Nu și absolut nu.Contextul articolului este conectarea la o autentificare Google cu o cheie de acces. „Cele trei mari” și, de asemenea, câteva altele oferă escrow cheie și recuperare, dar site-urile folosesc direct cheile de acces - dacă utilizați un cheie de acces cu Best Buy, ei nu vor verifica cu Google, de exemplu (cu excepția cazului în care utilizați „conectări sociale” ale curs). În acest context, ștergerea de către Google a contului înseamnă doar că dacă telefonul tău moare, lucrurile ar putea deveni periculoase. Ele sunt practic o yubikey cu o opțiune de recuperare - deci puțin mai puțin sigure, deoarece există cheia privată în escrow, care rezolvă 50% din problema cu yubikeys (eticheta de preț și suportul pentru aplicație fiind restul durere).Fiecare sistem care pare să fie capabil să stocheze cheile de acces pare să vă solicite să aveți încredere în cei trei mari (Apple, Google, Microsoft) să nu vă ștergeți contul fără avertisment. În cazul meu, dacă Apple îmi șterge contul iCloud și brelocul, pierd accesul la tot ceea ce este securizat cu o cheie de acces. Compară asta cu ceea ce se întâmplă acum, dacă îmi distrug Yubikey principal: merg la banca mea, le arăt două forme de identitate, folosesc cheia mea fizică pentru a prelua Yubikey-ul de rezervă din seif și continua viaţă.
Până și dacă nu există consecințe grave și de durată pentru companiile care furnizează servicii de infrastructură care acționează unilateral, nu am cum să folosesc asta. KeyPass/BitWarden poate genera parole arbitrar puternice, puteți cumpăra câte chei Webauthn doriți de la o varietate de furnizori. Cu cheile de acces, sunteți la o ștergere (automatizată, nenegociabilă) de a fi blocat definitiv din întreaga viață online.
Dacă vrei să dai acea putere unei companii, fii invitatul meu. Voi aștepta până când va fi tratat ca și companiile de apă sau de energie care întrerup serviciul fără un motiv aparent: amenzi mari și dureroase.
Nu sunt sigur că înțeleg cum necesită un flux de lucruDacă copiați și lipiți parole (sau le introduceți din memorie, ceea ce are alte probleme la scară), sunteți vulnerabil la phishing. Deci, cheile de acces ar fi o mare îmbunătățire a securității pentru tine.
prind telefonul tău,
accesând o aplicație,
fă o fotografie a ecranului tău și
atingând ce să faci cu acele informații......este o operațiune „mai ușoară” decât introducerea unei parole din memorie sau completarea automată cu un manager de parole sau copierea lipirii cu un manager de parole.
Ar putea exista și alte beneficii, dar în niciun caz nu este atât de ușor.
Pentru contul meu Google, mi-am reînregistrat YubiKeys pe care le foloseam ca 2FA pentru a fi chei de acces. Cu 2FA, autentificarea a fost parola Google + cheia hardware FIDO U2F. Cu cheile de acces, este cheia hardware FIDO2 + PIN-ul FIDO2 al cheii.
Niciuna dintre cele „trei mari” companii tehnologice nu va fi păstrătoarea cheilor dvs. de acces. Cheile de acces sunt deținute pe un dispozitiv. Dacă nu doriți să vă sincronizați cheia de acces printr-un fel de serviciu, atunci puneți aceeași cheie de acces pe mai multe dispozitive. Ai un singur dispozitiv Și acum a dispărut? Aceasta este aceeași problemă ca managerii de parole fără sincronizare. În cele din urmă, va trebui să vă autentificați cu diferite servicii, așa cum ați face în orice caz similar de blocare. Majoritatea oamenilor își vor sincroniza cheile de acces așa cum își fac parolele. Și nu, dacă Google vă închide contul, nu poate dezactiva cheile de acces pe care le aveți deja pe dispozitivele dvs. Veți pierde serviciul de sincronizare, dar puteți începe să utilizați altul.
Cheile de acces nu pot fi phishing, nu pot fi uitate, nu pot fi obținute prin scurgeri de date și sunt în mod inerent unice și sigure. Acestea sunt cu adevărat îmbunătățiri mari. Ele sunt, de asemenea, mai ușor de utilizat, deoarece odată ce sunt pe dispozitiv, autentificarea este simplă.
