Нет, и абсолютно чертовски нет.В контексте статьи рассматривается вход в учетные данные Google с паролем. «Большая тройка», а также некоторые другие предлагают условное депонирование и восстановление ключей, но сайты используют ключи доступа напрямую — если вы используете ключ доступа с помощью Best Buy, они не будут проверять, например, Google (если вы не используете «вход в социальные сети» курс). В этом контексте удаление Google вашей учетной записи просто означает, что если ваш телефон выйдет из строя, все может стать рискованным. По сути, это юбикей с возможностью восстановления, поэтому он немного менее безопасен, поскольку существует закрытый ключ. в эскроу, что решает 50% проблемы с юбикеями (ценник и поддержка приложения - остальное боль).Каждая система, которая, по-видимому, способна хранить ключи доступа, требует от вас доверия к большой тройке (Apple, Google, Microsoft), которая не удалит вашу учетную запись без предупреждения. В моем случае, если Apple удалит мою учетную запись iCloud и связку ключей, я потеряю доступ ко всему, что защищено паролем. Сравните это с тем, что произойдет сейчас, если я уничтожу свой основной Юбикей: я пойду в свой банк, покажу им два формы удостоверения личности, используйте мой физический ключ, чтобы получить резервную копию Yubikey из сейфа, и продолжайте жизнь.
До тех пор, пока не возникнут серьезные и долгосрочные последствия для компаний, предоставляющих инфраструктурные услуги, действующих в одностороннем порядке, я ни за что не буду использовать это. KeyPass/BitWarden может генерировать пароли произвольной надежности. Вы можете купить столько ключей Webauthn, сколько захотите, у различных поставщиков. Используя ключи доступа, вы находитесь в одном (автоматическом, не подлежащем обсуждению) удалении от постоянной блокировки всей вашей онлайн-жизни.
Если вы хотите передать эту власть компании, будьте моим гостем. Я подожду, пока к этому будут относиться как к отключению водопроводных или энергетических компаний без видимой причины: большие и вредные штрафы.
Я не уверен, что понимаю, как рабочий процесс, требующийЕсли вы копируете пароли (или вводите их по памяти, что создает другие проблемы в масштабе), вы уязвимы для фишинга. Таким образом, ключи доступа будут для вас большим улучшением безопасности.
хватая свой телефон,
заходя в приложение,
сделать снимок экрана и
нажимаю, что делать с этой информацией......это «более простая» операция, чем ввод пароля из памяти, автоматическое заполнение с помощью менеджера паролей или копирование и вставка с помощью менеджера паролей.
Могут быть и другие преимущества, но это ни в коем случае не проще.
Что касается моей учетной записи Google, я перерегистрировал свои YubiKeys, которые использовал как 2FA, в качестве ключей доступа. При использовании 2FA аутентификация заключалась в пароле Google + аппаратном ключе FIDO U2F. В случае ключей доступа это аппаратный ключ FIDO2 + PIN-код FIDO2 ключа.
Ни одна из технологических компаний «большой тройки» не будет хранить ваши ключи доступа. Ключи доступа хранятся на устройстве. Если вы не хотите синхронизировать свой ключ доступа через какую-либо службу, поместите один и тот же ключ доступа на несколько устройств. У вас только одно устройство. А теперь его нет? Это та же проблема, что и с менеджерами паролей без синхронизации. В конце концов вам придется пройти повторную аутентификацию с помощью других сервисов, как и в любом аналогичном случае блокировки. Большинство людей синхронизируют свои ключи доступа так же, как и пароли. И нет, если Google закроет вашу учетную запись, они не смогут отключить ключи доступа, которые уже есть на ваших устройствах. Вы потеряете их службу синхронизации, но вместо этого сможете начать использовать другую.
Ключи невозможно подделать, забыть, получить через утечку данных, они по своей сути уникальны и безопасны. Это действительно большие улучшения. Их также проще использовать, потому что, как только они появятся на вашем устройстве, аутентификация станет проще.
Я использую для этого Yubikey, а не Android или iOS. Это означает, что я не обязан Google/Apple иметь возможность управлять моим ключом, и мне не нужно беспокоиться о том, что моя учетная запись будет скомпрометирована и, таким образом, произойдет утечка ключа доступа.
Для сравнения с входом в учетную запись Google я также некоторое время использую этот Yubikey для доступа к своей учетной записи Microsoft.
Microsoft работает во всех основных браузерах на настольных компьютерах (кроме Safari на MacOS, когда я проверял в последний раз). Кажется, Google нуждается в Chrome.
