Если устройство с ключами доступа полностью скомпрометировано; имеет ли злоумышленник теперь доступ для аутентификации ко всем моим учетным записям повсюду с этого устройства (поскольку у него есть ключи доступа и он передает любую безопасность, которую использует это конкретное устройство)?
Я имею в виду: я понимаю, что у моего Yubikey похожая проблема (если она у кого-то физически есть, он может получить доступ ко всем моим вещам), так что это не обязательно ново; но все равно.
Хотя Дэн Гудин отлично справляется с объяснением преимуществ конфиденциальности и безопасности системы Google Passkey, я должен открыто признать, что ни в чем не доверяю Google. Особенно Google Cloud.
Я должен спросить себя, как Google монетизирует свою систему паролей?
Я могу только предположить, что мы заплатим нашими личными данными, выставленными на продажу, я имею в виду, что они будут безопасно переданы доверенным третьим лицам. партии за определенную плату, или в соответствии с требованиями закона, или корпоративной политики, чтобы улучшить мир, или просто потому, что им так хочется.
Я был бы готов заплатить разумный ОДНОВРЕМЕННАЯ плата за систему аутентификации с помощью пароля, которая действительно, вне всяких разумных сомнений, конфиденциальна и безопасна.
Так защищает ли это от вредоносного ПО, захватывающего информацию о файлах cookie браузера на устройствах после входа в систему? Если бы я сегодня вошел в систему Chrome на ПК с Windows, произойдет ли автоматический вход в систему завтра без повторного ввода ключа доступа, что создало бы эту угрозу безопасности? Или он требует входа в систему каждый раз, что более безопасно, но, вероятно, не подходит для удобства использования менее осведомленными о безопасности пользователями?
Я просто хочу, чтобы учетную запись можно было перенести на стандартную учетную запись, переносить через приложения и покупки мультимедиа, а также позволить мне продолжать использовать ее при входе на любой сторонний сайт. Меня не волнует всякая внутренняя часть.
Я бы даже заплатил за порт.
Это могло бы быть весело... Я был в некоторых государственных учреждениях, где вам не разрешают проносить с собой ничего, имеющее беспроводную связь или камеры (поэтому никаких телефонов, устройств Bluetooth/Wi-Fi и т. д.). Если вам нужно войти во что-то, вам нужно использовать стикер, чтобы записать код 2FA со своего телефона снаружи, и принести стикер внутрь, чтобы ввести его. «утвержденный» поток (это PITA, это должен быть какой-то олимпийский спортивный значок, проходящий через ворота и двери, бегущий по лестнице, чтобы вернуться к компьютеру до того, как код истекает).jlpicard2 сказал:Я предполагаю, что всем настольным компьютерам с Windows, используемым в бизнесе и правительстве, для реализации этого потребуется множество Bluetooth-ключей.
Нажмите, чтобы развернуть...
Я предполагаю, что правительство хотело бы чего-то без беспроводной связи... хотя многие также, кажется, запрещают вещи, похожие на флэш-накопители (и я был на чьей-то церемонии выхода на пенсию, на самом деле потребовал, чтобы я опустошил карманы в стиле TSA, чтобы пройти проверку, входя, чтобы проверить контрабанда).
Мне приходится задаться вопросом, насколько безопаснее это на практике. Мне кажется, что это довольно сложная система со множеством движущихся частей. Чем сложнее что-то, тем больше вероятность возникновения проблем с безопасностью.кофекот сказал:По крайней мере, на стороне Apple ключи доступа синхронизируются через iCloud Keychain. Поэтому, если у вас несколько устройств, ключи доступа будут работать на всех из них. Я могу легко войти в систему с помощью телефона, настольного компьютера Mac, iPad и т. д.Я думаю, что многие проблемы и опасения, связанные с восстановлением и поддержкой нескольких устройств, исчезнут, как только вы начнете получать сторонние решения для доступа к паролям от таких компаний, как 1Password и Bitwarden. Миллионы людей уже доверяют им все свои пароли; доверить им ключи доступа на самом деле ничем не отличается, но это более безопасно.
