Neviem, ako by to vyriešilo spear phishing s útokmi na prehratie hesla. Väčšina phishingových MITM len prehrá vstup na server a prehrá výstup obeti, zvyčajne s presmerovaním na konci. Tieto typy útokov stále fungujú aj proti zariadeniam TOTP MFA, takže to v skutočnosti nie sú útoky, ktorým sa tu ľudia snažia zabrániť.fvgfvghvgv povedal:Phishing a spear phishing už nie sú problémom, pretože HTTPS je takmer všadeprítomné?Tiež (oveľa nižšia frekvencia, ale verte mi, že je to obrovská frekvencia pre národné štáty) sú všetky rôzne formy vzdialených zapisovačov kľúčov zmiernené HTTPS? Osobne, ak by som bol paranoidný z toho, že sa na mňa takto zameriavajú a potreboval by som sa prihlásiť do Googlu na novom počítači, radšej nasmerujem telefón na QR kód na obrazovke na 2 sekundy, ako pomaly vypisovať silné heslo klávesnica.
A v kontexte tohto článku si naozaj myslíte, že Google ukladá poverenia nášho účtu Google v odkrytej nezašifrovanej databáze?
100% súhlasím s vami, že dlhodobejším zlepšením by bolo úplné nahradenie hesiel prístupovými kľúčmi, aby sa odstránili slabé miesta v systéme hesiel.
Tu je môj návrh, ako sa tam dostať: pre fázu 1 by veľký všadeprítomný online hráč mal paralelne zaviesť prístupové kľúče heslá ako ukážka v reálnom svete na získanie impulzu, potom pre fázu 2 všetky cloudové kľúčenky a správca hesiel tretích strán spoločnosti by mali diskutovať o tom, ako zlepšiť interoperabilitu, a predajcovia OS a prehliadačov by mali súčasne implementovať prístupové kľúče systémov. To by odrážalo príbeh úspechu s HTTPS a bezpečnostné výhody, ktoré to prinieslo do ekosystému.
V známom bode na začiatku tohto plánu by arstechnica mohla napísať článok o tom, čo funguje/čo nie/čo sa plánuje v budúcnosti….
Kliknutím rozbalíte...
Ak hovoríme o aktéroch národného štátu, zamerajú sa len na technickú podporu čohokoľvek, k čomu chcú mať prístup, takže diskutovaná technológia nemá zmysel.
A nie, nikdy som nepovedal, že Google ukladá heslá v nezašifrovanej databáze. Takto nedochádza k útokom na vypchávanie poverení. Ľudia zvyčajne znova používajú heslá na viacerých miestach a slabšie stránky odhaľujú rovnaké heslá, aké boli použité na stránkach, ktoré zabezpečujú ich back-end bezpečnejšie.
Súhlasím s vašimi návrhmi na uvedenie na trh, s jednou výhradou – v skutočnosti uverejnite bielu knihu, ktorá sa do toho nehrabe teórie ako FIDO, ktoré tvrdia, že používatelia „pravdepodobne“ budú mať na obnovenie druhé zariadenie, ak ich prvé zariadenie je stratené. A táto istá biela kniha by nemala len naznačovať, že heslá sa používajú ako náhrada pre nové zariadení, mal by v skutočnosti načrtnúť plán na úplné odstránenie hesiel – pretože to je konečný cieľ správny? Predtým, ako sa tam dostaneme, by sme mali vedieť, aké kroky podnikneme.
Zakázal som BT, aby som zistil, čo sa stane, a určite sa Google sťažoval, že sa nemôže dostať do môjho telefónu... a ponúkol mi, že mi zapne BT. To aspoň nefungovalo. Ešte. (Predpokladám, že robí fungovať týmto spôsobom v systéme Windows a možno aj MacOS.)
Byť extrémne jasné, opäť to nemá nič spoločné so samotnými kľúčmi; ako štandard overenia sú v poriadku. Nie som v láske s tým, akú kontrolu má prehliadač nad mojím hardvérom (pretože čím väčšiu kontrolu má, tým väčšiu kontrolu má útočník, ktorý prehliadač vlastní).