Под полем имени пользователя у Microsoft есть возможность войти другим способом. Затем вы выбираете Windows Hello или ключ безопасности, вставляете ключ в USB-порт, вводите PIN-код и нажимаете кнопку сверху. Затем он спросит вас, какая учетная запись (если у вас сохранено несколько учетных записей), и вы сразу войдете в систему. Вам даже не нужно запоминать свое имя пользователя/адрес электронной почты.
Google требует от вас ввести свое имя пользователя/адрес электронной почты, а затем просит вставить ключ. Затем вам нужно ввести PIN-код, и он войдет в систему.
С точки зрения удобства использования Microsoft лучше тем, что вам не нужно запоминать свой адрес электронной почты. Для толпы Ars это, наверное, минус. Но если вы поддерживаете 70-летних бабушку и дедушку, чем меньше вещей им нужно помнить, тем лучше. Я не подтвердил, но недостатком системы MS является то, что Yubikey поддерживает только определенное количество сохраненных учетных данных, тогда как Судя по тому, что я увидел в своих исследованиях, метод Google в основном предполагает, что Yubikey генерирует закрытый ключ специально для этого сайта на основе на внутреннем закрытом ключе, вашем PIN-коде и некоторой информации, предоставляемой сайтом и браузером, каждый раз, когда ему необходимо запустить аутентификация. Оба они, похоже, используют внутренний закрытый ключ, специфичный для Yubikey, ваш PIN-код, некоторую информацию о домене, предоставленную браузером, и конкретные информация, предоставленная с сайта, который вы посещаете, для выполнения рукопожатия, что предотвращает успех атак MITM, поскольку они не могут подделать все это данные.
Я не уверен, чего не хватает в Firefox в реализации Google по сравнению с версией Microsoft, почему он не поддерживает новую систему паролей. Или это просто Google не запрашивает ключ доступа, потому что Firefox не реализовал часть Bluetooth, которая имеет побочный эффект отсутствия поддержки Yubikeys/аппаратных токенов, поскольку Firefox не запрашивает это при входе в Google сайт.
--
Если вы потеряете ключ доступа и у вас нет резервного ключа доступа, запасным вариантом безопасности будет вход в систему тем же способом, которым вы входили в систему до получения ключа доступа. Обычно пароль + OTP. Хотя это означает, что сайт поддерживает менее безопасную систему аутентификации, одним из преимуществ является то, что вы не регулярное использование пароля, чтобы снизить вероятность его утечки или перехвата с помощью фишинга или MITM. атака.
--
С точки зрения безопасности вы можете рассматривать ключи доступа как кошелек паролей с ограниченной поддержкой сайта. При использовании Yubikey кошелек представляет собой аппаратное устройство в вашем кармане, защищенное PIN-кодом. При использовании пароля Android/iOS кошелек синхронизируется в облачной системе и защищается паролем вашей учетной записи + биометрическими данными. Если вы потеряете устройство, это аналогично потере файла паролей.
Как только они выяснят все тонкости, это может многое изменить в сфере безопасности, поскольку люди, не заботящиеся о безопасности, будут больше не нужно сопротивляться требованиям безопасного пароля или выяснять, как правильно использовать парольный кошелек и как получить к нему доступ/синхронизировать его между несколькими устройства. По сути, превращаясь в кошелек паролей, ключи доступа генерируют действительно безопасные, действительно случайные пароли для каждого сайта, на котором они используются, и созданы с учетом устойчивости к фишингу.
Как это может быть отклонено? Это на 100% правда.
Его ВОЗ, нет что на первой странице. Никакой любви к Google на первой странице, настолько, что их поддержка настроила толпу против отраслевой стандарт.
Это глупо.
Еще раз, читатели, не обращайте на этих комментаторов никакого внимания.
Использование пароля не должно быть ответом на вопрос, призванный заменить пароли.
Это немного смешно. Как еще вы могли бы пройти аутентификацию в существующей службе? чтобы обновить механизм аутентификации? Помимо уже обсуждавшегося метода QR и Bluetooth. И хотя поверхность атаки на стороне сервера не обязательно уменьшается за счет включения пароля, а не требования входа в систему, это существенно уменьшает поверхность атаки на стороне клиента, поскольку вы строго участвуете в обмене ключами, что обеспечивается аутентификацией на уровне ОС. И это победа для всех.
Если вы дошли до того, что не можете доверять ни одной из функций безопасности вашей ОС, вы можете просто выбросить свои компьютерные устройства и отправиться жить на тропический остров или куда-то еще. В какой-то момент какому-то программному обеспечению необходимо оказывать некоторый уровень доверия.
Я думаю, здесь большая путаница, потому что на нас свалили целый стек технологий и представили как свершившийся факт. Позвольте мне, как невежде, попытаться разобрать это по аналогии с тем, что я понимаю: парами ключей SSH. Я приглашаю других найти дыры в том, в чем я ошибаюсь.1. Публичные/частные ключи аутентификации. Это работает примерно так же, как SSH. Веб-сайт знает только ваш открытый ключ, и вы подписываете сообщения, чтобы доказать, что у вас есть закрытый ключ.
