Nie a kurva vôbec nie.Kontext článku je prihlásenie do poverenia Google pomocou prístupového kľúča. „Veľká trojka“ a niekoľko ďalších ponúka uloženie kľúča a obnovenie, ale stránky používajú prístupové kľúče priamo – ak použijete prístupový kľúč s Best Buy, nebudú to kontrolovať napríklad u spoločnosti Google (pokiaľ nepoužijete „sociálne prihlásenia“ kurz). V tomto kontexte znamená, že vymazanie vášho účtu Google len znamená, že ak váš telefón zomrie, veci sa môžu zhoršiť. Sú to v podstate yubikey s možnosťou obnovenia - takže o niečo menej bezpečné, pretože existuje súkromný kľúč v úschove, ktorá rieši 50 % problémov s yubikeys (cenovka a podpora aplikácií sú zvyšné bolesť).Zdá sa, že každý jeden systém, ktorý je schopný ukladať prístupové kľúče, vyžaduje, aby ste dôverovali veľkej trojke (Apple, Google, Microsoft), že váš účet bez varovania neodstránia. V mojom prípade, ak Apple odstráni môj účet iCloud a kľúčenku, stratím prístup ku všetkému, čo je zabezpečené prístupovým kľúčom. Porovnajte to s tým, čo sa stane práve teraz, ak zničím svoj hlavný Yubikey: Idem do svojej banky, ukážte im dve formy ID, použite môj fyzický kľúč na získanie záložného Yubikey z bezpečnostnej schránky a pokračujte ďalej života.
Kým a pokiaľ nebudú mať vážne a trvalé následky pre spoločnosti poskytujúce infraštruktúrne služby, ktoré konajú jednostranne, nemôžem to využiť. KeyPass/BitWarden dokáže generovať ľubovoľne silné heslá, od rôznych predajcov si môžete kúpiť toľko kľúčov Webauthn, koľko chcete. S prístupovými kľúčmi vás delí jedno (automatické, nemeniteľné) vymazanie od toho, aby ste boli natrvalo zablokovaní z celého vášho online života.
Ak chcete dať túto moc spoločnosti, buďte mojím hosťom. Počkám, kým sa s tým bude zaobchádzať ako s vodnými alebo energetickými spoločnosťami, ktoré prerušia službu bez zjavného dôvodu: vysoké a bolestivé pokuty.
Nie som si istý, či rozumiem tomu, ako to vyžaduje pracovný postupAk kopírujete a prilepujete heslá (alebo ich zadávate z pamäte, čo má ďalšie problémy vo veľkom rozsahu), ste zraniteľní voči phishingu. Prístupové kľúče by teda boli pre vás veľkým bezpečnostným vylepšením.
chytí tvoj telefón,
klepnutie na aplikáciu,
nasnímanie snímky obrazovky a
poklepaním na to, čo robiť s týmito informáciami......je „jednoduchšia“ operácia ako zadávanie hesla z pamäte alebo automatické dopĺňanie pomocou správcu hesiel alebo vkladanie kopírovania pomocou správcu hesiel.
Môžu existovať aj iné výhody, ale v žiadnom prípade to nie je také jednoduchšie.
Pre svoj účet Google som znova zaregistroval svoje kľúče YubiKeys, ktoré som používal ako 2FA, ako prístupové kľúče. Pri 2FA bolo overením heslo Google + hardvérový kľúč FIDO U2F. Pri prístupových kľúčoch je to hardvérový kľúč FIDO2 + FIDO2 PIN kľúča.
Žiadna z „troch veľkých“ technologických spoločností nebude strážcom vašich prístupových kľúčov. Prístupové kľúče sú uložené na zariadení. Ak nechcete synchronizovať svoj prístupový kľúč prostredníctvom nejakej služby, vložte rovnaký prístupový kľúč na viacero zariadení. Máte len jedno zariadenie A teraz je preč? To je rovnaký problém ako u správcov hesiel bez synchronizácie. Nakoniec sa budete musieť znova overiť pomocou rôznych služieb, ako by ste to urobili v akomkoľvek podobnom prípade zablokovania. Väčšina ľudí bude synchronizovať svoje prístupové kľúče rovnako ako svoje heslá. A nie, ak Google vypne váš účet, nemôže zakázať prístupové kľúče, ktoré už máte na svojich zariadeniach. Stratíte ich synchronizačnú službu, ale namiesto toho môžete začať používať inú.