Zase sa pletieš. Žiadna z citácií nenaznačuje nič o odstraňovaní hesiel. Dúfam, že v určitom okamihu odstránia heslá pre svoje vlastné účty, ale ak sa to niekedy stane, je to realisticky desaťročia v budúcnosti, akonáhle sa väčšina hraničných prípadov vyrieši alebo zmizne a keď väčšina zvyšku internetu spraví z prístupových kľúčov všadeprítomné možnosť.Jarrex povedal:Áno kámo, úplne:Autor: Arnar Birgisson a Diana K Smetters, tímy Identity Ecosystems a Google Account Security and Safety Od dnešného dňa si môžete vytvoriť...
security.googleblog.com
Oba prístupové kľúče sú skvelou a bezpečnejšou alternatívou k heslám – v takom prípade má Google všetky dôvody na to, aby sa pokúsil heslá odstrániť. Alebo sú prístupové kľúče len jednoduchou alternatívou, ktorá v skutočnosti nič nerobí, pretože existuje náhradné heslo, ktoré možno použiť na presne rovnaké overenie.Ak je to prvé, prečo sa potom snažíte tvrdiť, že Google nevytláča heslá (ako ich viaceré blogy jasne naznačujú, že je to v budúcnosti).
Ibaže, pretože nikto nemá odpoveď na to, ako to robia, pretože stále majú záložné heslo a doslova nulové dokumenty FIDO, hovoria blogy Google a Apple čokoľvek o tom, ako sa chystajú implementovať záložné riešenie bez hesiel, o ktorých ste si podvedome vedomí, že nemôžu hovoriť o odstránení hesla záložný. V takom prípade vás presmerujem na môj pôvodný bod, ktorým je, že prístupové kľúče sú pri záložnom hesle zbytočné.
Kliknutím rozbalíte...
Pozrite sa, ako dlho trvá spustenie 2FA pre viac ako malú časť hlbokého webu!
Takže áno, myslím si, že v niekoľkých blogových príspevkoch Google sa uvádza, že „veľa zariadení zatiaľ nepodporuje prístupové kľúče“ a „podrobnejšie preskúmame aktivitu prihlasovania hesiel, pretože veríme, že to je slabý článok“
NIE JE to isté ako:
„v blízkej budúcnosti plánujeme odstrániť heslá každého účtu Google“
Ďalším veľkým problémom je však problém, s ktorým sa už musím vysporiadať s 2FA (hoci vo všeobecnosti používam a podporujem 2FA) - Robím veľa technickej podpory pre starších ľudí a niekedy potrebujem robiť veci na diaľku v ich mene. S 2FA je mimoriadne ťažké prihlásiť sa do účtu niekoho iného (Google atď.), aby ste zmenili nastavenie, niečo vyhľadali, pomohli mu obnoviť alebo resetovať heslo atď. Je to samozrejme zámerné a vo všeobecnosti dobré, ale komplikuje to technickú podporu. Prístupové kľúče sa zdajú byť na tento účel ešte horšie ako 2FA, pretože aspoň s 2FA im môžem zavolať a požiadať ma, aby som prečítal kód zobrazený na ich telefóne, alebo im povedať, aby ťukli na akúkoľvek zobrazenú výzvu.
Samozrejme, že v blízkej budúcnosti neplánujú vymazať heslá všetkých. Pretože nevedia, ako sa zbaviť záloh hesiel. Ale posolstvo ich názvov „Zbohom heslá, vďaka za všetky phish“ a „Možno nabudúce“ heslo deň, nebudete si musieť pamätať svoje heslo!" heslá. Čo je medvedia služba pre používateľov a dáva falošný dojem, že prístupové kľúče sú bezpečnejšie ako heslá, a to aj v prípade, že zálohy založené na heslách dokážu 100 % toho, čo dokážu prístupové kľúče.fvgfvghvgv povedal:Zase sa pletieš. Žiadna z citácií nenaznačuje nič o odstraňovaní hesiel. Dúfam, že v určitom okamihu odstránia heslá pre svoje vlastné účty, ale ak sa to niekedy stane, je to realisticky desaťročia v budúcnosti, akonáhle sa väčšina hraničných prípadov vyrieši alebo zmizne a keď väčšina zvyšku internetu spraví z prístupových kľúčov všadeprítomné možnosť.Pozrite sa, ako dlho trvá spustenie 2FA pre viac ako malú časť hlbokého webu!