Тем не менее, меня интересует проблема «среднего пользователя». Ключи доступа нацелены на таких людей, как моя мама, которые повсюду используют одни и те же пароли. Но нет никакой гарантии, что она будет использовать Android для своего следующего телефона, и она не везде живет внутри экосистемы Google — вместо этого у нее есть мешанина учетных записей. Она всегда поступала так, и я не уверен, что она захочет или даже сможет измениться сейчас.
Нажмите, чтобы развернуть...
Я получаю теоретическое улучшение, но дьявол кроется в деталях (реализации). Думаю, я лучше подожду и посмотрю, чем прыгну обеими ногами.
Догадываетесь, что это будут те ужасные, ужасные небезопасные пароли? Хм ...Бальтазар сказал:Так какой же запасной вариант, если ваш телефон потерян/украден/уничтожен/и т. д.?
Нажмите, чтобы развернуть...
Это кажется такой ужасной идеей. Если вы знаете, что делаете, это не кажется ни проще, ни быстрее, ни безопаснее. Я бы предпочел не доверять всю свою безопасность, имея при себе второе устройство. И я беспокоюсь о том, что пограничным агентам придется требовать биометрические данные устройства и, таким образом, получать доступ ко всему, для чего у вас есть логин.
— Ты их включил, да? Дорогие боги, идея стать одним из первых последователей такой революционной и тревожной концепции, в которой еще предстоит устранить ошибки, - это... орехи. Даже если бы я был в восторге от этого, я бы ждал полгода, прежде чем включить их. Риски непредсказуемых крайних случаев здесь слишком велики.
Я бы предпочел, чтобы вторым устройством был небольшой RFID/BT-ключ/карта, которую можно было бы носить на физической цепочке для ключей или в кошельке/кошельке. Достаточно недорого, чтобы можно было иметь резервную копию дома или в другом месте. Не телефон. Обычно телефон у меня с собой, но я не хочу, чтобы его заблокировали, если по какой-либо из ранее упомянутых причин он недоступен.
Среди множества вопросов, которые вызывают у меня скептицизм, требование Bluetooth — твердое «Нет».
Отключено на моем телефоне с первого дня и никогда на моем ноутбуке.
Полноценный протокол связи, который НИКОГДА не должен быть частью какой-либо схемы аутентификации.
хватая свой телефон,
заходя в приложение,
сделать снимок экрана и
нажимаю, что делать с этой информацией...
...это «более простая» операция, чем ввод пароля из памяти, автоматическое заполнение с помощью менеджера паролей или копирование и вставка с помощью менеджера паролей.
Могут быть и другие преимущества, но это ни в коем случае не проще.
Короче говоря, после нескольких минут обучения ключи доступа использовать проще, чем пароли.
Нажмите, чтобы развернуть...
Это просто не так.
Ключи доступа более безопасный чем пароли, и поэтому да, я использую их столько, сколько могу (мой основной компьютер, настольный компьютер, не имеет биометрических данных, поэтому я не могу их там использовать), но перестаньте говорить мне, что это проще, когда это не так.. Ключи доступа в тысячу раз сложнее, чем пароль с хорошим менеджером паролей, а хорошие менеджеры паролей есть во всех браузерах.
Например, я только что попытался войти в свою учетную запись Google с помощью пароля, но это не сработало. Наверное, какая-то настройка или что-то в этом роде в моем браузере... но что бы это ни было, потребовалось пять минут на устранение неполадок, прежде чем я сдался и создал второй ключ доступа для браузера, у которого он уже есть. Не говоря уже о «нескольких минутах обучения». Я энтузиаст технологий безопасности, который внимательно слежу за ключами доступа и их предшественниками в течение нескольких лет.
Я даже никому из членов своей семьи не говорю, что пароли существуют, не говоря уже о поощрении усыновления.
