Я не понимаю, как это решит проблему целевого фишинга с атаками с повтором пароля. В большинстве случаев фишинговый MITM просто воспроизводит входные данные на сервер и выходные данные жертве, обычно с перенаправлением в конце. Эти типы атак по-прежнему работают и против устройств TOTP MFA, поэтому на самом деле это не те атаки, которые люди пытаются здесь предотвратить.fvgfvghvgv сказал:Фишинг и целевой фишинг больше не являются проблемой, поскольку HTTPS распространен практически повсеместно?Кроме того (гораздо меньшая частота, но поверьте мне, что это очень важно для национальных государств) все различные формы удаленных кейлоггеров смягчаются HTTPS?? Лично, если бы я был параноиком по поводу того, что на меня нацелены таким образом, и мне нужно было войти в Google на новом компьютере, я бы предпочитаю направлять свой телефон на QR-код на экране в течение 2 секунд, чем медленно вводить надежный пароль на клавиатура.
И в контексте этой статьи вы действительно думаете, что Google хранит учетные данные нашей учетной записи Google в открытой незашифрованной базе данных?
Я на 100% согласен с вами, что долгосрочным улучшением будет полная замена паролей ключами доступа, чтобы закрыть устаревшие недостатки в системе паролей.
Вот мое предложение о том, как мы этого достигнем: на этапе 1 крупный вездесущий онлайн-игрок должен одновременно с этим выполнить параллельное внедрение ключей доступа. пароли в качестве демонстрации в реальном мире, чтобы набрать обороты, затем на этапе 2 вся облачная связка ключей и сторонний менеджер паролей Компании должны обсудить, как улучшить совместимость, а поставщики ОС и браузеров должны одновременно внедрить ключи доступа в свои системы. Это будет отражением истории успеха HTTPS и преимуществ безопасности, которые он привнес в экосистему.
На раннем этапе этого плана arstechnica могла бы написать статью о том, что работает/что нет/что планируется в будущем….
Нажмите, чтобы развернуть...
Если мы говорим об субъектах национального государства, они просто собираются нацелиться на техническую поддержку всего, к чему они хотят получить доступ, поэтому обсуждение технологий для предотвращения этого бессмысленно.
И нет, я никогда не говорил, что Google хранит пароли в незашифрованной базе данных. Атаки с подстановкой учетных данных происходят не так. Обычно люди повторно используют пароли в нескольких местах, и более слабые сайты предоставляют те же пароли, которые использовались на сайтах, которые более безопасно защищают их серверную часть.
Я согласен с вашими предложениями по развертыванию, с одной оговоркой - на самом деле опубликуйте официальный документ, который не будет баловаться теории, такие как теория FIDO, утверждающая, что у пользователей «вероятно» будет второе устройство для восстановления, если их первое устройство потерян. И этот же технический документ также не должен просто предлагать, чтобы пароли использовались в качестве запасного варианта для новых устройств, на самом деле следует изложить план по полному удалению паролей, потому что это конечная цель верно? Мы должны знать, какие шаги мы собираемся предпринять, прежде чем доберемся до цели.
Я отключил BT, чтобы посмотреть, что произойдет, и, конечно же, Google пожаловался, что не может связаться с моим телефоном... и предложил мне включить BT. Это, по крайней мере, не сработало. Еще. (Я предполагаю это делает работать таким же образом в Windows и, возможно, в MacOS.)
Быть очень сильно ясно, опять же, что это не имеет ничего общего с самими ключами доступа; в качестве стандарта аутентификации они в порядке. Мне просто не нравится, насколько браузер контролирует мое оборудование (потому что чем больше контроля он имеет, тем больше контроля имеет злоумышленник, владеющий браузером).
Вы в очередной раз путаете себя. Ни одна цитата не подразумевает ничего об удалении паролей. Я надеюсь, что в какой-то момент они удалят пароли для своих учетных записей, но если это когда-нибудь произойдет, то это произойдет через десятилетия. как только большинство крайних случаев будут решены или устранены, и когда большая часть остального Интернета сделает ключи доступа повсеместными вариант.Джаррекс сказал:Да, чувак, полностью:Авторы: Арнар Биргиссон и Диана К. Сметтерс, команды Identity Ecosystems и безопасности аккаунтов Google. Начиная с сегодняшнего дня, вы можете создать...
security.googleblog.com
Либо ключи доступа являются отличной и более безопасной альтернативой паролям, и в этом случае у Google есть все основания попытаться удалить пароли. Или ключи доступа — это просто простая альтернатива, которая на самом деле ничего не делает, поскольку существует запасной пароль, который можно использовать для точно такой же проверки.Если первое, то почему вы пытаетесь утверждать, что Google не распространяет пароли (как ясно подразумевают их многочисленные блоги, в будущем).
