Вам не обязательно доверять «большой тройке», чтобы использовать ключи доступа. В любом случае продолжайте использовать пароли, но, пожалуйста, проинформируйте себя, прежде чем комментировать.
Утверждение о том, что вам не нужно будет запоминать его в течение года, означает, что пароли, надеюсь, не понадобятся в течение года.
Если вы прочитаете комментарий еще раз, вы поймете, что я говорю: если я использую исключительно устройства Apple, использую Apple ID и опцию «Связка ключей iCloud», то если Apple удалит мой если я буду нести ответственность за любое предполагаемое нарушение правил Apple, то я немедленно и безвозвратно заблокирую доступ к моей учетной записи Google, моей учетной записи Best Buy, моему любому другому сайту. счет.
Мол, ничто здесь не должно отвлекать от давнего афоризма безопасности, согласно которому, как только у вас есть локальный доступ, все ставки сняты.
Кстати, может показаться, что я здесь придурок, выступающий против паролей, но на самом деле я просто пытаюсь выяснить, когда и как я действительно смогу их надежно использовать. И на данный момент ответ на этот вопрос выглядит так: «Когда Bitwarden внедрит свою кроссплатформенную систему ключей E2EE, чтобы вам не нужно было беспокоиться о Bluetooth». доступность или аппаратные ключи FIDO2». Черт, я уже использую биометрическую разблокировку для каждого приложения, которое могу на своем iPhone, мне бы хотелось, чтобы такой же простой процесс был доступен для произвольных входы на сайт.
Переход от «вам даже не нужно будет использовать свой пароль, а тем более запоминать его» к «мы планируем деинициализировать пароли» — это настоящий скачок.
А если ваше устройство не поддерживает идентификацию по отпечатку пальца или лицу, вы всегда можете просто ввести PIN-код разблокировки.
Одна небольшая проблема, помимо других, возможно, уже упоминалась: нет времени прокручивать короткий обед. Насколько я понимаю, они не кроссплатформенные. Поэтому, если вы вошли в систему в Windows Chrome, они не будут работать в iOS Chrome. Забудьте об Android для меня. Samsung не предоставляла никаких обновлений безопасности после первого года использования. Не используйте его для безопасных транзакций. Ironic в любом случае не стал бы использовать их на Android, учитывая, кто создал и поддерживает Android.
Сообщение обновлено, чтобы сделать это более понятным.
Я думаю, вы прекрасно понимаете, что это ерунда.
Опять же, можно задавать вопросы, если вы чего-то не понимаете, но, пожалуйста, прекратите повторять фактически или технически неточные вещи.
С ключами доступа:
Злоумышленник может не только получить доступ, который имеет доступ по умолчанию на телефоне (который не требует повторной аутентификации).
Но также вы можете получить доступ к любой учетной записи с активированным паролем и автоматически добавить ее в качестве доверенного устройства через Bluetooth на указанный телефон.
С менеджером паролей:
Злоумышленник имеет доступ к устройству и приложениям, которые не выполняют выход из указанного устройства.
Злоумышленник не может получить доступ к менеджеру паролей, поскольку у этого менеджера есть дополнительный пароль аутентификации.
Все еще не в восторге от необходимости дополнительного устройства, поскольку я очищаю файлы cookie на всех своих устройствах каждые несколько дней, а необходимость использовать другое устройство каждые несколько дней неудобна. Но я могу с этим жить.
В (распространенном) случае, когда менеджер паролей разблокируется с помощью биометрии, вторичная аутентификация не требуется, кроме той, которую также требует ключ доступа.
Ничто здесь не кажется мне качественно отличным, за исключением (значительно неудобных) крайних случаев.
"Ключи доступа Google не представляют никакой сложности. Ты их включил, да?"
Я ничего не «включаю» от Google или от него.Я не знаю о вашем менеджере паролей, но на моем телефоне менеджеры паролей требуют повторной аутентификации при каждом перезапуске телефона. или через X дней биометрия не работает - полностью отдельно от пароля/биометрии, используемой для разблокировки телефон.
Я работаю над системой безопасности, для которой требуется настольный компьютер, смартфон, наушники Bluetooth, электронная книга и домашний помощник. Это будет самый простой и надежный способ
Насколько я понимаю, это новый отраслевой стандарт, а не только разработка Google. Я подожду, пока Apple и Microsoft полностью реализуют его, прежде чем беспокоиться, поскольку я на самом деле не использую другие продукты Google, кроме YouTube.
Ключи доступа — это круто и хорошо. Но нет, я не буду использовать Google и др. Я возьму что-нибудь с полностью открытым исходным кодом и позволит мне создавать независимые резервные копии моих ключей, большое спасибо.
"Ключи доступа Google не представляют никакой сложности. Ты их включил, да?"
Я ничего не «включаю» от Google или от него.Если устройство с ключами доступа полностью скомпрометировано; имеет ли злоумышленник теперь доступ для аутентификации ко всем моим учетным записям повсюду с этого устройства (поскольку у него есть ключи доступа и он передает любую безопасность, которую использует это конкретное устройство)?
Я имею в виду: я понимаю, что у моего Yubikey похожая проблема (если она у кого-то физически есть, он может получить доступ ко всем моим вещам), так что это не обязательно ново; но все равно.
Но это не так. Если кто-то скажет вам, что вам не нужно запоминать буквальные резервные ключи, вы назовете его сумасшедшим. Таким образом, либо Google говорит, что, надеюсь, вам не понадобятся пароли в течение года (подразумевается, что они вообще бесполезны), либо они говорят: что совершенно нормально не помнить пароль, который используется в качестве резервной копии ключей доступа, что было бы еще более нелепо заявление.
Это далеко не так сложно, как вы себе представляете.
Вы, люди, просто не откажетесь повторять фактически неверные вещи. Вы можете утверждать, что в статье утверждается, что требуется Bluetooth. Дело в том, что в статье написано:
Ключи доступа делают вход в систему безболезненным благодаря надежному 2FA. Сами по себе пароли этого не делают. Вся посылка вашего вопроса: «Это не повышает безопасность и не упрощает работу пользователя» неверна.
Ух, еще один совершенно дезинформированный комментарий, который принес бы пользу, если бы вы потратили всего минуту или две на изучение фактов. Любой, кто уже использует отпечаток пальца или сканирование лица, уже сталкивается с таким же риском беспрепятственного доступа к учетным записям. Если для вас проблемой является риск, связанный с биометрическими данными, будьте последовательны и нигде их не используйте. Даже если это вы, ничто не мешает вам использовать пароли и проходить аутентификацию с помощью пароля разблокировки вашего устройства, а не биометрических данных.
Это не повышает безопасность, поскольку злоумышленник можно полностью игнорировать его и вместо этого использовать пароль. Никакой дополнительной линии защиты здесь не представлено вообще, только более широкая поверхность атаки.
Во всех статьях о паролях большое внимание уделялось биометрии, и я упустил, где можно использовать пароли. Отсюда вопросительный знак в моем посте, который подразумевал вопрос, а не экспертность. Конечно, защита паролем облегчит эту проблему. Спасибо за то, что научили меня, хотя и с отношением.
Safari отображает QR-код, который пользователь может отсканировать с помощью телефона Android, выбрать ключ доступа и подтвердить его с помощью блокировки экрана. Подпись одноразового ключа передается обратно в Safari на Mac, который веб-сайт затем использует для входа пользователя. Два устройства проверяют, что они находятся рядом друг с другом, с помощью Bluetooth.
