Учетные записи Google без пароля проще и безопаснее, чем пароли. Вот почему.

Такое ощущение, что тот, кто держит палец на кнопке «продвигать», не пытается представить других интересные взгляды, но вместо этого снабжает читателя повествованием, чтобы попытаться выиграть какой-то Интернет-спор.

Как насчет того, чтобы подумать немного, прежде чем лгать такими очевидными способами?

Закрытый ключ должен быть доступен во время аутентификации тем, кто когда-либо аутентифицирует, иначе он не сможет этого сделать. Никакой волшебной математики списка не существует.

Даже безопасный анклав не изменит этого, поскольку, очевидно, он сам имел доступ. Таким образом, можно также генерировать открытые ключи из этого закрытого ключа без ущерба для безопасности.

Если нет, то это выбор дизайнеров, а не техническое ограничение.

Похоже, что вся схема вращается вокруг одного вида угроз: фишинга. Все в нем создано для предотвращения атак этого типа – все остальные опасения просто игнорируются.
Мне очень нравится идея усложнить фишинговую атаку, но ради этого приходится жертвовать слишком многим.

Кроме того, мне не нравится мантра об устаревших паролях. Хотя эта система более безопасна (от фишинга) и, возможно, лучше подходит для повседневного использования, пароль должен оставаться там, по крайней мере, в качестве резервной формы аутентификации, чтобы вы могли добавить новую (или заблокировать утерянную) устройство. Да, устройство, а не устройство, ведь оно есть у большинства людей, которых я знаю. Особенно менее технически подкованные люди — точно такая же группа, которая более уязвима для фишинга.

Преимущества:
1. Иммунитет к фишингу.
2. Секретная информация (ПИН-код, биометрия, закрытый ключ) хранится локально.

Недостатки:
1. Вариант использования одного устройства не обрабатывается (не без резервного пароля)
2. Требование Bluetooth.
3. В случае биометрической (в отличие от PIN*) разблокировки:
а) уязвим для злонамеренного супруга/соседа по комнате/... (они могут прижать палец к устройству, пока вы спите)
б) репрессивные государственные деятели могут войти во все, что захотят. По крайней мере, там, где я живу, у вас не могут просто так выбить пароль, но прижимание устройства к пальцу не будет считаться чрезмерным применением силы.

Похоже, что вся схема вращается вокруг одного вида угроз: фишинга. Все в нем создано для предотвращения атак этого типа – все остальные опасения просто игнорируются.
Мне очень нравится идея усложнить фишинговую атаку, но ради этого приходится жертвовать слишком многим.
Кроме того, мне не нравится мантра об устаревших паролях. Хотя эта система более безопасна (от фишинга) и, возможно, лучше подходит для повседневного использования, пароль должен оставаться там, по крайней мере, в качестве резервной формы аутентификации, чтобы вы могли добавить новую (или заблокировать утерянную) устройство. Да, устройство, а не устройство, ведь оно есть у большинства людей, которых я знаю. Особенно менее технически подкованные люди — точно такая же группа, которая более уязвима для фишинга.

Преимущества:
1. Иммунитет к фишингу.
2. Секретная информация (ПИН-код, биометрия, закрытый ключ) хранится локально.

Недостатки:
1. Вариант использования одного устройства не обрабатывается (не без резервного пароля)
2. Требование Bluetooth.
3. В случае биометрической (в отличие от PIN*) разблокировки:
а) уязвим для злонамеренного супруга/соседа по комнате/... (они могут прижать палец к устройству, пока вы спите)
б) репрессивные государственные деятели могут войти во все, что захотят. По крайней мере, там, где я живу, у вас не могут просто так выбить пароль, но прижимать устройство к пальцу не будет считаться чрезмерным применением силы.
в) уязвимы к физическому нападению (опять же, выбить из вас пароль сложнее, чем удержать вас и разблокировать устройство пальцем)

Итак, если парень получает удаленный доступ к вашему телефону, а затем клонирует ваш телефон вместе с имеющимся у вас зашифрованным мастер-ключом, означает ли это, что он получит неограниченный доступ к вашей учетной записи? Я просто не понимаю, чем это лучше, чем аутентификатор, который меняет ключ каждую минуту, по сравнению с системой без пароля с одним-единственным ключом, который никогда не меняется.