Пароли — это вариант входа в систему. Они не являются чем-то или/или. Вы можете включить ключи доступа и по-прежнему входить в систему с паролем в любое время. Если ключ доступа каким-либо образом будет удален или поврежден, вы все равно сможете войти в систему, используя свой пароль. Или вы можете войти в систему с одного из других ваших устройств. Вы можете включить ключи доступа и никогда их не использовать. Я не вижу сценария, при котором синхронизация ключа доступа с вашим устройством облегчила бы Google блокировку вашей учетной записи. Для Google легко произвольно заблокировать вашу учетную запись в соответствии с текущей парадигмой паролей. Когда в учетной записи используются пароли, для Google это не сложнее и не проще. Кроме того, имейте в виду, что Google — лишь один из многих облачных сервисов, которые синхронизируют ваши ключи доступа. Если вы не доверяете Google, вы можете синхронизировать их с помощью 1Password или предпочитаемого вами менеджера паролей либо поручить их синхронизации Microsoft или Apple. Существует гораздо больше вариантов использования паролей, чем думают критики, комментирующие здесь.
Ключи доступа абсолютно устойчивы к замене SIM-карт. Ключи доступа вообще не зависят от номера телефона. Они полагаются на закрытый ключ, который может храниться на каждом устройстве. Кто-то может получить контроль над вашим номером, но это никоим образом не позволит ему получить контроль над закрытым ключом. Если вы потеряете телефон, обязательно войдите в свою учетную запись с другого устройства и удалите ключ доступа, хранящийся на вашем телефоне, но эта передовая практика безопасности верна даже в нынешних условиях. система.
И нет, вам не обязательно иметь при себе телефон каждый раз, когда вы входите в систему. Телефон или другое устройство вам понадобится только при первом входе в учетную запись на другом устройстве. Если другого устройства нет, вы также можете войти в систему со своим паролем, как обычно. Ключи доступа действительно проще использовать, чем пароли, при входе в систему с устройств, которые вы обычно используете для доступа к своей учетной записи.
Многие критические замечания до сих пор основаны на фундаментальном непонимании ключей доступа. В комментариях, пожалуйста, не критикуйте, если вы еще не попробовали.
Мой телефон... обычно где-то в доме, хотя мне регулярно приходится звонить на него со стационарного телефона или использовать функцию «найти мой телефон», чтобы включить шум, чтобы найти его, вероятно, раз в неделю или около того. А иногда я спешу и забываю об этом по дороге на работу.Beyond Opinion сказал:Мой телефон всегда лежит в кармане на столе рядом со мной, и я могу использовать разблокировку по отпечатку пальца. даже с шелушащимися мозолями от игры на гитаре или кончиками пальцев, покрытыми засохшим суперклеем (не просить). Я понимаю, что ключи доступа не являются улучшением для всех, но ни одна из этих проблем не остановила бы меня от этого.
Нажмите, чтобы развернуть...
И я работаю в месте, где запрещено использование личной электроники, поэтому мне приходится использовать устройства, выпущенные компанией, когда я на работе, а личный телефон весь день остается в машине или шкафчике. Отчасти поэтому я не так скучаю по нему, если забываю его дома. Немного больше раздражает, если вы забудете его в шкафчике в офисе и не заметите, пока не вернетесь домой без него.
Хотя это по-прежнему не решает проблему того, как часто происходит сбой разблокировки по отпечатку пальца на нескольких устройствах разных марок, и сейчас я в основном игнорирую это, потому что PIN-код вводится быстрее и надежнее.
Так что да, думаю, я подменю этого ребенка верно на. Не могу дождаться.В ансамбле ключей доступа отсутствуют некоторые важные детали. На данный момент Chrome на macOS требуется собственный локальный ключ доступа. Поддержка Firefox пока недоступна в macOS, и мне также не удалось заставить этот браузер работать в Windows 10. Для Android все еще более ограничено. В настоящее время ключи доступа, синхронизированные Google, не работают с браузерами [...].ChromeOS вообще не поддерживает ключи доступа. [...] Самое поразительное, что Linux вообще не работает с паролями.