Разве что потому, что никто не знает, как они это делают, потому что у них все еще есть запасной пароль и буквально ноль документов FIDO, говорят в блогах Google и Apple. что-нибудь о том, как они собираются реализовать запасной вариант без паролей, о чем вы подсознательно знаете, что они не могут говорить об удалении пароля отступать. В этом случае я перенаправляю вас к исходной точке зрения: ключи доступа бесполезны при возврате пароля.
Нажмите, чтобы развернуть...
Посмотрите, сколько времени требуется, чтобы развернуть 2FA для более чем небольшой части глубокой сети!
Так что да, я думаю, что в нескольких сообщениях в блоге Google говорится: «многие устройства еще не поддерживают ключи доступа» и «мы будем более тщательно проверять действия по входу в систему с помощью пароля, потому что мы считаем, что это слабое звено».
НЕ то же самое, что:
«Мы планируем удалить пароли всех аккаунтов Google в ближайшем будущем»
Еще одна большая проблема, с которой мне уже приходится иметь дело при использовании 2FA (хотя я обычно использую и поддерживаю 2FA). - Я оказываю большую техническую поддержку пожилым людям, и иногда мне приходится делать что-то удаленно от их имени. С 2FA чрезвычайно сложно войти в чужую учетную запись (Google и т. д.), чтобы изменить настройки, что-то найти, помочь восстановить или сбросить пароль и т. д. Это, конечно, намеренно и в целом хорошо, но это усложняет техническую поддержку. Ключи доступа кажутся для этой цели даже хуже, чем 2FA, поскольку, по крайней мере, с 2FA я могу позвонить им и попросить прочитать код, отображаемый на их телефоне, или попросить их нажать на любую отображаемую подсказку.
Конечно, они не планируют удалять пароли всех пользователей в ближайшем будущем. Потому что они не знают, как избавиться от резервных копий паролей. Но сообщения с их заголовками «Прощайте, пароли, спасибо за фишинг» и «Может быть, следующий пароля, вам не нужно будет запоминать свой пароль!» очень подразумевают, что на самом деле не требуется пароли. Это оказывает медвежью услугу пользователям и дает ложное представление о том, что ключи доступа более безопасны, чем пароли, даже несмотря на то, что резервные копии на основе паролей могут выполнять 100% того, что могут делать ключи доступа.fvgfvghvgv сказал:Вы в очередной раз путаете себя. Ни одна цитата не подразумевает ничего об удалении паролей. Я надеюсь, что в какой-то момент они удалят пароли для своих учетных записей, но если это когда-нибудь произойдет, то это произойдет через десятилетия. как только большинство крайних случаев будут решены или устранены, и когда большая часть остального Интернета сделает ключи доступа повсеместными вариант.Посмотрите, сколько времени требуется, чтобы развернуть 2FA для более чем небольшой части глубокой сети!
Так что да, я думаю, что в нескольких сообщениях в блоге Google говорится: «многие устройства еще не поддерживают ключи доступа» и «мы будем более тщательно проверять действия по входу в систему с помощью пароля, потому что мы считаем, что это слабое звено».
НЕ то же самое, что:
«Мы планируем удалить пароли всех аккаунтов Google в ближайшем будущем»
Нажмите, чтобы развернуть...
Итак, еще раз, самым слабым звеном являются резервные копии паролей, без удаления резервных копий паролей ключи доступа бесполезны с точки зрения обеспечения реальных преимуществ безопасности. Если не существует известной методики удаления резервных копий паролей, то какой смысл в ключах доступа?
Устали от этих технических блоггеров, предполагающих, что у всех остальных такая же «рабочая» установка, как у него. Я не буду использовать их в ближайшее время так часто, как мне хочется, потому что полноценной поддержки пока нет, а сломать что-то где-нибудь будет еще больше головной боли.
Ключи доступа на самом деле являются огромным преимуществом для вашего конкретного случая использования, и это одна вещь, которая тоже принесет пользу мне (поддержка стареющих членов семьи).shawn99452 сказал:Я полностью поддерживаю ИДЕЮ использования паролей в целом, но у нее есть некоторые серьезные ограничения... для меня отсутствие поддержки компьютеров (МНОГО настольных ПК) без Bluetooth является довольно большой проблемой. Кроме того, лично для меня отсутствие поддержки Linux является большой проблемой — надеюсь, кто-нибудь создаст самостоятельное хранилище ключей доступа. системе (очевидно, должен быть какой-то способ добавить URL-адрес вашего локального сервера ключей доступа или аналогичный при добавлении ключа доступа в услуга).Еще одна большая проблема, с которой мне уже приходится иметь дело при использовании 2FA (хотя я обычно использую и поддерживаю 2FA). - Я оказываю большую техническую поддержку пожилым людям, и иногда мне приходится делать что-то удаленно от их имени. С 2FA чрезвычайно сложно войти в чужую учетную запись (Google и т. д.), чтобы изменить настройки, что-то найти, помочь восстановить или сбросить пароль и т. д. Это, конечно, намеренно и в целом хорошо, но это усложняет техническую поддержку. Ключи доступа кажутся для этой цели даже хуже, чем 2FA, поскольку, по крайней мере, с 2FA я могу позвонить им и попросить прочитать код, отображаемый на их телефоне, или попросить их нажать на любую отображаемую подсказку.