Физический доступ на самом деле не нужен, когда они получают удаленный доступ. Поскольку они могут делать все, когда экран заблокирован, и единственным верным признаком является тот факт, что ваш телефон нагревается, а вы ничего не делаете.

Дезинформация публикуется как «просто задаю вопросы».

Хорошо, мы уже дважды слышали, что вам не нравится мой тон. Можем ли мы двигаться дальше, или ты хочешь сказать мне в третий раз?

Централизованная система, хранящая все ваши пароли, звучит как гарантированная ожидающая катастрофа. Что плохого в том, чтобы позволить отдельным службам безболезненно назначать вам ключи доступа к ним? Я уже вхожу в gitlab с паролем (на самом деле я думаю, что это либо обязательно сейчас, либо скоро); gitlab хранит открытый ключ, а мое устройство хранит секретный ключ. Все хорошо. Я был бы рад войти в службы Google таким же образом: Google хранит открытый ключ, а мое устройство хранит секретный ключ. То же самое касается Amazon, BBC и т. д. и т. д. Каждый провайдер хранит свой секретный ключ для моего пароля для соответствующей услуги.

Но ни в коем случае я не должен полагаться на один сервис для хранения все открытые ключи к моим паролям для всех служб. Если услуга исчезнет... (И да, на данный момент все обратно совместимо с входом по паролю, но как долго?)

Централизованная система, хранящая все ваши пароли, звучит как гарантированная ожидающая катастрофа. Что плохого в том, чтобы позволить отдельным службам безболезненно назначать вам ключи доступа к ним? Я уже вхожу в gitlab с паролем (на самом деле я думаю, что это либо обязательно сейчас, либо скоро); gitlab хранит открытый ключ, а мое устройство хранит секретный ключ. Все хорошо. Я был бы рад войти в службы Google таким же образом: Google хранит открытый ключ, а мое устройство хранит секретный ключ. То же самое касается Amazon, BBC и т. д. и т. д. Каждый провайдер хранит свой секретный ключ для моего пароля для соответствующей услуги.

Но ни в коем случае я не должен полагаться на один сервис для хранения все открытые ключи к моим паролям для всех служб. Если услуга исчезнет... (И да, на данный момент все обратно совместимо с входом по паролю, но как долго?)

Нет, это не мой тон. Дело в том, что я не с радостью терплю дезинформированные комментарии в этой теме. Люди злятся, когда кто-то достаточно настойчив, чтобы назвать ерундой вещи, которые нетрудно опровергнуть любому, кто приложит минимальные усилия для чтения спецификации.

Судя по тому, что я прочитал в статье, это не централизованная система. Это просто новая система аутентификации, и никакой «централизованный сервис» вообще не является частью аутентификации. Это одна из его сильных сторон. У меня могут быть сомнения по этому поводу (см. мои предыдущие посты), но это не одно из них.

Я не могу пользоваться этими услугами, поскольку не могу передавать пароли жене без уплаты комиссии.

Почему я должен платить за доступ к безопасности? Если моя кредитная карта отклоняется, и я не замечаю этого сразу, угадайте, какие ваши пароли пропали.

Доверять им — все равно, что доверять Facebook. Посмотрите взлом LastPass по разным причинам «нет». Ваши пароли — их продукт.

Централизованная система, хранящая все ваши пароли, звучит как гарантированная ожидающая катастрофа. Что плохого в том, чтобы позволить отдельным службам безболезненно назначать вам ключи доступа к ним? Я уже вхожу в gitlab с паролем (на самом деле я думаю, что это либо обязательно сейчас, либо скоро); gitlab хранит открытый ключ, а мое устройство хранит секретный ключ. Все хорошо. Я был бы рад войти в службы Google таким же образом: Google хранит открытый ключ, а мое устройство хранит секретный ключ. То же самое касается Amazon, BBC и т. д. и т. д. Каждый провайдер хранит свой секретный ключ для моего пароля для соответствующей услуги.

Но ни в коем случае я не должен полагаться на один сервис для хранения все открытые ключи к моим паролям для всех служб. Если услуга исчезнет... (И да, на данный момент все обратно совместимо с входом по паролю, но как долго?)

Они есть нет сидя за клавиатурой и придумывая новые способы утопить мир в ерунде в гнусных целях. Это не какая-то астротурная кампания. Но некоторые посетители здесь, в том числе и Дэн, относятся к ним именно так. Не помогает то, что Дэн часто неправильно понятый критика или вопросы этих людей и ответы на вопросы, которых у них не было; очевидно, что проблема понимания прочитанного не всегда односторонняя.