Отсутствие плавной интеграции между операционными системами и браузерами является результатом того, что различные игроки опережают или отстают от своих конкурентов. Ключи доступа находятся в стадии разработки и содержат множество движущихся частей. [...]
Нажмите, чтобы развернуть...
Кроме того, прочитав бесконечный, отупляющий, ошеломляющий список деталей и изображений в этой и других статьях, я просто представляю себе ад на Земле, который будет быть попыткой объяснить, как использовать это для масс, которые едва поняли, как использовать что-то столь же простое, как имя пользователя/пароль, учетные данные и пароль. менеджеры. Я, например, не хотел бы обучать пользователей в моей организации использованию этих вещей, и даже не буду думать о моей матери.
РЕДАКТИРОВАТЬ: Хорошо. Ты тренируйте их.
Разве вы не берете с собой в путешествие свои кредитные карты, наличные, удостоверения личности и даже, возможно, паспорт?mmiller7 сказал:Как убедиться, что ваши коды восстановления не были скопированы/скомпрометированы во время поездки? Я бы не хотел, чтобы такой ценный документ находился при себе или в багаже во время путешествия, я бы хотел, чтобы он был заперт в сейфе дома.
Нажмите, чтобы развернуть...
Поменяйте их, когда вернетесь домой. Если кто-то хочет проникнуть в мою комнату или украсть у меня эти коды, а также получить мои (надежные) пароли в течение недели или двух, тогда он добро пожаловать к ним, потому что в этот момент я стал мишенью национального государства, и их следующий вариант - бить меня гаечным ключом, пока я не войду в свой пароль. Возможно, я не возьму их с собой, если поеду в Иран с государственной тайной в моей учетной записи электронной почты, я думаю.
Изменить: если вас вообще беспокоит сценарий, описанный человеком, которого я цитирую, то единственная полностью надежная альтернатива — отключить 2FA во время путешествия, что, очевидно, хуже.
На тот момент это было 1400 слов и включало ряд предостережений вроде «эта комбинация браузера и ОС работает, но не в этой ОС, нужно, чтобы ваш телефон был при себе и т. д.». Это звучит как кошмар.Изложив базовое руководство по использованию ключей доступа,
Нажмите, чтобы развернуть...
Я использую веб-Bluetooth для некоторых прототипов или внутренних инструментов, и эта реализация пароля звучит примерно так же недоделанно и требует столько же предостережений. «Это здорово и чудесно! О, это работает только на MacOS и Android в Chrome, но не на iOS Chrome и только иногда в Windows. а в MacOS поведение write() немного отличается, поэтому эта конкретная функция работает только на Андроид».
В тот момент, когда мама застревает (что случается часто), у меня есть все ее учетные данные для входа в мой собственный менеджер паролей, и я могу заставить ее прочитать мне любой SMS-код 2FA.
Тяжелый проход.
Есть одна деталь, которую я упустил в информационных статьях о ключах доступа. Давайте возьмем обычного человека, у которого есть телефон и Windows или Mac. Предположим, они все настроили с помощью ключей доступа, которые надежно хранятся на их телефоне и компьютере. Давайте также предположим, что это обычный человек, которого раздражает постоянная разблокировка своих систем (и из-за частых сбоев биометрии), поэтому они отключают или сводят к минимуму необходимость повторной аутентификации устройство. Что происходит, когда злоумышленник получает контроль над его телефоном или компьютером?
Что касается моей учетной записи Google, я перерегистрировал свои YubiKeys, которые использовал как 2FA, в качестве ключей доступа. При использовании 2FA аутентификация заключалась в пароле Google + аппаратном ключе FIDO U2F. В случае ключей доступа это аппаратный ключ FIDO2 + PIN-код FIDO2 ключа.