2. Защита от фишинга. Ключи специфичны для сайта, поэтому фишинговый сайт получает другой ключ. У SSH для этого есть ключи хоста. Я предполагаю, что keypass использует что-то общее с ключами хоста TLS? Ваш браузер использует это, чтобы выбрать, какой ключ использовать? Или просто по DNS-имени?
3. Средства разблокировки ключей, чтобы доказать, что их использует правильный пользователь. У SSH есть парольные фразы, я полагаю, именно здесь пригодится биометрия/Bluetooth? SSH также может разблокировать ключи с помощью смарт-карт, поэтому я предполагаю, что биометрия немного похожа на другой режим разблокировки?
4. Синхронизация ключей между устройствами. Вероятно, именно здесь на помощь приходят облачные «экосистемы», такие как синхронизация паролей iCloud и Chrome? Для SSH поддержки нет, но можно придумать свою с помощью rsync или чего-то еще?
Что я ошибся?
Если вышеизложенное в целом верно, я мог бы представить себе создание открытого стека, который по сути делает то же самое, что и SSH, используя кучу файлов в ~/.ssh и rsync для перемещения между устройствами. Это «велосипедный» подход, при котором все движущиеся части видны и легко понять, что происходит.
Это не просто так свалено на людей - это обновление FIDO2, второй версии стандарта. U2F был FIDO1; это CTAP 2.2 ([править: исправлено из моего WAG 2.4, которое было неправильным, спасибо, все еще неверно!]), часть FIDO2/WebAuthn. На самом деле в этом нет ничего сложного... они ослабили требования к аутентификатору, чтобы закрытый ключ можно было (должно было...) скопировать безопасно, и добавили некоторые функции Javascript, чтобы облегчить жизнь. Вход без пароля? Всегда это было возможно с FIDO2. В этом и интересная часть: FIDO1 может быть только MFA. Добавляете в браузер закрытый ключ, хранящийся в TPM или защищенном элементе? Всегда было возможно, и ранее было реализовано в Chrome, Firefox и Safari.. Новым является то, что его можно синхронизировать и получить к нему доступ через вздор BT/QR. Раньше его называли (и помечали на веб-сайтах) «ключами для конкретной платформы», в отличие от портативных ключей, которые представляли собой аппаратные устройства. Теперь это PassKeys.
Поскольку вся суть системы паролей, по-видимому, заключается в избавлении от паролей, позвольте мне перечислить некоторые преимущества паролей:
- они достаточно просты, чтобы их мог понять любой, кто умственно способен управлять электронным устройством.
- их легко запомнить, если приложить хоть какие-то усилия и регулярно ими пользоваться.
- они работают на всех операционных системах «из коробки»
- им не требуется доступ в Интернет (некоторые системы отключены от сети по уважительной причине)
- они не требуют сотрудничества какой-либо третьей стороны
- они не требуют наличия смартфона или другого гаджета
- им не требуется Bluetooth, Wi-Fi, камеры или батареи
- их можно - в случае чрезвычайной ситуации - хранить без необходимости использования электричества.
- они могут быть легко переданы другому человеку без использования какого-либо устройства.
- если вы не инвалид и не пользуетесь смартфоном, аутентификация с помощью пароля займет всего несколько секунд
Ваши пункты №1, №2 и №10 просто неверны – спросите любого, кто работает в службе технической поддержки, как часто им приходится сбрасывать пароль, потому что кто-то забыл свой пароль, оставил включенной клавишу Caps Lock (или неправильно положил руку на клавиатуру) или подделал ее достаточное количество раз, чтобы ее заблокировали вне. Да, да, я знаю, что лично ты всегда прекрасно все решаешь, но поверь мне, любой, кому звонят в службу поддержки, имеет… менее оптимистичный… взгляд на человечество. Еще добавлю, что поддерживаю множество слепых пользователей и ввод паролей. массово это отстой для них, потому что многие сайты предъявляют требования к сложности, которые сложны для пользователей программ чтения с экрана, и если вы не опытный машинист вслепую, говорить об этом вслух — нехорошо. Это ниша, но многие люди, создающие системы аутентификации, по закону обязаны ее хорошо поддерживать, и это одна из причин, почему я заинтересован в ней. технология с момента «Хотите ли вы войти в систему, используя свой ключ доступа?» «Да» — это как минимум на порядок быстрее и проще, чем любая форма пароля + MFA для многих тех, кто пользователи.