Folosesc un Yubikey pentru asta, nu Android sau iOS. Acest lucru înseamnă că nu sunt obligat față de Google/Apple să-mi pot gestiona cheia și nici nu trebuie să-mi fac griji că contul meu va fi compromis și, astfel, scurgerea cheii de acces.
Ca punct de comparație cu datele de conectare la Contul Google, am folosit și acest Yubikey pentru a-mi accesa contul Microsoft de ceva vreme.
Microsoft funcționează în toate browserele majore de pe desktop (cu excepția Safari pe MacOS ultima dată când am verificat). Google pare să aibă nevoie de Chrome.
Microsoft are o opțiune sub câmpul nume de utilizator pentru a vă conecta într-un mod diferit, apoi selectați Windows Hello sau Cheie de securitate, puneți cheia într-un port USB, introduceți PIN-ul și apăsați butonul de sus. Apoi vă va întreba ce cont (dacă aveți mai multe conturi salvate) și sunteți autentificat direct. Nici măcar nu trebuie să vă amintiți numele de utilizator/adresa de e-mail.
Google vă solicită să introduceți numele de utilizator/e-mailul, apoi vă solicită introducerea cheii. Apoi trebuie să introduceți codul PIN și acesta vă conectează.
Din punct de vedere al utilizării, Microsoft este mai bun prin faptul că nu trebuie să vă amintiți e-mailul. Pentru mulțimea din Ars, acesta este probabil un negativ. Dar dacă sprijiniți bunicii de 70 de ani, cu cât trebuie să-și amintească mai puține lucruri, cu atât mai bine. Nu am confirmat, dar un dezavantaj al sistemului MS este că Yubikey acceptă doar un anumit număr de acreditări stocate, în timp ce din ceea ce am putut vedea în cercetarea mea, metoda Google practic face ca Yubikey să genereze o cheie privată specifică site-ului respectiv. pe o cheie privată internă, PIN-ul dvs. și unele informații furnizate de site și browser, de fiecare dată când trebuie să ruleze autentificare. Ambele par să folosească o cheie privată internă specifică Yubikey-ului, PIN-ul dvs., unele informații despre domeniul furnizat de browser și anumite informațiile furnizate de pe site-ul pe care îl vizitați pentru a efectua strângerea de mână, ceea ce împiedică atacurile MITM să aibă succes, deoarece nu pot falsifica toate acestea date.
Nu sunt sigur ce lipsește în Firefox pentru implementarea Google față de cea Microsoft, de ce nu acceptă noul sistem de chei de acces. Sau doar Google nu solicită cheia de acces, deoarece Firefox nu a implementat porțiunea Bluetooth, care are efect secundar de a nu accepta Yubikeys/jetoane hardware, deoarece Firefox nu este solicitat de autentificarea Google site-ul.
--
Dacă pierdeți cheia de acces și nu aveți o cheie de rezervă, soluția de rezervă este să vă conectați în modul în care v-ați conectat înainte de cheia de acces. Deci de obicei parola + OTP. Deși acest lucru înseamnă că site-ul acceptă un sistem de autentificare mai puțin sigur, un avantaj este că nu sunteți folosind parola în mod regulat, astfel încât este mai puțin probabil să fie scursă sau interceptată de un phishing/MITM atac.
--
Din punct de vedere al securității, puteți vedea cheile de acces ca un portofel de parole cu suport limitat pentru site. Dacă utilizați un Yubikey, portofelul este un dispozitiv hardware în buzunar, protejat de un PIN. Dacă utilizați cheia de acces Android/iOS, portofelul este sincronizat într-un sistem cloud și protejat de parola contului + datele biometrice. Dacă pierdeți dispozitivul, este similar cu pierderea fișierului cu parole.