Prístupové kľúče nemožno phishing, nemožno ich zabudnúť, nemožno ich získať prostredníctvom úniku údajov a sú vo svojej podstate jedinečné a bezpečné. To sú naozaj veľké vylepšenia. Ich používanie je tiež jednoduchšie, pretože po ich umiestnení na vašom zariadení je overenie jednoduché.
Používam na to Yubikey, nie Android alebo iOS. To znamená, že nie som zaviazaný spoločnosťou Google/Apple, aby som mohol spravovať svoj kľúč, ani sa nemusím obávať, že môj účet bude kompromitovaný, a tým prezradí prístupový kľúč.
Na porovnanie s prihlásením do účtu Google už nejaký čas používam tento Yubikey na prístup k môjmu účtu Microsoft.
Microsoft funguje vo všetkých hlavných prehliadačoch na pracovnej ploche (okrem Safari na MacOS, keď som to naposledy skontroloval). Zdá sa, že Google potrebuje Chrome.
Microsoft má pod poľom používateľského mena možnosť prihlásiť sa iným spôsobom, potom vyberiete Windows Hello alebo Bezpečnostný kľúč, vložíte kľúč do USB portu, zadáte PIN a stlačíte tlačidlo navrchu. Potom sa vás opýta, ktorý účet (ak máte uložených viacero účtov) a ste prihlásení rovno. Nemusíte si ani pamätať svoje používateľské meno/e-mailovú adresu.
Google vyžaduje, aby ste zadali svoje používateľské meno/e-mail, potom požiada o vloženie kľúča. Potom musíte zadať PIN a ten vás prihlási.
Z hľadiska použiteľnosti je Microsoft lepší v tom, že si nemusíte pamätať svoj e-mail. Pre dav Ars je to pravdepodobne negatívum. Ale ak podporujete 70-ročných starých rodičov, čím menej vecí si musia pamätať, tým lepšie. Nepotvrdil som to, ale nevýhodou systému MS je, že Yubikey podporuje iba určitý počet uložených poverení, zatiaľ čo z toho, čo som mohol vidieť vo svojom výskume, metóda Google v podstate umožňuje, aby Yubikey vygeneroval súkromný kľúč špeciálne pre túto stránku na internom súkromnom kľúči, váš kód PIN a niektoré informácie poskytnuté webom a prehliadačom vždy, keď potrebuje spustiť Overenie. Zdá sa, že obaja používajú interný súkromný kľúč špecifický pre Yubikey, váš PIN, niektoré informácie o doméne poskytované prehliadačom a špecifické informácie poskytnuté zo stránky, ktorú navštevujete, aby ste vykonali podanie ruky, čo bráni tomu, aby útoky MITM boli úspešné, pretože to všetko nedokážu sfalšovať údajov.
Nie som si istý, čo vo Firefoxe chýba pre implementáciu Google verzus implementáciu od Microsoftu, prečo nepodporuje nový systém prístupových kľúčov. Alebo je to len to, že Google nepožaduje prístupový kľúč, pretože Firefox neimplementoval časť Bluetooth, ktorá má vedľajší efekt nepodporovania Yubikeys/hardvérových tokenov, pretože Firefox to nepožaduje prihlásenie Google stránky.
--
Ak stratíte prístupový kľúč a nemáte záložný prístupový kľúč, núdzovým zabezpečením je prihlásiť sa spôsobom, akým ste sa prihlasovali pred prístupovým kľúčom. Takže zvyčajne heslo + OTP. Aj keď to znamená, že stránka podporuje menej bezpečný systém autentifikácie, jednou z výhod je, že to tak nie je používať heslo pravidelne, takže je menej pravdepodobné, že bude prezradené alebo zachytené phishingom/MITM útok.
--
Z hľadiska bezpečnosti môžete prístupové kľúče vidieť ako peňaženku s heslami s obmedzenou podporou lokality. Ak používate Yubikey, peňaženka je hardvérové zariadenie vo vašom vrecku, chránené kódom PIN. Ak používate prístupový kľúč pre Android/iOS, peňaženka sa synchronizuje v cloudovom systéme a chráni heslom vášho účtu + biometriou. Ak stratíte zariadenie, je to podobné, ako keď stratíte súbor s heslom.