Нажмите, чтобы развернуть...
У них может быть сохраненный в их системе ключ доступа к их учетной записи, а вы можете иметь другой ключ доступа к той же учетной записи, сохраненный в вашей системе.
Основная причина, по которой я выиграю, заключается в том, что они не будут вынуждены часто выдавать коды 2FA по телефону или нажимать «Да» на экране.
Возможно, я бы не сделал такого предположения, если бы когда-либо видел что-нибудь, что указывало бы на то, что Thunderbird в ближайшее время получит поддержку Passkeys. Учитывая, сколько времени потребовалось для добавления поддержки OAuth, я думаю, было разумно заключить, что я не смогу сделать это в Thunderbird.Дангудин сказал:WebAuthn уже легко интегрируется с Gmail в Thunderbird.Этот комментарий является еще одним примером того, как кто-то не задает вопросы, а уверенно делает утверждение (что ключи доступа не будут работать в вашей среде), основываясь на технически неточном понимании. Вместо того, чтобы делать поспешные выводы, почему бы сначала не провести небольшое расследование?
Нажмите, чтобы развернуть...
Кстати, я попробовал демо-версию на passkeys.io, и Firefox, и Vivaldi на Manjaro хотят, чтобы я подключил ключ безопасности. Я не уверен, является ли это ограничением браузеров или демо-версии.
На самом деле у них есть - если вы знаете, как перевести маркетинговый термин «ключи доступа» в техническую спецификацию: «учетные данные для нескольких устройств» или «учетные данные, подходящие для резервного копирования».Джаррекс сказал:Ага. Если они действительно опубликуют, как планируют удалять пароли в качестве резервной аутентификации, ключи доступа могут быть отличным вариантом.
Нажмите, чтобы развернуть...
Текущий черновой вариант спецификации Webauthn находится здесь: Вебаутн
Когда вы регистрируете ключ доступа, веб-сайт видит, что это учетные данные для нескольких устройств, и имеет ли закрытый ключ резервную копию. В таком случае:
(Проверяющая сторона = Веб-сервер, в их терминологии «Клиент» = Браузер, «Аутентификатор» = Yubikey, например, или встроенный в телефон или компьютер «Аутентификатор платформы»)
Полномочия право на резервное копирование и текущий резервное состояние передается с помощью БЫТЬ и БСфлаги в данные аутентификатора, как определено в Стол .Ценность БЫТЬфлаг устанавливается во время аутентификаторMakeCredential операции и НЕ ДОЛЖНЫ меняться.
Ценность БСфлаг может меняться со временем в зависимости от текущего состояния источник учетных данных открытого ключа. Стол ниже определены допустимые комбинации и их значение.
БЫТЬ и БСфлаг комбинации
БЫТЬ БС Описание 0 0 Удостоверение представляет собой учетные данные для одного устройства. 0 1 Эта комбинация недопустима. 1 0 Удостоверение представляет собой учетные данные для нескольких устройств и в настоящее время нет резервная копия. 1 1 Удостоверение представляет собой учетные данные для нескольких устройств и в настоящее время резервная копия.
РЕКОМЕНДУЕТСЯ, чтобы Доверяющие стороны сохранить самое последнее значение этих флаги с учетная запись пользователя для будущей оценки.Ниже приводится неисчерпывающий список того, как Доверяющие стороны мог бы использовать эти флаги:
- Требуются дополнительные аутентификаторы:
Когда БЫТЬфлаг установлено значение 0, учетные данные учетные данные для одного устройства и создание аутентификатора никогда не позволит создать резервную копию учетных данных.
А учетные данные для одного устройства не устойчив к потере одного устройства. Доверяющие стороны СЛЕДУЕТ обеспечить, чтобы каждый учетная запись пользователя имеет дополнительные аутентификаторызарегистрированный и/или установлен процесс восстановления учетной записи. Например, пользователю может быть предложено настроить дополнительный аутентификатор, например роуминговый аутентификатор или аутентификатор который способен на учетные данные для нескольких устройств.
- Обновление пользователя до учетной записи без пароля:
Когда БСфлаг изменяется от 0 до 1, аутентификатор сигнализирует о том, что полномочия резервное копирование и защита от потери одного устройства.
Доверяющая сторона МОЖЕТ предложить пользователю повысить безопасность своей учетной записи и удалить пароль.
Нажмите, чтобы развернуть...