Ну, в предыдущей статье был слоган, в котором говорилось: «Переключение, вероятно, сейчас ужасная идея», так что нет, я не
Похоже, это не столько «разовое требование», сколько единоразовое за аккаунт, за устройство. Для меня это большая разница. В моем менеджере паролей более сотни учетных записей. Если я в конечном итоге заменю их ключами доступа, мне понадобится способ массового перемещения их между устройствами и платформами.Процесс аутентификации на нескольких устройствах с использованием QR-кодов является однократным требованием. После завершения пользователь сохраняет ключ доступа к браузеру или платформе, на которой он подключается. Это не кажется более сложной задачей, чем настройка синхронизации паролей в недавно установленном браузере.
Нажмите, чтобы развернуть...
Для синхронизации паролей с iCloud, Chrome или Firefox требуется только один раз войти в систему на новом устройстве, чтобы получить доступ ко всем вашим паролям, и, по крайней мере, в случае с Chrome и Firefox, он работает почти на всех Платформа.
Я повторю то, что сказали другие: пока не будет кроссплатформенного решения с открытым исходным кодом, я не буду тратить на это время. На практике это означает Keepass или Bitwarden. (Пожалуйста, поправьте меня, если есть другие менеджеры паролей с открытым исходным кодом, о которых мне следует знать.)
panton41 сказал:Эх...Насколько я понимаю, это новый отраслевой стандарт, а не только разработка Google. Я подожду, пока Apple и Microsoft полностью реализуют его, прежде чем беспокоиться, поскольку я на самом деле не использую другие продукты Google, кроме YouTube.
Нажмите, чтобы развернуть...
Поздравляем, вы вернулись в прошлое!
Apple уже полностью поддерживает клиентскую часть ключей доступа и поддерживает их как серверную часть 2FA. Они просто не работают без пароля (поскольку вам нужно каким-то образом войти в iCloud, чтобы восстановить резервную копию связки ключей iCloud...)
Google — это сложный кровавый беспорядок, в котором они
(1) поддержка ключей, специфичных для платформы, в Windows (с использованием Windows Hello) и macOS (хотя и не так, как это делалось в Safari до появления Passkeys). Они также поддерживают ключи для конкретной платформы в ChromeOS. Они все фирменный Теперь это пароли, но на самом деле это не пароли. Это просто старые клавиши для конкретной платформы с новой наклейкой сверху.
(2) Поддерживает танец QR-кода во всех настольных браузерах, включая Linux (отмечено его отсутствием выше...), который работает с ключами доступа на любой платформе, которая их поддерживает.
(3) Скоро будут настоящие ключи доступа, и они будут делиться ими на платформах Windows, macOS и Android. Однако они будут делиться по ОС, а не по браузеру. Таким образом, все ваши экземпляры Chrome на устройствах Windows будут совместно использоваться, но бедный Mac будет одинок. Насколько мне известно, документированного плана по ChromeOS и совместному использованию не существует. Linux вообще этого не получит.
(4) Имеет вход без пароля на стороне сервера, где он работает. А там, где этого не происходит, вы возвращаетесь к старой системе. И вместо этого они могут быть 2FA.
Фаерфокс будет... медлят и без особого энтузиазма реализуют что-то на некоторых платформах, как и все остальное, что они сделали с FIDO2. (Вы думаете, я шучу? Они поддерживают специальные клавиши платформы в Windows Hello. Вот и все. Они поддерживают USB-ключи безопасности. Лишь некоторые из них в Linux. Не все, какими бы сертификатами FIDO2 они ни были)
Эдж, понятия не имею. Я никогда особо не пробовал. Но я потратил чертовски много времени на написание кода FIDO2/Webauthn и паролей. Вы даже можете сделать ключи доступа прозрачными, если хотите - никаких «нажми, чтобы попробовать», он просто обнаруживает, что у вашего браузера есть локальный ключ доступа, к которому он может получить доступ, и появляется сообщение с вопросом, хотите ли вы его использовать. Я еще не дошел до этого, но думаю об этом.