Keď si uvedomia všetky nedostatky, má to potenciál zmeniť veľa vecí v oblasti bezpečnosti, pretože jednotlivci, ktorí si nie sú vedomí bezpečnosti, už nebudete musieť odolávať požiadavkám na bezpečné heslo alebo musíte zistiť, ako správne používať peňaženku s heslami a ako k nej pristupovať/synchronizovať v rámci viacerých zariadení. Tým, že sa v podstate stanú peňaženkou hesiel, prístupové kľúče generujú skutočne bezpečné, skutočne náhodné heslá pre každú stránku, na ktorej sa používajú, a sú vytvorené s ohľadom na odolnosť proti phishingu.
Ako to môže dostať mínus? je to 100% pravda.
to je SZO, nie čo na titulnej strane. Na titulnej stránke nie je žiadna láska k Googlu, takže ich podpora obrátila dav proti priemyselný štandard.
je to hlúpe.
Opäť, čitatelia, nevenujte týmto komentátorom žiadnu pozornosť.
Používanie hesla by nemalo byť odpoveďou na niečo, čo má nahradiť heslá.
Toto je trochu smiešne. Ako inak by ste sa overili v existujúcej službe aby ste aktualizovali svoj autentifikačný mechanizmus? Okrem už diskutovanej metódy QR-and-bluetooth. A hoci plocha útoku na strane servera nie je nevyhnutne znížená povolením, nie vyžadovaním prihlásenia pomocou prístupového kľúča výrazne znižuje útočnú plochu na strane klienta, pretože sa striktne zapájate do výmeny kľúčov, ktorú umožňuje overenie na úrovni operačného systému. A to je výhra pre všetkých.
Ak ste do bodu, že nemôžete dôverovať žiadnej z bezpečnostných funkcií vášho operačného systému, môžete jednoducho zahodiť svoje počítačové zariadenia a ísť žiť na tropický ostrov alebo niečo také. O nejaký bod určitému kúsku softvéru sa musí dať určitá úroveň dôvery.
Myslím si, že je tu veľa zmätku, pretože na nás bola vysypaná celá hromada technológií a prezentovaná ako hotová vec. Dovoľte mi, ako ignorant, pokúsiť sa to dekonštruovať analogicky s tým, čomu rozumiem: páry kľúčov SSH. Pozývam ostatných, aby našli diery v tom, v čom sa mýlim.1. Verejné/súkromné autentifikačné kľúče. Funguje to približne rovnako ako SSH. Webová lokalita pozná iba váš verejný kľúč a vy podpisujete správy, aby ste dokázali, že vlastníte súkromný kľúč.
2. Ochrana proti phishingu. Kľúče sú špecifické pre web, takže phishingový web dostane iný kľúč. SSH má na to hostiteľské kľúče, predpokladám, že keypass používa niečo spoločné s hostiteľskými kľúčmi TLS? Používa to váš prehliadač na výber kľúča, ktorý chcete použiť? Alebo len podľa názvu DNS?
3. Prostriedky na odomknutie kľúčov, aby ste dokázali, že ich používa správny používateľ. SSH má prístupové frázy, predpokladám, že sem prichádza biometrická / Bluetooth vec? SSH dokáže odomknúť kľúče aj pomocou čipových kariet, takže predpokladám, že biometria je trochu ako iný režim odomknutia?
4. Synchronizácia kľúčov medzi zariadeniami. Toto je pravdepodobne miesto, kde prichádzajú cloudové „ekosystémy“, ako je synchronizácia hesiel iCloud a Chrome? Pre SSH neexistuje žiadna podpora, ale môžete si pripraviť svoje vlastné pomocou rsync alebo čohokoľvek iného?
v čom som sa pomýlil?
Ak je vyššie uvedené v podstate správne, vedel by som si predstaviť vytvorenie otvoreného zásobníka, ktorý v podstate robí to isté ako SSH pomocou hromady súborov v ~/.ssh a rsync na presun medzi zariadeniami. To je prístup „bicykla“, kde sú všetky pohyblivé časti odkryté a ľahko pochopiteľné, čo sa deje.