Таким образом, после того, как вы сгенерируете ключ доступа и создадите его резервную копию, сервер сможет узнать и предложить вам удалить пароль.
Если у меня есть пароль на старом телефоне Android, как мне перенести или настроить его на новом телефоне Android?
Вы даже не понимаете, почему ключи доступа являются мощной защитой от фишинга и MITM-атак? Тогда почему вы заполняете комментарии дезинформацией, если не провели фундаментальных исследований? Все это было четко объяснено в статьях, вы очень активно высказывались в комментариях.Джаррекс сказал:Я не понимаю, как это решит проблему целевого фишинга с атаками с повтором пароля. В большинстве случаев фишинговый MITM просто воспроизводит входные данные на сервер и выходные данные жертве, обычно с перенаправлением в конце. Эти типы атак по-прежнему работают и против устройств TOTP MFA, поэтому на самом деле это не те атаки, которые люди пытаются здесь предотвратить.Если мы говорим об субъектах национального государства, они просто собираются нацелиться на техническую поддержку всего, к чему они хотят получить доступ, поэтому обсуждение технологий для предотвращения этого бессмысленно.
И нет, я никогда не говорил, что Google хранит пароли в незашифрованной базе данных. Атаки с подстановкой учетных данных происходят не так. Обычно люди повторно используют пароли в нескольких местах, и более слабые сайты предоставляют те же пароли, которые использовались на сайтах, которые более безопасно защищают их серверную часть.
Я согласен с вашими предложениями по развертыванию, с одной оговоркой - на самом деле опубликуйте официальный документ, который не будет баловаться теории, такие как теория FIDO, утверждающая, что у пользователей «вероятно» будет второе устройство для восстановления, если их первое устройство потерян. И этот же технический документ также не должен просто предлагать, чтобы пароли использовались в качестве запасного варианта для новых устройств, на самом деле следует изложить план по полному удалению паролей, потому что это конечная цель верно? Мы должны знать, какие шаги мы собираемся предпринять, прежде чем доберемся до цели.
Нажмите, чтобы развернуть...
Кроме того, ранее вы сказали, что пароли редко подвергаются риску в момент использования и что учетные данные компрометации в основном связаны с атаками по словарю, подстановкой учетных данных и раскрытием незащищенного пароля. базы данных. Теперь вы говорите, что на самом деле существуют фишинговые атаки, которые успешны даже с TOTP, и NCSC и CISA заявляют, что фишинг по-прежнему является распространенным вектором атаки, поэтому я все же говорю, что вы ошибались ранее и что пароли все еще уязвимы точка использования.
Государства не собираются нацеливаться на техническую поддержку такого онлайн-сервиса, как Google, который включает в себя сквозное шифрование и уведомляет своих пользователей, если он подозревает попытку враждебного вторжения. Это было бы худшее, что они могли сделать. В лучшем случае они получат зашифрованный блок данных и рискуют, что цель, скорее всего, будет предупреждена и обратится за советом по безопасности.
Я рад, что вам понравился предложенный мной план действий, но я был саркастичен; то, что я предложил, на самом деле происходит сейчас, а что запланировано на будущее, как описано в этой статье…. Но не тратьте время на ожидание содержательных официальных документов, на протяжении десятилетий они были еще одним термином для обозначения «маркетингового маркетинга». всякую чушь для отправки бухгалтерам и высшему руководству», а целевая аудитория — это ИТ-специалисты, которые знают достаточно, чтобы быть опасный
Спецификации FIDO требуют, чтобы какой бы механизм синхронизации ни выбрал пользователь (будь то от Apple, Microsoft, Google или третьей стороны), он обеспечить сквозное шифрование, как в настоящее время это делает iCloud Keychain и синхронизация паролей с браузерами (в Chrome этот E2EE должен быть включенный).
Нажмите, чтобы развернуть...
Задокументировано ли это требование где-нибудь?
Я спрашиваю, потому что раньше у FIDO была служба метаданных для перечисления совместимых аутентификаторов. Согласно спецификации, они перечисляют только типы защиты ключей — и нет ничего между программным обеспечением и различными типами оборудования.
Спецификация здесь: Метаданные
См. 3.2 Типы защиты клавиш.
cse84 сказал:Поскольку вся суть системы паролей, по-видимому, заключается в избавлении от паролей, позвольте мне перечислить некоторые преимущества паролей:
- они достаточно просты, чтобы их мог понять любой, кто умственно способен управлять электронным устройством.
- их легко запомнить, если приложить хоть какие-то усилия и регулярно ими пользоваться.
- они работают на всех операционных системах «из коробки»
- им не требуется доступ в Интернет (некоторые системы отключены от сети по уважительной причине)
- они не требуют сотрудничества какой-либо третьей стороны
- они не требуют наличия смартфона или другого гаджета
- им не требуется Bluetooth, Wi-Fi, камеры или батареи
- их можно - в случае чрезвычайной ситуации - хранить без необходимости использования электричества.