Takže áno, myslím si, že v niekoľkých blogových príspevkoch Google sa uvádza, že „veľa zariadení zatiaľ nepodporuje prístupové kľúče“ a „podrobnejšie preskúmame aktivitu prihlasovania hesiel, pretože veríme, že to je slabý článok“
NIE JE to isté ako:
„v blízkej budúcnosti plánujeme odstrániť heslá každého účtu Google“
Kliknutím rozbalíte...
Takže opäť, najslabším článkom sú zálohy hesiel, bez odstránenia záloh hesiel sú prístupové kľúče zbytočné z hľadiska poskytovania skutočných bezpečnostných výhod. Ak nie je známa žiadna metodika na odstránenie záloh hesiel, aký je zmysel prístupových kľúčov?
Unavení z týchto technologických blogerov za predpokladu, že všetci ostatní majú rovnaké „pracovné“ nastavenie ako on. V blízkej budúcnosti ich nebudem používať tak často, ako by som chcel, pretože bezproblémová podpora ešte neexistuje a rozbitie niečoho niekde prinesie viac bolesti hlavy.
Prístupové kľúče sú v skutočnosti obrovskou výhodou pre váš konkrétny prípad použitia a je to jedna vec, z ktorej budem ťažiť aj ja (podpora starnúcich členov rodiny).shawn99452 povedal:Som úplne za MYŠLIENKU používania prístupových kľúčov vo všeobecnosti, ale má to niekoľko vážnych obmedzení... pre mňa je nedostatočná podpora počítačov (veľa stolových počítačov) bez Bluetooth dosť veľká. Okrem toho, nedostatok podpory Linuxu je pre mňa osobne veľkým problémom - dúfajme, že niekto vytvorí samoobslužné úložisko prístupových kľúčov systému (pri pridávaní prístupového kľúča do služba).Ďalším veľkým problémom je však problém, s ktorým sa už musím vysporiadať s 2FA (hoci vo všeobecnosti používam a podporujem 2FA) - Robím veľa technickej podpory pre starších ľudí a niekedy potrebujem robiť veci na diaľku v ich mene. S 2FA je mimoriadne ťažké prihlásiť sa do účtu niekoho iného (Google atď.), aby ste zmenili nastavenie, niečo vyhľadali, pomohli mu obnoviť alebo resetovať heslo atď. Je to samozrejme zámerné a vo všeobecnosti dobré, ale komplikuje to technickú podporu. Prístupové kľúče sa zdajú byť na tento účel ešte horšie ako 2FA, pretože aspoň s 2FA im môžem zavolať a požiadať ma, aby som prečítal kód zobrazený na ich telefóne, alebo im povedať, aby ťukli na akúkoľvek zobrazenú výzvu.
Kliknutím rozbalíte...
Môžu mať prístupový kľúč pre svoj účet uložený vo svojom systéme a vy môžete mať a rôzne prístupový kľúč pre ten istý účet uložený vo vašom systéme.
Hlavným dôvodom, pre ktorý budem mať úžitok, je to, že nebudú predurčené na časté rozdávanie 2FA kódov cez telefón alebo klepnutie na áno na obrazovke.
Možno by som neurobil taký predpoklad, keby som niekedy videl niečo, čo by naznačovalo, že Thunderbird bude mať čoskoro podporu pre Passkeys. Vzhľadom na to, ako dlho trvalo, kým bola pridaná podpora OAuth, myslím, že bolo rozumné dospieť k záveru, že by to nebolo niečo, čo by som mohol urobiť v Thunderbirde.dangoodin povedal:WebAuthn sa už bez problémov integruje s Gmailom v Thunderbirde.Tento komentár je ďalším príkladom toho, že niekto nekladie otázky, ale s istotou tvrdí (že prístupové kľúče nebudú vo vašom prostredí fungovať) na základe technicky nepresného pochopenia. Namiesto unáhlených záverov, prečo to najskôr trochu nepreskúmať?
Kliknutím rozbalíte...
Mimochodom, vyskúšal som demo na passkeys.io, Firefox aj Vivaldi na Manjaro chcú, aby som zasunul bezpečnostný kľúč. Či je to obmedzenie prehliadačov alebo ukážky, nie som si istý.
V skutočnosti majú - ak viete, ako preložiť marketing, hovorte „Passkeys“ do technickej špecifikácie: „multi-device credential“ alebo „backup-eligible credential“.Jarrex povedal:Áno. Ak skutočne zverejnia, ako plánujú odstrániť heslá ako záložné overenie, prístupové kľúče by mohli byť vynikajúce.
