengt fra alle andre kontoer fordi OS-leverandøren min bestemmer at den ikke liker meg, hva skjer" blir jeg kalt et troll og feilinformert. Det er også så mange kantsaker jeg kan tenke på hvor dette ikke fungerer, og i stedet for å si, "ja, de er gyldige bekymringer i fremtiden som vi ønsker kun med passord," det er denne vedvarende kritikken av enhver spørrende.
1Password har gått så langt som å si at passord er "fremtiden for autentisering": https://www.future.1password.com/passkeys/