- они могут быть легко переданы другому человеку без использования какого-либо устройства.
- если вы не инвалид и не пользуетесь смартфоном, аутентификация с помощью пароля займет всего несколько секунд
Нажмите, чтобы развернуть...
Ваши пункты №1, №2 и №10 просто неверны – спросите любого, кто работает в службе технической поддержки, как часто им приходится сбрасывать пароль, потому что кто-то забыл свой пароль, оставил включенной клавишу Caps Lock (или неправильно положил руку на клавиатуру) или подделал ее достаточное количество раз, чтобы ее заблокировали вне. Да, да, я знаю, что лично ты всегда прекрасно все решаешь, но поверь мне, любой, кому звонят в службу поддержки, имеет… менее оптимистичный… взгляд на человечество. Еще добавлю, что поддерживаю множество слепых пользователей и ввод паролей. массово это отстой для них, потому что многие сайты предъявляют требования к сложности, которые сложны для пользователей программ чтения с экрана, и если вы не опытный машинист вслепую, говорить об этом вслух — нехорошо. Это ниша, но многие люди, создающие системы аутентификации, по закону обязаны ее хорошо поддерживать, и это одна из причин, почему я заинтересован в ней. технология с момента «Хотите ли вы войти в систему, используя свой ключ доступа?» «Да» — это как минимум на порядок быстрее и проще, чем любая форма пароля + MFA для многих тех, кто пользователи.
Пункт №3 верен для WebAuthn MFA, но всегда с ключами доступа. Что-то вроде Yubikey работает везде, где есть USB/NFC, но вы можете необходимо установить PIN-код или использовать свои биометрические ключи для разработчиков ключей доступа, таких как Google.com, которым требуется нечто большее, чем простое кран.
Пункты №5, №6, №7 и №8 также справедливы для всех форм WebAuthn – как MFA, так и ключей доступа. Пункт №4 верен, за исключением случая, когда вы впервые регистрируете устройство при синхронизации существующего ключа. После первой синхронизации ключей вам не потребуется подключение к сети. Если вы не хотите синхронизировать, вы также можете купить пару биометрических ключей Yubikey, которые снова будут работать полностью в автономном режиме везде, где есть USB или NFC.
Остается №9, который является плохой практикой, и его следует избегать, если это вообще возможно. В современных системах есть такие вещи, как аутентификация на основе ролей, когда люди никогда не передают пароли, но нескольким людям разрешено брать на себя определенную роль, или такие вещи, как устаревшие или делегированные. учетные записи, в которых вы никогда больше не разглашаете пароли, а даете одному или, что еще лучше, нескольким людям в сочетании возможность сделать что-то вроде сброса пароля или получения контроля над ваши файлы.
Тот факт, что что-то новое, и вы не знаете, как оно работает, не означает, что это плохо или что этого следует избегать. Ключи доступа являются большим изменением для большинства из нас, за исключением .gov, поскольку PIV/CAC восходит к прошлому столетию, хотя других мест там немного. приняли его, но в дополнение к преимуществам безопасности у них есть ряд улучшений в удобстве использования, и есть четкий путь для его развития. некоторые недостающие части (например, мне очень нужна возможность синхронизировать ключ доступа Apple/Google с Yubikey, чтобы я мог сразу же положить его в свой сейф случай).
Джаррекс сказал:Я не говорю о других сервисах. Google опубликовал (как минимум) 5 сообщений в блогах, в которых говорилось, что ключи доступа убивают пароли, но ни разу не подробно описал, как ключи доступа будут работать отдельно от указанных паролей. Я использовал Bluetooth, чтобы попытаться донести свою точку зрения: не имеет значения, хорошо ли работают учетные записи Google для большинства людей, пароли по-прежнему используются в качестве резервной копии, что уничтожает всю цель ключей доступа в целом.Если пароли используются в качестве резервной копии, то ключи доступа не имеют смысла. Пароли по-прежнему будут храниться в базах данных аутентификации, пароли по-прежнему будут разглашаться, пароли по-прежнему можно будет использовать для захвата учетных записей людей. Ключи доступа в их нынешнем виде и форме бессмысленны, если у пользователей, использующих только ключи доступа, нет возможности добавлять новые устройства без паролей.
Резервные варианты — это не просто варианты: с точки зрения безопасности они определяют, действительно ли механизм безопасности улучшает общую безопасность аутентификации или нет.
Это не что насчет того, если сценарий по сути делает услугу бесполезной и бессмысленной во всех сценариях. И пока не появится рабочий процесс, позволяющий полностью отключить резервное копирование паролей и сохранить те же возможности, которые предоставляют пароли (доступ к учетным записям через любое устройство), то эта проблема будет там.