Kliknutím rozbalíte...
Aktuálna špecifikácia návrhu pre Webauthn je tu: Webauthn
Keď zaregistrujete prístupový kľúč, webová lokalita uvidí, že ide o poverenie pre viacero zariadení a či je súkromný kľúč zálohovaný. V tom prípade:
(spoliehajúca sa strana = webový server, v ich terminológii, „klient“ = prehliadač, „autentizátor“ = Yubikey, napríklad, alebo ten, ktorý je zabudovaný v telefóne alebo počítači „platformový autentifikátor“)
Poverenie oprávnenosť zálohovania a aktuálne stav zálohy sa prenáša pomocou BE a BSvlajky v autentifikačné údaje, ako je definované v Tabuľka .Hodnota BEvlajka je nastavený počas autentifikátorMakeCredential prevádzky a NESMIE sa meniť.
Hodnota BSvlajka sa môže časom meniť v závislosti od aktuálneho stavu zdroj poverení verejného kľúča. Tabuľka nižšie definuje platné kombinácie a ich význam.
BE a BSvlajka kombinácie
BE BS Popis 0 0 Poverenie je a poverenie pre jedno zariadenie. 0 1 Táto kombinácia nie je povolená. 1 0 Poverenie je a poverenie pre viacero zariadení a momentálne nie je zálohované. 1 1 Poverenie je a poverenie pre viacero zariadení a je v súčasnosti zálohované.
ODPORÚČA SA, že Spoliehajúce sa strany uložiť ich najaktuálnejšiu hodnotu vlajky s užívateľský účet pre budúce hodnotenie.Nasleduje neúplný zoznam toho, ako Spoliehajúce sa strany mohli použiť tieto vlajky:
- Vyžaduje sa ďalšie autentifikátorov:
Keď BEvlajka je nastavené na 0, poverenie je a poverenie pre jedno zariadenie a generovanie autentifikátora nikdy nepovolí zálohovanie poverení.
A poverenie pre jedno zariadenie nie je odolný voči strate jedného zariadenia. Spoliehajúce sa strany MALI by ste zabezpečiť, aby každý užívateľský účet má ďalšie autentifikátorovregistrovaný a/alebo zavedený proces obnovenia účtu. Používateľ môže byť napríklad vyzvaný, aby nastavil ďalšie autentifikátor, ako napríklad a roamingový autentifikátor alebo an autentifikátor ktorý je schopný poverenia pre viacero zariadení.
- Inovácia používateľa na účet bez hesla:
Keď BSvlajka sa zmení z 0 na 1, autentifikátor signalizuje, že poverenie je zálohovaný a je chránený pred stratou jedného zariadenia.
The Spoliehajúca sa strana MÔŽE sa rozhodnúť vyzvať používateľa, aby aktualizoval zabezpečenie svojho účtu a odstránil svoje heslo.
Kliknutím rozbalíte...
Takže po vygenerovaní prístupového kľúča a jeho zálohovaní môže server vedieť a navrhnúť, aby ste svoje heslo odstránili.
Ak mám prístupový kľúč na svojom starom telefóne s Androidom, ako ho prenesiem alebo nastavím na novom telefóne s Androidom?
Ani nerozumiete, ako sú prístupové kľúče silným zmiernením proti phishingu a MITM útokom? Prečo potom vypĺňate komentáre dezinformáciami, keď ste neurobili základný výskum? To všetko bolo jasne vysvetlené v článkoch, ktoré ste boli veľmi hlasní v komentároch.Jarrex povedal:Neviem, ako by to vyriešilo spear phishing s útokmi na prehratie hesla. Väčšina phishingových MITM len prehrá vstup na server a prehrá výstup obeti, zvyčajne s presmerovaním na konci. Tieto typy útokov stále fungujú aj proti zariadeniam TOTP MFA, takže to v skutočnosti nie sú útoky, ktorým sa tu ľudia snažia zabrániť.Ak hovoríme o aktéroch národného štátu, zamerajú sa len na technickú podporu čohokoľvek, k čomu chcú mať prístup, takže diskutovaná technológia nemá zmysel.
A nie, nikdy som nepovedal, že Google ukladá heslá v nezašifrovanej databáze. Takto nedochádza k útokom na vypchávanie poverení. Ľudia zvyčajne znova používajú heslá na viacerých miestach a slabšie stránky odhaľujú rovnaké heslá, aké boli použité na stránkach, ktoré zabezpečujú ich back-end bezpečnejšie.