Редактировать: О, почему Linux — бедный родственник? Во всем виновата обработка TPM. Существует 4 различных способа доступа к TPM. TPMv1.2, у вас есть драйвер устройства, к которому вы должны получить доступ через брокер пользовательского пространства. Да, нет. Это сводит на нет всю цель использования TPM из-за наличия перехватываемого процесса пользовательского пространства. TPM2 они это исправили! Есть водитель... доступ к которому возможен только последовательно. Есть брокер ядра! Есть брокер пользовательского пространства! Чего ждать? Да, они сделали это снова...
Становится еще лучше, когда под Linux уже есть фальшивые драйверы TPM, так что вы действительно не можете доверять этому чертовому TPM на самом деле TPM, и поэтому вы не сможете получить сертификацию FIDO для дистрибутива Linux, если вы не сделаете то, что Google сделал с ChromeOS, то есть безумно заблокировал его.
Редактировать 2: и помните, большинство сайтов уже поддерживают ключи доступа в качестве 2FA, поскольку они являются всего лишь еще одним аутентификатором FIDO2. Вам просто нужен браузер, который их поддерживает, либо сложная полузасранная мешанина Chrome, либо Safari. Я попробую Edge позже и посмотрю, что он сделает.
Редактировать 3: Мы действительно вернулись во времени — Edge похож на Chrome. Desktop Edge отлично отображает QR-код. Вероятно, просто унаследовал все от Chromium.
Паспорта у меня нет, но все остальное остается в бумажнике, и в случае взлома его можно легко заменить.Randomuser42 сказал:Разве вы не берете с собой в путешествие свои кредитные карты, наличные, удостоверения личности и даже, возможно, паспорт?Поменяйте их, когда вернетесь домой. Если кто-то хочет проникнуть в мою комнату или украсть у меня эти коды, а также получить мои (надежные) пароли в течение недели или двух, тогда он добро пожаловать к ним, потому что в этот момент я стал мишенью национального государства, и их следующий вариант - бить меня гаечным ключом, пока я не войду в свой пароль. Возможно, я не возьму их с собой, если поеду в Иран с государственной тайной в моей учетной записи электронной почты, я думаю.
Нажмите, чтобы развернуть...
Стало лучше (хотя я мало путешествовал последние несколько лет), но на какое-то время, примерно с 2014-2017 годов. казалось, что мои кредитные карты подвергались взлому каждый раз, когда я отправлялся в путешествие, и до сих пор не до конца уверен как. Хотя, к счастью, каждый раз было просто позвонить и попросить их перевыпустить и снять обвинения в мошенничестве.
По крайней мере, если кто-то заставляет вас раскрыть логины, это более очевидно, что ваши данные были взломаны, чем потенциально скопированный лист со всеми вашими услугами/именами пользователей/паролями, о которых вы, возможно, не знаете какое-то время время.
Также знаю множество людей, которые потеряли кошельки или другие вещи во время путешествия. Карманы можно обшарить, или что-то может выпасть (особенно задний карман), и теперь его нет.
Даже если бы я подозревал это, я не совсем понимал, как мне поступить, если бы служба аннулировала все мои коды восстановления и выдала новые. Те немногие из них, которые у меня есть, дали понять, что их следует держать запертыми на случай чрезвычайной ситуации и принимать к сведению их во время установки, иначе я не смогу получить их снова позже. Я не уверен, можно ли их изменить или нет.
- 'Google'
Нет, сначала я посмотрю, будут ли они придерживаться этого в течение трех месяцев. Я не собираюсь пытаться настроить это на всех моих устройствах и учетных записях только для того, чтобы они все это отменили, когда им становится скучно, и это не сразу приносит им доход в триллион долларов каждый божий день, и им приходится все менять назад.
