Если вы путешествуете и вам нужен гарантированный доступ к учетной записи, защищенной 2FA, возьмите с собой коды. Их можно будет поменять, когда вы вернетесь домой, если вас это беспокоит. Если вы беспокоитесь, что злоумышленник сможет нацелиться конкретно на вас и получить эти коды и ваш (надежный, уникальный) пароль одновременно, ну, тогда, вероятно, вы ничего не сможете делать.БаСП сказал:Разговор о просмотре. «Где-то безопасно» означает «где-то, куда только я могу попасть после аутентификации». Это все равно, что сказать, что мне нужно хранить запасной ключ от сейфа в своем сейфе.Кроме того, чем бумажная версия поможет, когда я нахожусь за границей и не могу до нее добраться?
Нажмите, чтобы развернуть...
Другой вариант — взять с собой устройство, которому не требуется 2FA, и оставить его в отеле (и если ваш противник настолько искушен, что они нацелены на ваши бумажные коды и уже имеют один пароль, тогда это не сработает!) или отключите 2FA, что, очевидно, худший.
Ars необходимо написать технический обзор ключей доступа. В комментариях здесь так много заблуждений о том, как это работает...
Почему я должен доверять организации, которая неоднократно нарушала конфиденциальность и которая по закону должна предоставлять мои данные властям США, когда они того пожелают?
1Password, Bitwarden и другие менеджеры паролей работают над поддержкой и, вероятно, будут выпущены позже в этом году, исходя из того, что они сообщили. Вы пользуетесь этими сервисами или другим менеджером паролей? Тогда теоретически все будет так же просто, как только эта возможность появится.Перагрин сказал:Да, то, о чем я никогда не упоминал в этих статьях, — это устройства смешанного и многоцелевого использования.Я использую телефон Android. Я использую Chrome. У меня на телефоне Office 365 для бизнеса и только для бизнеса. Как я могу подтвердить подлинность только бизнеса, не отказываясь от личной информации. Или другое направление
На работе я использую три браузера. Firefox, если я ищу что-то лично, Chrome для нашей ERP-системы и Edge для веб-поиска, связанного с работой, каждый из них получает разные логины и сохраняет разные логины.
Если вы войдете в единую экосистему, эти системы будут работать нормально. Пока их не отменят
Нажмите, чтобы развернуть...
Вы также можете иметь несколько ключей доступа, если служба это поддерживает. В моей учетной записи Google хранятся ключи доступа Apple и Windows. Оба работают нормально.
Если ваш текущий подход не состоит в том, чтобы запомнить несколько паролей, которые вы используете повсюду, или записать их на стикеры, кроссплатформенная поддержка не станет проблемой в ближайшем будущем.
Взять эти коды с собой в путешествие НЕ кажется безопасным местом для их хранения.Randomuser42 сказал:Если вы путешествуете и вам нужен гарантированный доступ к учетной записи, защищенной 2FA, возьмите с собой коды. Их можно будет поменять, когда вы вернетесь домой, если вас это беспокоит. Если вы беспокоитесь, что злоумышленник сможет нацелиться конкретно на вас и получить эти коды и ваш (надежный, уникальный) пароль одновременно, ну, тогда, вероятно, вы ничего не сможете делать.Другой вариант — взять с собой устройство, которому не требуется 2FA, и оставить его в отеле (и если ваш противник настолько искушен, что они нацелены на ваши бумажные коды и уже имеют один пароль, тогда это не сработает!) или отключите 2FA, что, очевидно, худший.
Нажмите, чтобы развернуть...
Также не поможет наличие второго устройства (не 2FA). Либо того, что мне нужно, не будет на этом устройстве, либо оно есть, что означает, что оно хранится небезопасно, поскольку вам не нужен 2FA, чтобы добраться до него.
Если моя учетная запись 2FA также доступна через пароль, то это может быть и не 2FA, поскольку в пароле у нее гораздо более простой вектор атаки.