Odată ce au înțeles toate necazurile, acest lucru are potențialul de a schimba o mulțime de lucruri în peisajul securității, așa cum o vor face persoanele neconștiente de securitate. nu mai rezista cerințelor de parolă sigură sau trebuie să-și dea seama cum să folosești corect un portofel cu parole și cum să-l accesezi/sincronizezi în mai multe dispozitive. Devenind practic un portofel de parole, cheile de acces generează parole cu adevărat sigure, cu adevărat aleatorii pentru fiecare site pe care sunt folosite și sunt construite având în vedere rezistența la phishing.
Cum poate fi votat negativ? Este 100% adevărat.
Este OMS, nu ce pe prima pagină. Nicio dragoste pentru Google pe prima pagină, astfel încât sprijinul lor a întors mulțimea împotriva un standard industrial.
E prostesc.
Din nou, cititori, nu acordați atenție acestor comentatori.
Folosirea unei parole nu ar trebui să fie răspunsul la ceva menit să înlocuiască parolele.
Acest lucru este un fel de ridicol. Cum altfel v-ați autentifica la un serviciu existent pentru a vă actualiza mecanismul de autentificare? În afară de metoda QR și bluetooth deja discutată. Și, în timp ce suprafața de atac de pe partea serverului nu este neapărat redusă prin activarea, mai degrabă decât prin necesitatea autentificării cu cheia de acces, aceasta semnificativ reduce suprafața de atac din partea clientului, deoarece vă implicați strict într-un schimb de chei, activat de autentificarea la nivel de sistem de operare. Și asta este o victorie pentru toată lumea.
Dacă sunteți până la punctul în care nu puteți avea încredere în niciuna dintre caracteristicile de securitate ale sistemului de operare, ați putea la fel de bine să vă aruncați dispozitivele de calcul și să intrați în direct pe o insulă tropicală sau așa ceva. La un moment dat trebuie acordat un anumit nivel de încredere unui anumit software.
Există multă confuzie aici, cred că pentru că o întreagă stivă de tehnologie a fost aruncată asupra noastră și prezentată ca un fapt împlinit. Permiteți-mă, ca ignorant, să încerc să o deconstruiesc prin analogie cu ceea ce înțeleg: perechi de chei SSH. Îi invit pe alții să facă găuri în ceea ce greșesc.1. Chei de autentificare publice/private. Acesta funcționează aproximativ la fel ca SSH. Site-ul web știe doar cheia dvs. publică și semnați mesaje pentru a dovedi că dețineți cheia privată.
2. Protecție anti phishing. Cheile sunt specifice unui site, astfel încât un site de phishing primește o cheie diferită. SSH are chei de gazdă pentru asta, presupun că keypass folosește ceva de-a face cu cheile de gazdă TLS? Browserul dvs. îl folosește pentru a selecta ce tastă să utilizați? Sau doar după numele DNS?
3. Mijloace de deblocare a cheilor pentru a dovedi că utilizatorul potrivit le folosește. SSH are fraze de acces, presupun că aici intervine chestia biometrică / Bluetooth? SSH poate debloca și chei cu smartcard-uri, așa că presupun că biometricul este un pic ca un alt mod de deblocare?
4. Sincronizarea tastelor între dispozitive. Probabil că aici intervin „ecosistemele” cloud, cum ar fi sincronizarea parolei iCloud și Chrome? Pentru SSH nu există suport, dar vă puteți pregăti singur cu rsync sau orice altceva?
Ce am gresit?
Dacă cele de mai sus sunt în general corecte, mi-aș putea imagina construirea unei stive deschise care, practic, face la fel ca SSH folosind o grămadă de fișiere în ~/.ssh și rsync pentru a muta între dispozitive. Aceasta este abordarea „bicicletei” în care toate piesele în mișcare sunt expuse și ușor de înțeles ce se întâmplă.
