Учетные записи Google без пароля проще и безопаснее, чем пароли. Вот почему.

Эх...

Насколько я понимаю, это новый отраслевой стандарт, а не только разработка Google. Я подожду, пока Apple и Microsoft полностью реализуют его, прежде чем беспокоиться, поскольку я на самом деле не использую другие продукты Google, кроме YouTube.

Нет, это кроссплатформенная поддержка — это мусор, и она не работает. Так что разбудите меня, когда они все сделают правильно, я продолжу использовать эти юбикеи.

Из статьи:
«Некоторые скептики в отношении пароля выражают обеспокоенность по поводу того, что можно доверить инфраструктуре Apple, Google или Microsoft секретный ключ. Некоторые из этих критиков зашли так далеко, что заявили, что ключи доступа — это силовая игра, призванная дать этим компаниям контроль над секретами аутентификации, который ранее был невозможен. Эти утверждения просто не соответствуют действительности».

По крайней мере, для меня это неверная характеристика проблемы. Например, есть ужасные истории (о них сообщается здесь на ARS) о том, как Google отключил учетную запись мужчины за то, что он поделился фотографиями своего ребенка со своим врачом. Если все мои пароли будут привязаны к экосистеме Google и произойдет что-то подобное, я полностью облажаюсь и не смогу работать.

Однако решение достаточно простое: не доверяйте поставщику оборудования, а храните ключи доступа только в чем-то кроссплатформенном и с открытым исходным кодом, например Bitwarden. Для меня это единственный способ начать использовать ключи доступа.

Изменить, чтобы добавить:
Да, я знаю, что Bitwarden сегодня не имеет полной поддержки ключей доступа. Это в работе:
Вид: https://www.reddit.com/r/Bitwarden/comments/136j90t/did_you_know_bitwarden_is_working_on_passkey/

Ключи доступа — это круто и хорошо. Но нет, я не буду использовать Google и др. Я возьму что-нибудь с полностью открытым исходным кодом и позволит мне создавать независимые резервные копии моих ключей, большое спасибо.

Насколько я могу судить, смысл этого заключается в замене вещи, которую вы знаете (то есть пароля) на «Вещь, которую вы имеете» (ваш телефон) в сочетании с «Вещью, которой вы являетесь» (биометрическая проверка на вашем телефоне). телефон).

Это само по себе улучшение, но недостатком является то, что движущихся частей становится гораздо больше, что увеличивает количество режимов отказа и затрудняет их обоснование. Самый простой вопрос: что будет, если вы потеряете телефон? Другой вопрос: существует несколько реализаций Passkey, верно? Как они взаимодействуют?

Говоря о движущихся частях, меня несколько беспокоят требования Bluetooth. Например, я не думаю, что когда-либо использовал настольный компьютер с Bluetooth. И как веб-страница, на которую вы входите, устанавливает исходящее соединение Bluetooth с вашим телефоном? Разве для этого не требуется взаимодействие браузера и ОС? Какие стандарты при этом используются? Что произойдет, если вы используете систему, в которой по какой-то причине этого нет? Есть ли запасной вариант?

Редактировать: Кроме того, для начала в этом документе отсутствует простое объяснение того, что на самом деле представляют собой ключи доступа. являются и как они работают!

4 полных прокрутки страницы спустя... да, похоже, что это будет легко приобрести...

Пароли лучше, чем ключи доступа.
Они могут быть изменены, не основаны на каком-то предмете, который можно потерять или украсть, и не основаны на каком-либо типе биометрии.

Я предполагаю, что всем настольным компьютерам с Windows, используемым в бизнесе и правительстве, для реализации этого потребуется множество Bluetooth-ключей.

Возможно, это только я, но меня просто не интересуют требования Bluetooth. Я не подключаю свой телефон к каждому устройству, потому что мне это не нужно, и я не хочу выполнять рутинную работу по его смене, когда я забываю отключиться от одного устройства. Если бы это была сеть Wi-Fi, это не было бы проблемой. Кроме того, как это будет работать для виртуальной машины? А как насчет виртуальной машины, расположенной в центре обработки данных в другом месте страны? Я не смогу использовать его, пока это тоже не будет выяснено.

Если они синхронизируются с помощью службы «Связка ключей iCloud», то нет ли по определению способа извлечь ключи из устройства, на котором они созданы? Разве совсем недавно не было статьи о новом вредоносном ПО для macOS, которое может украсть элементы iCloud Keychain?

Ты их включил, да?

Нажмите, чтобы развернуть...

Нет, и абсолютно чертовски нет.

Каждая система, которая, по-видимому, способна хранить ключи доступа, требует от вас доверия к большой тройке (Apple, Google, Microsoft), которая не удалит вашу учетную запись без предупреждения. В моем случае, если Apple удалит мою учетную запись iCloud и связку ключей, я потеряю доступ ко всему, что защищено паролем. Сравните это с тем, что произойдет сейчас, если я уничтожу свой основной Юбикей: я пойду в свой банк, покажу им два формы удостоверения личности, используйте мой физический ключ, чтобы получить резервную копию Yubikey из сейфа, и продолжайте жизнь.

До тех пор, пока не возникнут серьезные и долгосрочные последствия для компаний, предоставляющих инфраструктурные услуги, действующих в одностороннем порядке, я ни за что не буду использовать это. KeyPass/BitWarden может генерировать пароли произвольной надежности. Вы можете купить столько ключей Webauthn, сколько захотите, у различных поставщиков. Используя ключи доступа, вы находитесь в одном (автоматическом, не подлежащем обсуждению) удалении от постоянной блокировки всей вашей онлайн-жизни.