Гибс сказал:Это вопрос перспективы. Эксперты по безопасности беспокоятся о том, что третьи лица могут проникнуть в их данные. Эксперты, не связанные с безопасностью, обеспокоены тем, что все семейные фотографии могут быть случайно необратимо зашифрованы.
Нажмите, чтобы развернуть...
Это части одной и той же проблемы, и они почти полностью совпадают. Люди хотят, чтобы их вещи оставались в безопасности (не терялись, не подвергались вымогательству и т. д.), а это значит, что им нужно беспокоиться об аутентификации. У нас есть десятилетия сбоев, связанных с техническими недостатками паролей (в основном из-за того, что люди плохо их создают и запоминают, и их можно легко воспроизвести), поэтому люди пробовали использовать различные многофакторные схемы с разным уровнем эффективности, но все это приводит к созданию системы, которую сложно использовать и которая все еще подвергается риску в повседневной жизни. основе.
Цель WebAuthn — победить фишинг, при этом его проще использовать, чем предыдущие системы. Это не означает, что компаниям не нужно ничего другого для борьбы со взломом учетной записи или потерей доступа, но это было так. уже так происходит, как мы видели во время пандемии, когда группа компаний начала добавлять такие вещи, как наследие контакты.
Я использую для этого Yubikey, а не Android или iOS. Это означает, что я не обязан Google/Apple иметь возможность управлять моим ключом, и мне не нужно беспокоиться о том, что моя учетная запись будет скомпрометирована и, таким образом, произойдет утечка ключа доступа.
Для сравнения с входом в учетную запись Google я также некоторое время использую этот Yubikey для доступа к своей учетной записи Microsoft.
Microsoft работает во всех основных браузерах на настольных компьютерах (кроме Safari на MacOS, когда я проверял в последний раз). Кажется, Google нуждается в Chrome.
Под полем имени пользователя у Microsoft есть возможность войти другим способом. Затем вы выбираете Windows Hello или ключ безопасности, вставляете ключ в USB-порт, вводите PIN-код и нажимаете кнопку сверху. Затем он спросит вас, какая учетная запись (если у вас сохранено несколько учетных записей), и вы сразу войдете в систему. Вам даже не нужно запоминать свое имя пользователя/адрес электронной почты.
Google требует от вас ввести свое имя пользователя/адрес электронной почты, а затем просит вставить ключ. Затем вам нужно ввести PIN-код, и он войдет в систему.
С точки зрения удобства использования Microsoft лучше тем, что вам не нужно запоминать свой адрес электронной почты. Для толпы Ars это, наверное, минус. Но если вы поддерживаете 70-летних бабушку и дедушку, чем меньше вещей им нужно помнить, тем лучше. Я не подтвердил, но недостатком системы MS является то, что Yubikey поддерживает только определенное количество сохраненных учетных данных, тогда как Судя по тому, что я увидел в своих исследованиях, метод Google в основном предполагает, что Yubikey генерирует закрытый ключ специально для этого сайта на основе на внутреннем закрытом ключе, вашем PIN-коде и некоторой информации, предоставляемой сайтом и браузером, каждый раз, когда ему необходимо запустить аутентификация. Оба они, похоже, используют внутренний закрытый ключ, специфичный для Yubikey, ваш PIN-код, некоторую информацию о домене, предоставленную браузером, и конкретные информация, предоставленная с сайта, который вы посещаете, для выполнения рукопожатия, что предотвращает успех атак MITM, поскольку они не могут подделать все это данные.
Я не уверен, чего не хватает в Firefox в реализации Google по сравнению с версией Microsoft, почему он не поддерживает новую систему паролей. Или это просто Google не запрашивает ключ доступа, потому что Firefox не реализовал часть Bluetooth, которая имеет побочный эффект отсутствия поддержки Yubikeys/аппаратных токенов, поскольку Firefox не запрашивает это при входе в Google сайт.
--
Если вы потеряете ключ доступа и у вас нет резервного ключа доступа, запасным вариантом безопасности будет вход в систему тем же способом, которым вы входили в систему до получения ключа доступа. Обычно пароль + OTP. Хотя это означает, что сайт поддерживает менее безопасную систему аутентификации, одним из преимуществ является то, что вы не регулярное использование пароля, чтобы снизить вероятность его утечки или перехвата с помощью фишинга или MITM. атака.