Nu este aruncat doar asupra oamenilor - aceasta este o actualizare a FIDO2, ea însăși a doua versiune a standardului. U2F a fost FIDO1; acesta este CTAP 2.2 ([editare: corectat din WAG-ul meu de 2.4 care a fost greșit, mulțumesc Încă incorect!]), parte din FIDO2/WebAuthn. Asta nu este cu adevărat nimic complicat... au slăbit cerințele Authenticator, astfel încât cheia privată poate fi (trebuie să fie...) copiată în siguranță și au adăugat câteva caracteristici Javascript pentru a face viața mai ușoară. Autentificare fără parolă? Întotdeauna a fost posibil cu FIDO2. Aceasta este partea bună a ei - FIDO1 ar putea fi doar MFA. Adăugați o cheie privată la browser stocată în TPM sau element securizat? Întotdeauna a fost posibil și a fost implementat anterior în Chrome, Firefox și Safari. Ce este nou este că poate fi sincronizat și accesat prin rigmarole BT/QR. Anterior, era denumit (și marcat pe site-uri web) ca „chei specifice platformei”, spre deosebire de cele portabile care erau dispozitive hardware. Acum este PassKeys.
Întrucât scopul întregului sistem de chei de acces pare a fi acela de a scăpa de parole, permiteți-mi să enumerez câteva dintre beneficiile parolelor:
- sunt destul de simple de înțeles pentru oricine capabil mental să opereze un dispozitiv electronic
- sunt ușor de reținut dacă depuneți orice efort și le folosiți în mod regulat
- funcționează imediat pe toate sistemele de operare
- nu necesită acces la Internet (unele sisteme sunt offline dintr-un motiv întemeiat)
- nu necesită cooperarea niciunui terț
- nu necesită prezența unui smartphone sau a unui alt gadget
- nu necesită Bluetooth, WiFi, camere sau baterii
- ele pot - în caz de urgență - să fie depozitate fără a fi nevoie de electricitate
- pot fi transmise cu ușurință unei alte persoane fără utilizarea vreunui dispozitiv
- dacă nu sunteți cu handicap și nu folosiți un smartphone, autentificarea cu o parolă durează doar câteva secunde
Punctele dvs. 1, 2 și 10 sunt pur și simplu greșite - întrebați pe oricine lucrează în asistență tehnică cât de des trebuie să facă resetarea parolei, deoarece cineva și-au uitat parola, și-au lăsat tasta de blocare a majusculelor activată (sau și-au poziționat greșit mâna pe tastatură) sau și-au dat degetele de destule ori pentru a fi blocate afară. Da, da, știu că personal întotdeauna ai rezolvat perfect, dar crede-mă, oricine primește apeluri la biroul de asistență are o viziune... mai puțin optimistă... despre umanitate. De asemenea, voi adăuga că accept o mulțime de utilizatori nevăzători și introducerea parolei masiv e nasol pentru ei, deoarece multe site-uri au cerințe de complexitate care sunt dificile pentru utilizatorii de cititoare de ecran și, dacă nu sunteți un dactilograf expert, să spuneți asta cu voce tare nu este grozav. Aceasta este o nișă, dar este una pe care mulți oameni care construiesc sisteme de autentificare sunt obligați legal să o susțină bine și este unul dintre motivele pentru care sunt interesat tehnologia de la „Doriți să vă conectați cu cheia de acces?” „Da” este cu cel puțin un ordin de mărime mai rapid și mai ușor decât orice formă de parolă + MFA pentru mulți dintre aceștia utilizatorii.
Punctul #3 este valabil pentru WebAuthn MFA, dar întotdeauna cheile de acces – ceva de genul Yubikey funcționează oriunde aveți USB/NFC, dar este posibil trebuie să setați un PIN sau să folosiți cheile lor biometrice pentru implementatorii de chei de acces precum Google.com, care necesită mai mult decât un simplu Atingeți.
Punctele #5, #6, #7 și #8 sunt valabile și pentru toate formele de WebAuthn – atât MFA, cât și cheile de acces. Punctul #4 este adevărat, cu excepția primei înregistrări a unui dispozitiv când sincronizați o cheie existentă. După prima dată când ați sincronizat cheile, nu aveți nevoie de o conexiune la rețea. Dacă nu doriți să sincronizați, puteți cumpăra și câteva chei biometrice Yubikey, care funcționează din nou complet offline oriunde aveți USB sau NFC.
Asta rămâne numărul 9, care este o practică proastă și ar trebui evitată dacă este posibil. Sistemele moderne au lucruri precum autentificarea bazată pe roluri, în care oamenii nu partajează niciodată parole, dar mai multor persoane li se permite să-și asume un anumit rol sau lucruri precum moștenire sau delegată. conturi în care nu împărtășiți niciodată parolele, ci oferiți uneia sau, chiar mai bine, mai multor persoane, care au nevoie în combinație de abilitatea de a face ceva cum ar fi să vă resetați parola sau să obțineți controlul asupra fișierele dvs.