Если я спроектирую механизм открывания гаражных ворот, использующий PKI, и никто никогда не сможет имитировать связь моего открывателя с моим гаражом, но создаст запасной вариант, где он будет принимать обычные коды открывания гаражных ворот. Угадайте, что запасной вариант делает мою новую заставку совершенно бесполезной.
Это не шум, когда запасной вариант сводит на нет преимущества технологии.
Нажмите, чтобы развернуть...
Кажется, я где-то ответил на этот вопрос в другой теме, но пароли не требуются в качестве запасного варианта в конструкции без пароля. Вы можете просто использовать их в качестве механизма аутентификации.
Вы по-прежнему можете сохранить его как метод «Я потерял все свои ключи, давайте начнем процесс восстановления», точно так же, как «контрольные вопросы» для пароли или вы можете выбрать любой другой способ по вашему усмотрению («Я потерял все свои ключи, пришлите мне ссылку по электронной почте и отправьте SMS с кодом, который мне нужно ввести по ссылкам» формы"... или, если вы являетесь ИТ-специалистом компании, «подойдите в службу ИТ-поддержки и предъявите свой идентификатор сотрудника»). В этот момент вы бы не назвали это паролем, вы бы назвали это «ключом восстановления», и вместо того, чтобы позволить пользователю выберите его, вы создадите его при создании учетной записи и попросите их сохранить/распечатать, иначе они могут быть заблокированы вне.
У вас все равно найдутся люди, которые тоже это провалят, и это сводится либо к «невезению», либо «вот наш номер 1800…», или к чему угодно.
Но вы ни в коем случае не даете людям возможность вводить пароль, который можно было бы использовать в обычной форме входа в систему — они только вводят пароли в очень редкие особые случаи, когда они знают, что этого следует ожидать, потому что они начали процесс восстановления, потому что потеряли свои ключи.
Редактировать: Исправьте опечатку. Я могу замуровать службу ИТ-поддержки, и поверьте мне, иногда я уверен, что каждый из нас захочет этого, но я думаю, что ходьба обычно является более полезным процессом.
На самом деле это CTAP 2.2 и WebAuthn 3.SeanJW сказал:Это не просто так свалено на людей - это обновление FIDO2, второй версии стандарта. U2F был FIDO1; это CTAP 2.4 (кажется, я беру номер по памяти и могу ошибаться), часть FIDO2/WebAuthn. На самом деле в этом нет ничего сложного... они ослабили требования к аутентификатору, чтобы закрытый ключ можно было (должно было...) скопировать безопасно, и добавили некоторые функции Javascript, чтобы облегчить жизнь. Вход без пароля? Всегда это было возможно с FIDO2. В этом и интересная часть: FIDO1 может быть только MFA. Добавляете в браузер закрытый ключ, хранящийся в TPM или защищенном элементе? Всегда было возможно, и ранее было реализовано в Chrome, Firefox и Safari.. Новым является то, что его можно синхронизировать и получить к нему доступ через вздор BT/QR. Раньше его называли (и помечали на веб-сайтах) «ключами для конкретной платформы», в отличие от портативных ключей, которые представляли собой аппаратные устройства. Теперь это PassKeys.
Нажмите, чтобы развернуть...
Наконец-то опубликовали рабочий проект - это здесь:
Штучка с QR-кодом в итоге получила название Hybrid Transport (раздел 11.5). В протоколе наверняка много «кабельных» строк, потому что он основан на версии Google под названием «Bluetooth LE с облачной поддержкой».
Господин Кайт сказал:Извините, что причастен к крушению поезда, но ЧТО это за места, где написано «нет флэш-накопителей»? Я не могу вспомнить ни одного контекста, связанного с персональными устройствами, где это имело бы смысл.
Нажмите, чтобы развернуть...
Не личные устройства, а компании и особенно государственные. Есть две проблемы: первая заключается в том, что USB-накопитель является локальным хранилищем и потенциально опасен. люди провели тесты, в которых можно было вставить USB-ключи в парковка рядом со зданием, и некоторая часть людей подключает их к своему рабочему компьютеру, что было бы отличным способом проникнуть в защищенное сеть. Другой — для любого места, где есть данные, над которыми они не хотят потерять контроль: если вы можете использовать флэш-накопитель, вы можете скопировать на него данные и взять их с собой. вынести его из здания, где это потенциально может стать катастрофой (намеренно или нет) — представьте, что кто-то из отдела кадров хочет работать дома, а затем выбрасывает ключ с тысячами записей о персонале, и вам придется раскрыть информацию о нарушении для всех из них на случай, если кто-то злоумышленник обнаружит это.