--
С точки зрения безопасности вы можете рассматривать ключи доступа как кошелек паролей с ограниченной поддержкой сайта. При использовании Yubikey кошелек представляет собой аппаратное устройство в вашем кармане, защищенное PIN-кодом. При использовании пароля Android/iOS кошелек синхронизируется в облачной системе и защищается паролем вашей учетной записи + биометрическими данными. Если вы потеряете устройство, это аналогично потере файла паролей.
Как только они выяснят все тонкости, это может многое изменить в сфере безопасности, поскольку люди, не заботящиеся о безопасности, будут больше не нужно сопротивляться требованиям безопасного пароля или выяснять, как правильно использовать парольный кошелек и как получить к нему доступ/синхронизировать его между несколькими устройства. По сути, превращаясь в кошелек паролей, ключи доступа генерируют действительно безопасные, действительно случайные пароли для каждого сайта, на котором они используются, и созданы с учетом устойчивости к фишингу.
БаСП сказал:Взять эти коды с собой в путешествие НЕ кажется безопасным местом для их хранения.Также не поможет наличие второго устройства (не 2FA). Либо того, что мне нужно, не будет на этом устройстве, либо оно есть, что означает, что оно хранится небезопасно, поскольку вам не нужен 2FA, чтобы добраться до него.
Если моя учетная запись 2FA также доступна через пароль, то это может быть и не 2FA, поскольку в пароле у нее гораздо более простой вектор атаки.
Нажмите, чтобы развернуть...
На самом деле, профиль угрозы, когда кто-то одновременно физически скомпрометирует коды И мой пароль (все в окне, прежде чем я приду домой и поменяю их) довольно ничтожна, и я предлагаю вам объяснить, как это нет.
Но если угроза для вас слишком велика, ничего страшного, тогда вы не можете гарантировать доступ к любой учетной записи, защищенной 2FA, пока путешествие и ваши опасения по поводу потери телефона касаются не только пароля, но и каждой учетной записи, которая защищен.
Джаррекс сказал:Вот почему у всех возникают проблемы со всеми этими статьями. Некоторые утверждают, что для проверки близости требуется Bluetooth, другие утверждают, что это не так. «Официальной» документации крайне не хватает, а в документации по менеджеру паролей ничего не говорится. Это похоже на неполную интеграцию.
Нажмите, чтобы развернуть...
Bluetooth необходим для близости к танцу QR-кода с вашим телефоном.
Хорошие новости! Вам не обязательно использовать PassKeys. Это всего лишь аутентификация FIDO2, поэтому, если сайт предоставляет такую возможность, вы можете использовать аппаратный ключ вообще без Bluetooth. Я полагаю, что в настоящее время Google не позволяет вам делать это для входа в систему без пароля, хотя это возможно, если вы установите PIN-код на аппаратном ключе или у него есть биометрические данные. Любой может попробовать, если захочет.
4XjrPz6t сказал:Из статьи:
«Некоторые скептики в отношении пароля выражают обеспокоенность по поводу того, что можно доверить инфраструктуре Apple, Google или Microsoft секретный ключ. Некоторые из этих критиков зашли так далеко, что заявили, что ключи доступа — это силовая игра, призванная дать этим компаниям контроль над секретами аутентификации, который ранее был невозможен. Эти утверждения просто не соответствуют действительности».По крайней мере, для меня это неверная характеристика проблемы. Например, есть ужасные истории (о них сообщается здесь на ARS) о том, как Google отключил учетную запись мужчины за то, что он поделился фотографиями своего ребенка со своим врачом. Если все мои пароли будут привязаны к экосистеме Google и произойдет что-то подобное, я полностью облажаюсь и не смогу работать.
Однако решение достаточно простое: не доверяйте поставщику оборудования, а храните ключи доступа только в чем-то кроссплатформенном и с открытым исходным кодом, например Bitwarden. Для меня это единственный способ начать использовать ключи доступа.