лол да, конечно, я расскажу тебе шаг за шагом, как это сделать.
Какой-то дебильный вопрос. Если вы не знаете, хорошо, это не значит, что это невозможно сделать. Ни один идиот не станет рисковать всем, чтобы доказать свою неправоту в незначительной теме.

Спасибо, что сказали это. Ответы Дэна и других (например, @ВБДпродвигаемый комментарий, цитирующий мой) основан на фундаментальном неправильном прочтении комментария.

Я не хочу доверять своему поставщику ОС (в моем случае Apple для мобильных и настольных устройств) ключи доступа, и мне постоянно отвечают: «Но вы УЖЕ ДОВЕРЯЙТЕ GOOGLE СВОЙ ПАРОЛЬ». Да, хорошо, я ввожу длинный случайный пароль от BitWarden/KeePass, подключаю свой Yubikey и нажимаю кнопку кнопка. Это ни в коем случае не зависит от моего провайдера ОС.

И конечно, прямо сейчас есть возможность не использовать пароли и использовать пароль, как раньше, но весь поезд технологической шумихи движется к «Больше никаких паролей для паролей». ВСЕ», и если я скажу: «Но подождите, если меня заблокируют во всех остальных учетных записях, потому что мой провайдер ОС решит, что я ему не нравлюсь, что произойдет», меня назовут троллем и дезинформирован. Есть также много крайних случаев, о которых я могу думать, когда это не работает, и вместо того, чтобы сказать: «Да, эти являются обоснованными опасениями в будущем, в котором мы хотим иметь доступ только к ключам», — существует постоянная критика любого допрос.

Спасибо, что сказали это. Ответы Дэна и других (например, @ВБДпродвигаемый комментарий, цитирующий мой) основан на фундаментальном неправильном прочтении комментария.

Я не хочу доверять своему поставщику ОС (в моем случае Apple для мобильных и настольных устройств) ключи доступа, и мне постоянно отвечают: «Но вы УЖЕ ДОВЕРЯЙТЕ GOOGLE СВОЙ ПАРОЛЬ». Да, хорошо, я ввожу длинный случайный пароль от BitWarden/KeePass, подключаю свой Yubikey и нажимаю кнопку кнопка. Это ни в коем случае не зависит от моего провайдера ОС.

И конечно, прямо сейчас есть возможность не использовать пароли и использовать пароль, как раньше, но весь поезд технологической шумихи движется к «Больше никаких паролей для паролей». ВСЕ», и если я скажу: «Но подождите, если меня заблокируют во всех остальных учетных записях, потому что мой провайдер ОС решит, что я ему не нравлюсь, что произойдет», меня назовут троллем и дезинформирован. Есть также много крайних случаев, о которых я могу думать, когда это не работает, и вместо того, чтобы сказать: «Да, эти являются обоснованными опасениями в будущем, в котором мы хотим иметь доступ только к ключам», — существует постоянная критика любого допрос.

лол да, конечно, я расскажу тебе шаг за шагом, как это сделать.
Какой-то дебильный вопрос. Если вы не знаете, хорошо, это не значит, что это невозможно сделать. Ни один идиот не станет рисковать всем, чтобы доказать свою неправоту в незначительной теме.

Спасибо, что сказали это. Ответы Дэна и других (например, @ВБДпродвигаемый комментарий, цитирующий мой) основан на фундаментальном неправильном прочтении комментария.

Я не хочу доверять своему поставщику ОС (в моем случае Apple для мобильных и настольных устройств) ключи доступа, и мне постоянно отвечают: «Но вы УЖЕ ДОВЕРЯЙТЕ GOOGLE СВОЙ ПАРОЛЬ». Да, хорошо, я ввожу длинный случайный пароль от BitWarden/KeePass, подключаю свой Yubikey и нажимаю кнопку кнопка. Это ни в коем случае не зависит от моего провайдера ОС.

И конечно, прямо сейчас есть возможность не использовать пароли и использовать пароль, как раньше, но весь поезд технологической шумихи движется к «Больше никаких паролей для паролей». ВСЕ», и если я скажу: «Но подождите, если меня заблокируют во всех остальных учетных записях, потому что мой провайдер ОС решит, что я ему не нравлюсь, что произойдет», меня назовут троллем и дезинформирован. Есть также много крайних случаев, о которых я могу думать, когда это не работает, и вместо того, чтобы сказать: «Да, эти являются обоснованными опасениями в будущем, в котором мы хотим иметь доступ только к ключам», — существует постоянная критика любого допрос.