Doar pentru că ceva este nou și nu ai învățat cum funcționează, nu înseamnă că este rău sau trebuie evitat. Cheile de acces reprezintă o schimbare majoră pentru majoritatea dintre noi – cu excepția .gov, deoarece PIV/CAC se întoarce în secolul anterior acolo, chiar dacă alte câteva locuri l-au adoptat – dar au o serie de îmbunătățiri de utilizare, pe lângă beneficiile de securitate și există o cale clară pentru construirea unele dintre părțile lipsă (de exemplu, îmi doresc foarte mult posibilitatea de a sincroniza o cheie de acces Apple/Google cu o cheie Yubikey, astfel încât să o pot pune în seiful meu chiar în caz).
Evident, trebuie să fie disponibil nu numai în timpul sincronizării, ci și în timpul autentificării, deoarece este folosit pentru asta. Și trebuie să fie disponibil și în timpul înregistrării inițiale.Și asta încerc să vă explic: ar fi ușor să vă autentificați cu un dispozitiv existent și să îl utilizați dispozitiv pentru a adăuga o altă cheie publică, care este generată pe un alt dispozitiv nou și trimisă pe vechiul dispozitiv de către unii mijloace. De exemplu, aș putea crea o nouă cheie secretă / pereche de chei publice pe computerul meu, să trimit cheia publică la laptop, să mă conectez cu laptopul și să adaug cheia publică de pe desktop. Fac lucruri similare cu SSH tot timpul.
Nu există niciun obstacol tehnic aici. Dacă acest lucru nu este posibil cu cheile de acces, atunci este la alegere.
Cheia privată nu este accesibilă. De ce să nu te uiți la asta în loc să repeți o minciună iar și iar.
Și acum sunt mai confuz decât eram înainte de a începe - am înaintat articolul către CS major/jumătate mai bună pentru a explica lucrurile, dar asta poate să nu fie suficient.
Parolele sunt ușor de digerat. 2FA este ușor de explicat. Cheile de acces au oarecum sens, dar exact când cred că o pot obține, citesc următorul paragraf și mă pierd mai mult.
Cerul să-mi ajute frații și părinții.
Mulțumesc că ai spus asta. Răspunsurile de la Dan și alții (de exemplu, @WbdComentariul promovat de care îl citează pe al meu) se bazează pe o interpretare greșită fundamentală a comentariului.Vă dați seama că atât 1Password, cât și Bitwarden lucrează la suport pentru cheile de acces, nu?Nu vreau să am încredere în furnizorul meu de sistem de operare (Apple în cazul meu atât pentru dispozitivele mobile, cât și pentru desktop) cu cheile de acces și răspunsul este în mod repetat „Dar tu ÎNCREDEȚI DEJA ÎN GOOGLE CU PAROLA DVS..” Da, bine, introdu o parolă aleatorie lungă de la BitWarden/KeePass și conectez Yubikey-ul meu și apăs pe butonul buton. În niciun moment nu se bazează pe furnizorul meu de sistem de operare.
Și sigur, chiar acum există opțiunea de a nu folosi cheile de acces și de a folosi o parolă ca și înainte, dar întregul hype tech este pe drum spre „NU MAI MULTE PAROLA PAROLA PENTRU TOȚI” stație și dacă spun, „dar stai, dacă sunt blocat de la orice alt cont pentru că furnizorul meu de sistem de operare decide că nu mă place, ce se întâmplă” sunt numit troll și dezinformat. Există, de asemenea, atât de multe cazuri marginale în care mă pot gândi unde acest lucru nu funcționează și în loc să spun, „da, acelea sunt preocupări valabile în viitorul doar cu cheia de acces pe care ni-l dorim”, există această critică susținută la adresa oricăruia chestionare.
1Parola a ajuns până la a spune că cheile de acces sunt „viitorul autentificării”: https://www.future.1password.com/passkeys/