Изменить, чтобы добавить:
Да, я знаю, что Bitwarden сегодня не имеет полной поддержки ключей доступа. Это в работе:
Вид: https://www.reddit.com/r/Bitwarden/comments/136j90t/did_you_know_bitwarden_is_working_on_passkey/Нажмите, чтобы развернуть...
Я не понимаю ваших рассуждений. В соответствии с сегодняшней парадигмой паролей Google может заблокировать вашу учетную запись в любое время. Как использование паролей упрощает работу Google?
Кроме того, ключи доступа Google УЖЕ ЯВЛЯЮТСЯ кроссплатформенными. Мои пароли Google в настоящее время синхронизируются не только с Google, но также с помощью службы «Связка ключей iCloud» и Windows Hello. Как вы заметили, Bitwarden, 1Password и ряд других третьих сторон вскоре также обеспечат синхронизацию.
На каком основании вы предполагаете, что ключи доступа Google еще не являются кроссплатформенными?
Один из них не получает его, потому что это анонимная учетная запись, и я не хочу, чтобы она была привязана к реальному идентификатору.
Один из них не получает его, потому что это общая учетная запись, к которой должен иметь доступ несколько человек.
Один из них не получает его из-за неверия в Google.
Вы говорите о хранении ваших ключей доступа в экосистеме Google или об использовании ключа доступа для защиты своей учетной записи Google?Оффбит сказал:... ответ в вопросе: Google.Почему я должен доверять организации, которая неоднократно нарушала конфиденциальность и которая по закону должна предоставлять мои данные властям США, когда они того пожелают?
Нажмите, чтобы развернуть...
Если вы храните свои ключи доступа в экосистеме Google, это ничем не отличается от использования Chrome для управления вашими паролями. Не хотите этого делать? Тогда не надо. Вы можете использовать другие службы — Windows может хранить ключи доступа, Apple может синхронизировать все на всех ваших устройствах. устройства автоматически, а 1Password, Bitwarden и другие работают над поддержкой ключей доступа в качестве хорошо. Я уверен, что в конечном итоге мы увидим вариант FOSS для тех, кто не хочет никому доверять.
Если вы говорите о том, что не хотите защищать свою учетную запись Google с помощью пароля, потому что «Федералы могут проникнуть», то, я думаю, да. Но если вы так обеспокоены, то с сожалением сообщаю, что ваши данные уже есть у Google, так что...
Только Ars за 7 месяцев опубликовал 5 статей о паролях, убивающих пароли. Три из которых находятся на прошлой неделе. Это не просто освещение новых технологий, это продвижение повествования. Посмотрите на нетехнические сайты, на которых написано: «Google и Apple убивают пароли!» Последние 1-2 месяца это происходит практически постоянно на одних и тех же сайтах.кофекот сказал:Я думаю, это проще.Крупные технологические компании хотят уничтожить пароли, потому что это требует значительных затрат. Скомпрометированные учетные записи представляют собой серьезную проблему обслуживания клиентов. Это мешает людям пользоваться их услугами, приводит к потере важных и часто очень личных данных, а исправление обходится дорого и требует много времени. Вот почему Google, Facebook и т. д. очень заинтересованы в продвижении 2FA и хотят сделать его как можно ближе к обязательному. Текущая 2FA значительно уменьшает эти проблемы безопасности, но она также сопряжена с множеством проблем и компромиссов UX. В долгосрочной перспективе ключи доступа устраняют многие из этих недостатков, а также обеспечивают лучший UX.
Помните, что мы используем пароли практически с самого начала компьютерных технологий, но до сих пор регулярно сталкиваемся с серьезными ошибки, допущенные при их реализации, даже глупые вещи, например, компании, хранящие их в незащищенном открытом тексте. базы данных. Но даже тогда прошла пара десятилетий, прежде чем мы действительно решили многие проблемы и появились по-настоящему хорошие менеджеры паролей. Ключам доступа также потребуется некоторое время, чтобы разобраться в проблемах.