Пункт №3 верен для WebAuthn MFA, но всегда с ключами доступа. Что-то вроде Yubikey работает везде, где есть USB/NFC, но вы можете необходимо установить PIN-код или использовать свои биометрические ключи для разработчиков ключей доступа, таких как Google.com, которым требуется нечто большее, чем простое кран.
Пункты №5, №6, №7 и №8 также справедливы для всех форм WebAuthn – как MFA, так и ключей доступа. Пункт №4 верен, за исключением случая, когда вы впервые регистрируете устройство при синхронизации существующего ключа. После первой синхронизации ключей вам не потребуется подключение к сети. Если вы не хотите синхронизировать, вы также можете купить пару биометрических ключей Yubikey, которые снова будут работать полностью в автономном режиме везде, где есть USB или NFC.
Остается №9, который является плохой практикой, и его следует избегать, если это вообще возможно. В современных системах есть такие вещи, как аутентификация на основе ролей, когда люди никогда не передают пароли, но нескольким людям разрешено брать на себя определенную роль, или такие вещи, как устаревшие или делегированные. учетные записи, в которых вы никогда больше не разглашаете пароли, а даете одному или, что еще лучше, нескольким людям в сочетании возможность сделать что-то вроде сброса пароля или получения контроля над ваши файлы.
Тот факт, что что-то новое, и вы не знаете, как оно работает, не означает, что это плохо или что этого следует избегать. Ключи доступа являются большим изменением для большинства из нас, за исключением .gov, поскольку PIV/CAC восходит к прошлому столетию, хотя других мест там немного. приняли его, но в дополнение к преимуществам безопасности у них есть ряд улучшений в удобстве использования, и есть четкий путь для его развития. некоторые недостающие части (например, мне очень нужна возможность синхронизировать ключ доступа Apple/Google с Yubikey, чтобы я мог сразу же положить его в свой сейф случай).
Очевидно, он должен быть доступен не только во время синхронизации, но и во время аутентификации, поскольку для этого он и используется. И он также должен быть доступен при первоначальной регистрации.И вот что я пытаюсь вам объяснить: было бы легко пройти аутентификацию на существующем устройстве и использовать его. устройство для добавления другого открытого ключа, который генерируется на другом, новом устройстве и отправляется на старое устройство каким-либо означает. Например, я мог бы создать новую пару секретный ключ/открытый ключ на своем настольном компьютере, отправить открытый ключ на свой ноутбук, войти в систему с помощью своего ноутбука и добавить открытый ключ рабочего стола. Я постоянно делаю подобные вещи с SSH.
Здесь нет никаких технических препятствий. Если это невозможно с помощью ключей доступа, то это по вашему выбору.
Закрытый ключ недоступен. Почему бы не поискать это вместо того, чтобы повторять ложь снова и снова.
И теперь я в большем замешательстве, чем до того, как начал - я отправил статью своему специалисту по CS/лучшей половине, чтобы объяснить ситуацию, но этого может быть недостаточно.
Пароли легко усваиваются. 2FA легко объяснить. Ключи доступа в некотором роде имеют смысл, но когда я думаю, что смогу их получить, я читаю следующий абзац и теряюсь еще больше.
Небеса помогают моим братьям, сестрам и родителям.
Спасибо, что сказали это. Ответы Дэна и других (например, @ВБДпродвигаемый комментарий, цитирующий мой) основан на фундаментальном неправильном прочтении комментария.Вы же понимаете, что и 1Password, и Bitwarden работают над поддержкой ключей доступа, верно?Я не хочу доверять своему поставщику ОС (в моем случае Apple для мобильных и настольных устройств) ключи доступа, и мне постоянно отвечают: «Но вы УЖЕ ДОВЕРЯЙТЕ GOOGLE СВОЙ ПАРОЛЬ». Да, хорошо, я ввожу длинный случайный пароль от BitWarden/KeePass, подключаю свой Yubikey и нажимаю кнопку кнопка. Это ни в коем случае не зависит от моего провайдера ОС.
И конечно, прямо сейчас есть возможность не использовать ключи доступа и использовать пароль, как раньше, но весь поезд технологической шумихи движется к «Больше никаких паролей для паролей». ВСЕ», и если я скажу: «Но подождите, если меня заблокируют все остальные учетные записи, потому что мой провайдер ОС решит, что я ему не нравлюсь, что произойдет», меня назовут троллем и дезинформирован. Есть также много крайних случаев, о которых я могу думать, когда это не работает, и вместо того, чтобы сказать: «Да, эти являются обоснованными опасениями в будущем, в котором мы хотим иметь доступ только к ключам», — существует постоянная критика любого допрос.
1Password зашел так далеко, что заявил, что ключи доступа — это «будущее аутентификации»: https://www.future.1password.com/passkeys/