Самый простой ответ в обоих случаях — заблокировать USB-накопители большой емкости, чтобы вы могли разрешить использование таких устройств, как клавиатуры и микрофоны, но не хранилище. Это все еще предлагает некоторые атаки - известный старый был https://lcamtuf.coredump.cx/plasma_globe/ - так что места могут пойти еще дальше. Прошло совсем немного времени, пару десятилетий назад, когда я был на встрече местной службы безопасности с некоторыми людьми из объекта военно-морского флота SPAWAR, они сказали. их система защиты представляла собой трубку с эпоксидной смолой: дешевле было заплатить кому-нибудь, чтобы ее выточили, а кто-то другой наблюдал несколько раз в год, чтобы заменить сломанную клавиатуру или мышь, чем пытаться выяснить все возможные способы, которыми кто-то может использовать что-то вроде USB, Firewire, и т. д. Это крайний случай, но стоит помнить, что если у вас есть реальная цена потери контроля над ваши компьютеры или данные, возможно, будет дешевле ограничить количество людей, которые могут подключаться к компьютерам, на которых они хранятся. данные. Я знаю людей, работающих в регулируемых отраслях, у которых есть определенные вещи, которые они могут делать только на заблокированных терминальных серверах по той же причине — существует верхний предел того, как быстро вы можете удалить данные, если кому-то придется распознавать сеанс удаленного рабочего стола, удерживая нажатой страницу. Клавиша вниз.
Я с вами не согласен — регистрация учетной записи с помощью ключей доступа проще по сравнению с настройкой «введите имя пользователя, затем введите пароль, затем введите код 2FA/подтверждение». Вход в систему совершенно прост по сравнению с жонглированием паролями и учетными данными 2FA.Нум Лок сказал:Я опаздываю на эту вечеринку, но да... Я уже вижу надпись «введите имя пользователя, далее, введите пароль, далее». «введите код 2FA/подтвердить запрос» раздражает, но я понимаю, что это принесет пользу мне и моим работодатель. Для меня это… слишком много по сравнению с риском стать жертвой фишинга, когда у меня уже есть уникальные пароли автоматического создания и MFA для всего, что может его принять.Среднестатистический Джо или Джейн, которым это нужно больше всего, не может даже вспомнить свои пароли, не записав их, и не может разобраться в менеджере паролей, который отключается задолго до того, как я даже разозлюсь. Они не смогут настроить это в одиночку, и если кто-то проведет их через настройку, в первый раз, когда они столкнутся с этим потоком, они придут в ярость. Я помогал «компьютерным неграмотным» выполнять базовые задачи, такие как подписка на электронную почту. Тривиальное двухминутное упражнение для читателей Ars — это полчаса ада для них.
Нажмите, чтобы развернуть...
Большинству компьютерно неграмотных людей гораздо удобнее пользоваться телефоном, чем ноутбуком или настольным компьютером. Биометрическая аутентификация по отпечатку пальца или распознаванию лица более естественна для них, чтобы разблокировать телефон или получить доступ к нему. банковские/мессенджеры. По моему недавнему опыту, ключи доступа упрощают все эти действия.
В качестве примера уровня компьютерной грамотности члена моей семьи, который совершенно легко использует ключи доступа в своей учетной записи eBay: тот же человек недавно попросил меня разобраться в проблеме. со своим ноутбуком, потому что окно браузера было слишком маленьким уже больше недели - они не осознавали, что края и углы окна можно перетаскивать левой кнопкой мыши, чтобы изменить размер окно…
Доступ к eBay с использованием паролей на iPhone и MacBook (оба устройства TouchID) для этого человека ВСЕ ЕЩЕ был простым.
Apple еще не закончила.SeanJW сказал:Вздох. Все равно опоздал на вечеринку. Google готовит из этого собачий завтрак, что никого не удивляет, но у них есть работающие вещи. Apple повсюду сделанный. Microsoft опирается на Google (хотя, честно говоря, они выполняют часть Windows Hello, которая нужна Google для Windows).Неудивительно, что я ненавижу тестировать FIDO2 в Firefox (особенно в Linux).
Нажмите, чтобы развернуть...
Им необходимо реализовать API, позволяющий стороннему менеджеру паролей перехватывать хранилище закрытых ключей, или разрешить стороннему плагину быть полным аутентификатором — создать пару ключей, подтверждение подписи, проверку пользователя, и т. д.
Если Apple разрешит хранить только закрытые ключи в iCloud, мне будет сложно рекомендовать ключи доступа группе пользователей, использующих iPhone и компьютеры с Windows. Эти люди застрянут, создавая один ключ доступа для каждой экосистемы и/или надеясь, что восстановление учетной записи сработает.
Господин Кайт сказал:Учетная запись, на которую вы отвечаете, похоже (возможно, намеренно) неправильно понимает, что Google каким-то образом использует пароль для входа на другой сайт. Слова «Код доступа Google», идущие подряд в заголовке, похоже, заставили некоторых задуматься, что это предоставляемая ими услуга, делающая людей зависимыми от доброй воли Google или чего-то еще.Я полусерьезно начинаю думать, что отчасти разгорающаяся здесь истерия вызвана бот-фермами, которыми управляют преступники, защищающие свой бизнес.