Да ладно, обвинения в астротурфинге просто немного смешны. Вы же знаете, как работает освещение технических новостей, верно? Почему сайт технических новостей освещает подозреваемого в новой технологии? Разве не поэтому ты здесь?
Если у меня и есть проблема с отчетами о ключах доступа, так это предположение, что они теперь готовы к использованию в прайм-тайм. Я думаю, что они удобны и, возможно, их стоит использовать тем людям, которые склонны читать технические новости о безопасности входа в систему... но обычных пользователей сегодня не так уж и много. В то же время они не доберутся до цели, если люди не будут знать об их существовании, поэтому распространение информации определенно принесет пользу.
Нажмите, чтобы развернуть...
Мало того, ни в одной статье не говорится о технических аспектах, что легко видно по тому факту, что никто на самом деле не может указать на диаграмму и сказать наверняка: «Ага, вот как это работает". Bluetooth требуется? Да? Нет? Кто знает. Даже вы сами говорите, что все говорят, что он готов к показу в прайм-тайм.
Если он не готов к прайм-тайму, почему такие сайты, как ars, продвигают его в таком виде? Почему это в этом вечном цикле новостей? и в этом нет ничего нового. Никаких новых подробностей об этом пока нет, и мы снова говорим об этом.
Не только нет, но ебать нет. Тем более не от Google.
Что произойдет, когда я куплю новый телефон Android? Я имею в виду, как мне добавить свой пароль на новый телефон, чтобы моя учетная запись была перенесена на новый телефон?
Дангудин сказал:Жаль, что этот пост получил столь высокую оценку, потому что он основан на фундаментальном недопонимании. Вам необходимо, чтобы телефон сканировал QR-код ровно один раз при входе в систему с нового устройства. После этого вам не придется «искать свой телефон». Что касается необходимости «пройти некоторую настройку отпечатков пальцев», любой, кто настроил Face ID или сканирование отпечатков пальцев на своем Mac, iPhone, устройстве Android или компьютере с Windows, уже сделал это. А если ваше устройство не поддерживает идентификацию по отпечатку пальца или лицу, вы всегда можете просто ввести PIN-код разблокировки.ТЛ; доктор: несмотря на все голоса «за», этот комментарий дезинформирован.
Нажмите, чтобы развернуть...
Это не совсем так. Вам нужно будет использовать телефон/QR каждый раз, когда вы заходите на сайт, если только вы не выполните процесс входа в систему, а затем добавите новый локальный аутентификация (которая может зависеть от пароля или старой платформы — Google объединяет их для удобства, но они другой).
Chrome (и я предполагаю, что Edge) может добавить его в Windows и macOS. Chrome также может сделать это на ChromeOS. Firefox, по-видимому, может сделать это в Windows, но после достаточной борьбы с Firefox я отказался от попытки.
Я разрабатывал и использовал аутентификацию FIDO2 на веб-сайтах в течение нескольких лет, потел над ней и много раз ругался из-за того, что аппаратные ключи не распознавались. Когда я добавляю поддержку, я очень снисходительно отношусь к тому, какие ключи принимаются, но сайт не обязательно должен быть — есть все виды функций, которые они могут потребовать от ключа, и даже конкретные идентификаторы устройств, если хотите. Большинство устройств на самом деле предлагают нулевой идентификатор, даже если его вежливо попросить, но Yubikey 5 предоставляет идентификаторы устройств, поэтому компании легко заказать у yubikey и знать, что только те устройства, которые они выпустили и поддерживают использовал.
Обычно нет причин не добавлять «еще один ключ», за исключением того, что некоторые глупые сайты ограничивают количество поддерживаемых ключей. Таким образом, вы можете в конечном итоге использовать телефон или QR-код чаще, чем хотелось бы.
idspispopd сказал:Аккаунт Google был произвольно заблокирован, а затем пришлось обращаться в службу поддержки Google, чтобы выяснить, почему... Я ни за что не положу все свои яйца аутентификации в корзину Google.