Если вы хотите передать эту власть компании, будьте моим гостем. Я подожду, пока к этому будут относиться как к отключению водопроводных или энергетических компаний без видимой причины: большие и вредные штрафы.

Я работаю над системой безопасности, для которой требуется настольный компьютер, смартфон, наушники Bluetooth, электронная книга и домашний помощник. Это будет самый простой и надежный способ

Недавно во время путешествия у меня был случай, когда телефон упал и сломался, и его невозможно было использовать, а у моего друга было 2 фактора. включение аутентификации с помощью приложения Duo, а также менеджера паролей, когда они пытаются получить свой новый телефон оперативный.

Если бы не нарушение лучших практик и не заставление кого-нибудь дома войти в свой ноутбук, моему другу пришлось бы дорого поехать домой, чтобы во всем разобраться.

Это не значит, что безопасность не важна, просто мне на самом деле показали, что аутентификация на нескольких устройствах может быть очень опасной вещью. Если бы мой друг в этой ситуации был ограничен паролями, он бы застрял, потому что старый телефон не работал. И у них не было бы другого способа отключить опцию пароля, кроме как попросить кого-то другого сделать это за них.

Аккаунт Google был произвольно заблокирован, а затем пришлось обращаться в службу поддержки Google, чтобы выяснить, почему... я ни за что не положу все свои яйца аутентификации в корзину Google.

Я не хочу, чтобы какая-то одна компания была хранителем всех моих онлайн-входов. Если я потеряю доступ к этой учетной записи, я потеряю доступ ко всем своим учетным записям.

И я не хочу делать его зависимым от какого-либо отдельного физического устройства. Потеряете устройство, потеряете весь доступ.

Созданные надежные пароли, хранящиеся в менеджере паролей, позволяют избежать обеих проблем.

Почему все эти новости подталкивают и подталкивают людей принять то, что не до конца готово? Ключи доступа заменяют пароли или нет, мне очень странно выходят все эти статьи, постоянно напоминающие нам о необходимости перехода на ключи доступа. На прошлой неделе на Арсе был буквально один такой случай.

Я думаю, что аудитория ARS находится на шаг впереди всех с точки зрения использования менеджера паролей и обеспечения безопасности своих учетных данных. У многих нормальных людей нет реальной системы хранения своих паролей, и у них полный беспорядок, из-за которого им приходится восстанавливать пароль практически каждый раз, когда они входят в систему. Подключение этих людей к безопасной и надежной системе было бы для них большим улучшением. Посмотрим, помогут ли в этом ключи доступа. На данный момент это звучит слишком запутанно и неполно, чтобы я мог предложить кому-то подобное попробовать.

Бальтазар сказал:

Так какой же запасной вариант, если ваш телефон потерян/украден/уничтожен/и т. д.?

Нажмите, чтобы развернуть...
По крайней мере, на стороне Apple ключи доступа синхронизируются через iCloud Keychain. Поэтому, если у вас несколько устройств, ключи доступа будут работать на всех из них. Я могу легко войти в систему с помощью телефона, настольного компьютера Mac, iPad и т. д.

Я думаю, что многие проблемы и опасения, связанные с восстановлением и поддержкой нескольких устройств, исчезнут, как только вы начнете получать сторонние решения для доступа к паролям от таких компаний, как 1Password и Bitwarden (и я предполагаю, что кто-то работает над FOSS вариант). Миллионы людей уже доверяют им все свои пароли; доверить им ключи доступа на самом деле ничем не отличается, но это более безопасно. Я ожидаю, что в какой-то момент мы также получим более простые варианты резервного копирования или экспорта ключей доступа, аналогичные тому, как вы это делаете сегодня для паролей.



Тем не менее, меня интересует проблема «среднего пользователя». Ключи доступа предназначены для повышения безопасности таких людей, как моя мама, которые везде используют одни и те же пароли и для которых любой вид 2FA настолько раздражает, что они никогда его не используют. Если человек является идеальным человеком, который остается в одной единой экосистеме, ключи доступа определенно гораздо более безопасны.

Но не все и даже не большинство людей такие. Нет никакой гарантии, что моя мама будет использовать Android для своего следующего телефона, и она не живет в Экосистема Google повсюду — вместо этого у нее мешанина аккаунтов на множестве устройств и сервисов. Она всегда поступала так, и я не уверен, что она захочет или даже сможет измениться сейчас.

Я бы даже сказал, что простота использования может вызвать проблемы с ключами доступа. Поскольку процесс входа в систему настолько прост, среднестатистический человек может даже не понимать, что происходит, кроме «Я вхожу в систему со своего телефона». Знает ли моя мама, как решить эту проблему, если она потеряет свой телефон или перейдет с Android на iOS?

Я уверен, что многое то же самое касается многих, многих других людей. Со временем люди научатся, и технические тонкости будут решены, но это означает, что на самом деле пройдут годы или даже десятилетия, прежде чем ключи доступа станут по-настоящему повсеместными.

Последнее сообщение в блоге

Вы готовитесь к Коронавирусу?
November 16, 2023

Сегодняшняя порция безумного отрицания продолжения Covid:«Регистрация пациентов с постковидным заболеванием на национальном уровне в Нидерландах не...

Вы готовитесь к Коронавирусу?
November 16, 2023

Сегодняшняя порция безумного отрицания продолжения Covid:«Регистрация пациентов с постковидным заболеванием на национальном уровне в Нидерландах не...

Этика фиксированной платы за коммунальные услуги, основанной на доходе
November 16, 2023

Контекст: https://ktla.com/news/local-news/california-power-companies-roll-out-fixed-rate-bill-proposal/Калифорния, которая находится на переднем к...