Нажмите, чтобы развернуть...
В самой статье говорится «любой механизм синхронизации, который выберет пользователь (будь то от Apple, Microsoft, Google или третьей стороны)». Поэтому надежность промежуточной инфраструктуры, обеспечивающей синхронизацию ключей, является важным вопросом. Экосистема, обрабатывающая ключи, имеет большое значение, и сейчас, похоже, не существует альтернативы, кроме крупных корпораций.
В комментариях также говорилось о более широком использовании ключей доступа и о том, как это может выглядеть, а не просто о входе в Google, так что, возможно, это сбивает с толку? Когда эта технология только заработает, самое время задуматься о потенциальных последствиях. Люди в сфере технологий уже видели, насколько плохо могут пострадать частные корпорации, владеющие ключевыми элементами инфраструктуры.
Если бы Дэн сосредоточился на ответах на такие вопросы, как SeanJW или группа других пользователей, вместо того, чтобы высокомерно обсуждать дезинформация (когда он изначально в самой статье неправильно понял требования к Bluetooth, лол) всего было бы много спокойнее.
fvgfvghvgv сказал:Вы даже не понимаете, почему ключи доступа являются мощной защитой от фишинга и MITM-атак? Тогда почему вы заполняете комментарии дезинформацией, если не провели фундаментальных исследований? Все это было четко объяснено в статьях, вы очень активно высказывались в комментариях.
Нажмите, чтобы развернуть...
Хм, только что просмотрел все статьи, и ни одна из них не объясняет, как это предотвращает атаки MITM. Если у меня есть веб-сайт и я обманом заставляю вас его посетить, я не вижу причин, по которым он не будет подвержен атакам MITM.
Клиент вредоносный сервер <> истинное приложение
Вредоносный сервер связывается с приложением от имени клиента, запрашивает у клиента подпись, а затем передает ее обратно приложению. Для этого им не нужен закрытый ключ, им просто нужно, чтобы приложение запросило ключ, а клиент ответил правильным ключом. Этот механизм можно в определенной степени смягчить на стороне сервера, но это относится к паролям и ключам доступа.
Тип фишинга, который это предотвращает, — это веб-сайт статического сбора учетных данных, который выдает себя за страницу входа в систему, но на самом деле ничего не передает на реальный сайт. И это также упускает из виду суть вашего следующего абзаца.
Кроме того, ранее вы сказали, что пароли редко подвергаются риску в момент использования и что учетные данные компрометации в основном связаны с атаками по словарю, подстановкой учетных данных и раскрытием незащищенного пароля. базы данных. Теперь вы говорите, что на самом деле существуют фишинговые атаки, которые успешны даже с TOTP, и NCSC и CISA заявляют, что фишинг по-прежнему является распространенным вектором атаки, поэтому я все же говорю, что вы ошибались ранее и что пароли все еще уязвимы точка использования.
Нажмите, чтобы развернуть...
«Точка использования» находится в режиме реального времени. Атаки повторного воспроизведения редки и могут быть смягчены на стороне веб-приложения. Подстановка учетных данных не является «точкой использования» — она используется всякий раз, когда ее хочет использовать злоумышленник, а не клиент.
Фишинг определенно широко распространен, но я никогда не говорил, что это не так. Я говорю, что при резервном копировании паролей ключи доступа не помогают смягчить указанные фишинговые атаки, поскольку резервная копия становится жертвой той же методологии атаки, что и старый механизм аутентификации.
Национальные государства определенно нацелены на техническую поддержку, притворяющуюся сотрудниками, для перезагрузки устройств / MFA. Так что понятия не имею, о чем вы здесь говорите.Государства не собираются нацеливаться на техническую поддержку такого онлайн-сервиса, как Google, который включает в себя сквозное шифрование и уведомляет своих пользователей, если он подозревает попытку враждебного вторжения. Это было бы худшее, что они могли сделать. В лучшем случае они получат зашифрованный блок данных и рискуют, что цель, скорее всего, будет предупреждена и обратится за советом по безопасности.
Нажмите, чтобы развернуть...
Я прекрасно понимал, что ты иронизируешь. Я ответил сардонически, так как план по удалению паролей никто не показывал (до стр. 14).Я рад, что вам понравился предложенный мной план действий, но я был саркастичен; то, что я предложил, на самом деле происходит сейчас, а что запланировано на будущее, как описано в этой статье…. Но не тратьте время на ожидание содержательных официальных документов, на протяжении десятилетий они были еще одним термином для «маркетинговой чепухи». разослать бухгалтерам и высшему руководству», а целевая аудитория — ИТ-специалисты, которые знают достаточно, чтобы быть опасными
Нажмите, чтобы развернуть...