Нажмите, чтобы развернуть...
То же самое. Я потерял доступ к своему первому и последнему Gmail после того, как за год перебрал четыре телефонных номера, а затем потерял доступ к резервному электронному адресу. Так что больше никаких «первый-последний».
Это огромная заноза в заднице. Если бы у Google был отдел «обслуживания пользователей», у меня было бы гораздо больше искушений. Но... поскольку пользователи Google нет Клиенты Google, у них действительно нет причин развлекаться созданием такого отдела.
Точно.Shadmagus сказал:Итак, Дэн, как насчет статьи, демонстрирующей эти варианты?Я думаю, что подталкивать людей к использованию паролей без детального понимания того, что именно как их лучше использовать, чем пароли, а также нажатие, пока среда все еще разрабатывается, дает вам именно тот ответ, который вы видите в этой теме.
Нажмите, чтобы развернуть...
Никто не может ответить какой-либо диаграммой рабочего процесса или официальным документом, демонстрирующим, что вся критика необоснованна. Люди просто отвечают, говоря, что это недействительно, не имея при этом никаких подтверждений.
Большинство людей не собираются по своей прихоти искоренять весь свой цифровой процесс, фактически не понимая его.
Раньше я думал, что индикаторы включения веб-камеры на самом деле подключены последовательно к веб-камере, так что любое питание веб-камеры обязательно включает индикатор. Позже выяснилось, что они были разделены и злоумышленник мог включить веб-камеру без горящего индикатора.
Так действительно ли отпечатки пальцев и т. д. точно не оставляют устройство или не оставляют устройство до тех пор, пока сейчас и навсегда в будущем производители оборудования решат сделать это случай?
За последнюю неделю я вижу только две статьи от Ars (одна была переименована в ту же историю, но дважды появляется в результатах поиска).Джаррекс сказал:Только Ars за 7 месяцев опубликовал 5 статей о паролях, убивающих пароли. Три из которых находятся на прошлой неделе. Это не просто освещение новых технологий, это продвижение повествования. Посмотрите на нетехнические сайты, на которых написано: «Google и Apple убивают пароли!» Последние 1-2 месяца это происходит практически постоянно на одних и тех же сайтах.Мало того, ни в одной статье не говорится о технических аспектах, что легко видно по тому факту, что никто на самом деле не может указать на диаграмму и сказать наверняка: «Ага, вот как это работает". Bluetooth требуется? Да? Нет? Кто знает. Даже вы сами говорите, что все говорят, что он готов к показу в прайм-тайм.
Если он не готов к прайм-тайму, почему такие сайты, как ars, продвигают его в таком виде? Почему это в этом вечном цикле новостей? и в этом нет ничего нового. Никаких новых подробностей об этом пока нет, и мы снова говорим об этом.
Нажмите, чтобы развернуть...
Посмотреть вложение 55642
Первая — это новостная статья Рона о том, как Google теперь поддерживает ключи доступа, а вторая — подробный рассказ Дэна. Этот тип освещения довольно распространен в Ars — более короткая новостная статья, посвященная новому продукту, функции или пресс-релизу, и затем, несколько дней спустя, более подробный рассказ с подробностями, иногда написанный другим редактором, у которого может быть другое мнение. фокус.
Я не могу говорить со всеми остальными техническими сайтами, которые вы читаете, но компании постоянно выпускают пресс-релизы и обновления, поэтому вы увидите репортажи с нескольких сайтов примерно в одно и то же время. Сайты также хотят максимизировать пользу от каждой темы, поэтому они часто публикуют несколько статей по одной и той же теме. Я не думаю, что это свидетельство масштабного заговора с целью обмануть всех и заставить отказаться от контроля над своей цифровой безопасностью, или того, что Ars получает выгоду от крупных технологий, или чего-то еще.
Эта модель освещения технологических новостей применяется буквально ко всему, так что, если это вас беспокоит, то вполне справедливо. Но это не значит, что освещение паролей слишком отличается от любых других технических новостей, связанных с продуктами или услугами.