Нет, это 100% резкость, тон, пренебрежение и стуки в груди. Упрямое отрицание является чем-то новым.

Гугл, да, верно. Все важное в моей жизни находится в моей голове. Второстепенные элементы закодированы и физически записаны в нескольких местах. Fluff веб-сайты и приложения? Конечно, я воспользуюсь менеджером паролей. Меня не убьет, если я потеряю доступ к чему-либо из этого.

Ключи доступа не показались мне простыми и интуитивно понятными. По крайней мере, все понимают пароль.

Согласно passkeys.directory, ebay это позволяет. Для этого мне, видимо, нужно загрузить приложение ebay на свой телефон. Я не хочу; Мне неоднократно говорили, что приложения позволяют компаниям отслеживать вас. И в любом случае я не хочу больше приложений на своем телефоне. Ключи просто ведут нас дальше в кроличью нору? Думаю, я бы использовал его, если бы мог сделать это через 1Password.

Вы вообще читали статью?

Настройка ключа доступа для входа в свою учетную запись Google != использование учетной записи Google для хранения ключей доступа.

Верите ли вы, что, поскольку у вас есть пароль, с помощью которого вы входите в Google, вы автоматически предоставляете им доступ ко всем паролям, которые вы используете для входа в любую другую учетную запись? Потому что вы, похоже, руководствуетесь этой логикой в ​​отношении ключей доступа.

По сути, это пароли, которые ваше устройство придумывает, чтобы вам не приходилось с ними связываться, вам не нужно было их запоминать и вам не нужно было ими управлять. Выполнение представляет собой трясину деталей, но по сути вы можете думать о них как о знаке для каждого устройства в сертификатах. Похоже, что как только вы скажете: «Конечно, я воспользуюсь этим PASSKEY» на конкретном устройстве, вам не придется думать о том, чтобы снова использовать его на этом устройстве.

редактировать:

Менеджеры паролей, браузеры и т. д. все работают над собственными реализациями стандарта, поэтому вам не придется полагаться на помощь крупных технологических гигантов для его реализации. Сейчас этим в основном занимаются Google и Apple в своих отдельных экосистемах, но поддержка третьих сторон устранит необходимость в этом, как только работа по его реализации будет завершена.

Хм, Google, судя по всему, недавно изменил значок своего приложения-аутентификатора. Я заметил это только потому, что пытался войти на веб-сайт и не смог найти старый значок на своем телефоне.

я думал, что это мощь быть связано с этим, но я не вижу никаких упоминаний о паролях в приложении. Теперь я беспокоюсь, что это может быть еще одна ситуация «Мы сломаем старое приложение, чтобы улучшить новое конкурирующее приложение, а затем полностью уничтожим его», потому что это является Мы говорим о Google.

Google недавно обновил приложение Authenticator, добавив в него синхронизацию секретов. Возможно, это плохая функция, если вы очень заботитесь о безопасности, но хорошая функция для всех остальных. Знаете ли вы, сколько раз люди жаловались, что их аккаунты были заблокированы из-за того, что они купили новый телефон, загрузили Аутентификатор, и только тогда узнал, что их секреты TOTP хранились только локально на их старом телефоне, которого у них нет. больше?

Выполнение этого один раз для каждой учетной записи на устройстве по-прежнему является огромным бременем.

Кроме того, многие люди не настроили Face ID или сканирование отпечатков пальцев из соображений конфиденциальности и безопасности.

Последнее сообщение в блоге

Каковы дальнейшие шаги демократов?
September 18, 2023

Корнелл Уэст не является «каким-то случайным» недемократом. Он влиятельный.удалил - задал вопрос, не осознавая, что зашел не на самую последнюю стр...

Каковы дальнейшие шаги демократов?
September 18, 2023

Корнелл Уэст не является «каким-то случайным» недемократом. Он влиятельный.удалил - задал вопрос, не осознавая, что зашел не на самую последнюю стр...

Каковы дальнейшие шаги демократов?
September 18, 2023

Спасибо и удачи! сказал: В синих штатах больше избирателей Трампа, чем избирателей Байдена в красных штатах. Со значительным отрывом от того, что я...