Nie je to len na ľudí – toto je aktualizácia FIDO2, ktorá je druhou verziou štandardu. U2F bol FIDO1; toto je CTAP 2.2 ([upraviť: Opravené z môjho WAG 2.4, ktoré bolo nesprávne, vďaka Stále nesprávne!]), súčasť FIDO2/WebAuthn. V skutočnosti to nie je nič zložité, ako to už býva... uvoľnili požiadavky na Authenticator, aby sa súkromný kľúč dal (musí byť...) bezpečne skopírovať, a pridali niektoré funkcie Javascriptu, ktoré uľahčia život. Prihlasovanie bez hesla? S FIDO2 to bolo vždy možné. To je tá správna časť – FIDO1 môže byť iba MFA. Chcete pridať súkromný kľúč do prehliadača uloženého v TPM alebo zabezpečenom prvku? Vždy to bolo možné a bol predtým implementovaný v prehliadačoch Chrome, Firefox a Safari. Novinkou je, že ho možno synchronizovať a pristupovať k nemu prostredníctvom rigmarolu BT/QR. Predtým bol označovaný (a označený na webových stránkach) ako „klávesy špecifické pre platformu“, na rozdiel od prenosných, ktorými boli hardvérové zariadenia. Teraz sú to PassKeys.
Keďže sa zdá, že cieľom celého systému prístupových kľúčov je zbaviť sa hesiel, dovoľte mi uviesť niektoré z výhod hesiel:
- sú dostatočne jednoduché na pochopenie pre každého, kto je mentálne schopný ovládať elektronické zariadenie
- sú ľahko zapamätateľné, ak sa vôbec snažíte a pravidelne ich používate
- fungujú na všetkých operačných systémoch hneď po vybalení
- nevyžadujú prístup na internet (niektoré systémy sú offline z dobrého dôvodu)
- nevyžadujú súčinnosť žiadnej tretej strany
- nevyžadujú prítomnosť smartfónu alebo iného gadgetu
- nevyžadujú Bluetooth, WiFi, fotoaparáty ani batérie
- môžu byť - v prípade núdze - uskladnené bez potreby elektriny
- môžu byť ľahko prenášané na inú osobu bez použitia akéhokoľvek zariadenia
- ak nie ste hendikepovaný a nepoužívate smartfón, autentifikácia pomocou hesla trvá len niekoľko sekúnd
Vaše body 1, 2 a 10 sú nesprávne – spýtajte sa každého, kto pracuje v technickej podpore, ako často musí resetovať heslo, pretože niekto zabudli svoje heslo, nechali zapnutý kláves Caps Lock (alebo zle umiestnili ruku na klávesnici) alebo po ňom šmýkali toľkokrát, aby sa zablokovali von. Áno, áno, viem, že vy osobne to vždy vymyslíte perfektne, ale verte mi, že každý, kto zavolá na helpdesk, má... menej optimistický... pohľad na ľudstvo. Ešte dodám, že podporujem veľa nevidomých používateľov a zadávanie hesla masívne naštve ich, pretože mnohé stránky majú požiadavky na zložitosť, ktoré sú pre používateľov čítačiek obrazovky náročné, a ak nie ste zdatný pisár, keď to hovoríte nahlas, nie je to skvelé. To je výklenok, ale je to oblasť, ktorú musí zo zákona dobre podporovať aj mnoho ľudí, ktorí budujú autentifikačné systémy, a to je jeden z dôvodov, prečo ma zaujíma technológia od "Chcete sa prihlásiť pomocou svojho prístupového kľúča?" „Áno“ je pre mnohých aspoň o jeden rád rýchlejšie a jednoduchšie ako akákoľvek forma hesla + MFA používateľov.
Bod #3 platí pre WebAuthn MFA, ale vždy ide o prístupové kľúče – niečo ako Yubikey funguje všade, kde máte USB/NFC, ale môžete musíte nastaviť PIN alebo použiť svoje biometrické kľúče série pre implementátorov prístupových kľúčov, ako je Google.com, ktoré vyžadujú viac než len jednoduché poklepať.
Body #5, #6, #7 a #8 platia aj pre všetky formy WebAuthn – MFA aj prístupové kľúče. Bod #4 je pravdivý, s výnimkou prvého zaregistrovania zariadenia pri synchronizácii existujúceho kľúča. Po prvej synchronizácii kľúčov nepotrebujete sieťové pripojenie. Ak nechcete synchronizovať, môžete si tiež kúpiť pár biometrických kľúčov Yubikey, ktoré opäť fungujú plne offline kdekoľvek, kde máte USB alebo NFC.
Zostáva teda # 9, čo je zlý postup a treba sa mu vyhnúť, ak je to možné. Moderné systémy majú veci, ako je autentifikácia založená na rolách, kde ľudia nikdy nezdieľajú heslá, ale viacerí ľudia môžu prevziať danú rolu, alebo veci ako dedičstvo alebo delegovanie účty, kde už nikdy nezdieľate heslá, ale dáte jednej alebo ešte lepšie viacerým ľuďom v kombinácii možnosť urobiť niečo ako resetovanie hesla alebo získanie kontroly nad vaše súbory.
To, že je niečo nové a vy ste sa nenaučili, ako to funguje, neznamená, že je to zlé alebo sa tomu treba vyhnúť. Prístupové kľúče sú pre väčšinu z nás veľkou zmenou – s výnimkou .gov, keďže PIV/CAC sa tam vracia do predchádzajúceho storočia, aj keď na niekoľkých iných miestach prijali – no okrem bezpečnostných výhod majú aj množstvo vylepšení použiteľnosti a existuje jasná cesta na vybudovanie niektoré z chýbajúcich častí (napr. naozaj chcem možnosť synchronizovať prístupový kľúč Apple / Google s Yubikey, aby som ho mohol vložiť do svojho trezoru prípad).
Samozrejme musí byť k dispozícii nielen počas synchronizácie, ale aj počas autentifikácie, keďže sa na to používa. A tiež musí byť k dispozícii počas počiatočnej registrácie.A to sa vám snažím vysvetliť: Bolo by ľahké overiť totožnosť s existujúcim zariadením a použiť ho zariadenie na pridanie ďalšieho verejného kľúča, ktorý sa vygeneruje na inom, novom, zariadení a niektorý ho odošle do starého zariadenia znamená. Napríklad by som mohol vytvoriť nový tajný kľúč/pár kľúčov verejného kľúča na svojom stolnom počítači, odoslať verejný kľúč do prenosného počítača, prihlásiť sa pomocou prenosného počítača a pridať verejný kľúč pracovnej plochy. S SSH robím podobné veci neustále.
Nie je tu žiadna technická prekážka. Ak to nie je možné pomocou prístupových kľúčov, potom je to na základe voľby.
Súkromný kľúč nie je prístupný. Prečo si to nevyhľadať namiesto opakovania nepravdy znova a znova.
A teraz som viac zmätený, ako som bol predtým, než som začal - poslal som článok môjmu CS hlavnému / lepšej polovičke, aby som vysvetlil veci, ale to nemusí stačiť.
Heslá sú ľahko stráviteľné. 2FA sa dá ľahko vysvetliť. Prístupové kľúče dávajú zmysel, ale keď si myslím, že by som to mohol dostať, prečítam si nasledujúci odsek a stratím sa.
Nebo pomôž mojim súrodencom a rodičom.
ďakujem, že si to povedal. Odpovede od Dana a ďalších (napr. @Wbdpropagovaný komentár citujúci môj) je založený na zásadnom nesprávnom čítaní komentára.Uvedomujete si, že 1Password aj Bitwarden pracujú na podpore prístupových kľúčov, však?Nechcem dôverovať svojmu poskytovateľovi operačného systému (v mojom prípade Apple pre mobilné aj stolné zariadenia) s prístupovými kľúčmi a odpoveď je opakovane „Ale ty UŽ DÔVERUJTE GOOGLU SVOJIM HESLOM." Áno, dobre, zadám dlhé náhodné heslo z BitWarden/KeePass, zapojím Yubikey a stlačím tlačidlo. V žiadnom prípade nie je závislý od môjho poskytovateľa OS.
A iste, práve teraz je tu možnosť nepoužívať prístupové kľúče a používať heslo ako predtým, ale celý technologický hype vlak je na ceste k „ŽIADNE ĎALŠIE HESLÁ KAŽDÝ“ stanica a ak poviem: „ale počkaj, ak sa mi vymknú všetky ostatné účty, pretože sa môj poskytovateľ OS rozhodne, že ma nemá rád, čo sa stane“, volajú ma troll a dezinformované. Napadá ma tiež toľko okrajových prípadov, keď to nefunguje, a namiesto toho, aby som povedal: „Áno, sú opodstatnené obavy v budúcnosti len s prístupovým kľúčom, ktorú chceme,“ je tu neustála kritika každého spochybňovanie.
1Password zašlo až tak ďaleko, že hovorí, že prístupové kľúče sú „budúcnosťou autentifikácie“: https://www.future.1password.com/passkeys/
![Konflikt právnikov by mohol byť prínosom pre Activision Blizzard v žalobe proti obťažovaniu [Aktualizované]](/f/130fdbb1e0cce291ada349fe271de1c9.jpg?width=81&height=81)