Súhlasím s vašimi návrhmi na uvedenie na trh, s jednou výhradou – v skutočnosti uverejnite bielu knihu, ktorá sa do toho nehrabe teórie ako FIDO, ktoré tvrdia, že používatelia „pravdepodobne“ budú mať na obnovenie druhé zariadenie, ak ich prvé zariadenie je stratené. A táto istá biela kniha by nemala len naznačovať, že heslá sa používajú ako náhrada pre nové zariadení, mal by v skutočnosti načrtnúť plán na úplné odstránenie hesiel – pretože to je konečný cieľ správny? Predtým, ako sa tam dostaneme, by sme mali vedieť, aké kroky podnikneme.
Kliknutím rozbalíte...
Tiež ste už predtým povedali, že heslá sú zriedkavo napadnuté pri použití a toto poverenie kompromisy sú väčšinou spôsobené slovníkovými útokmi, preplňovaním poverení a odhaleným nezabezpečeným heslom databázy. Teraz hovoríte, že v skutočnosti existujú phishingové útoky, ktoré sú úspešné dokonca aj s TOTP, a NCSC aj CISA uvádzajú, že phishing je stále prevládajúcim vektorom útokov, takže stále hovorím, že ste sa predtým mýlili a že heslá sú stále zraniteľné miesto použitia.
Národné štáty sa nebudú zameriavať na technickú podporu online služby, ako je Google, ktorá zahŕňa end-to-end šifrovanie a ktorá upozorní svojich používateľov, ak má podozrenie na pokus o nepriateľské narušenie. To by bolo to najhoršie, čo by mohli urobiť. Získali by prinajlepšom zašifrovanú škvrnu údajov a riskovali, že cieľ bude pravdepodobne upozornený a požiada o radu v oblasti bezpečnosti.
Som rád, že sa vám môj navrhovaný plán páči, ale bol som sarkastický; to, čo som navrhol, sa skutočne deje teraz a čo sa plánuje do budúcnosti, ako je zdokumentované v tomto článku... Nestrácajte však čas čakaním na zmysluplné whitepapery, už desaťročia sú ďalším pojmom pre „marketing“. chmýří poslať účtovníkom a vyššiemu manažmentu“ a cieľovým publikom sú IT ľudia, ktorí vedia len toľko, aby boli nebezpečné
Špecifikácie FIDO vyžadujú, aby akýkoľvek synchronizačný mechanizmus, ktorý si používateľ zvolí (či už od spoločnosti Apple, Microsoft, Google alebo tretej strany), poskytujú end-to-end šifrovanie tak, ako to v súčasnosti robí iCloud Keychain a synchronizácia hesiel s prehliadačmi (v prehliadači Chrome musí byť tento E2EE zapnutý).
Kliknutím rozbalíte...
Je táto požiadavka niekde zdokumentovaná?
Pýtam sa, pretože predtým, ako FIDO malo svoju službu metadát na zoznam vyhovujúcich autentifikátorov. Podľa špecifikácie uvádzajú iba kľúčové typy ochrany - a medzi softvérom a rôznymi typmi hardvéru nie je nič.
Špecifikujte tu: Metadáta
Pozri 3.2 Typy ochrany kľúča
cse84 povedal:Keďže sa zdá, že cieľom celého systému prístupových kľúčov je zbaviť sa hesiel, dovoľte mi uviesť niektoré z výhod hesiel:
- sú dostatočne jednoduché na pochopenie pre každého, kto je mentálne schopný ovládať elektronické zariadenie
- sú ľahko zapamätateľné, ak sa vôbec snažíte a pravidelne ich používate
- fungujú na všetkých operačných systémoch hneď po vybalení
- nevyžadujú prístup na internet (niektoré systémy sú offline z dobrého dôvodu)
- nevyžadujú súčinnosť žiadnej tretej strany
- nevyžadujú prítomnosť smartfónu alebo iného gadgetu
- nevyžadujú Bluetooth, WiFi, fotoaparáty ani batérie
- môžu byť - v prípade núdze - uskladnené bez potreby elektriny
- môžu byť ľahko prenášané na inú osobu bez použitia akéhokoľvek zariadenia
- ak nie ste hendikepovaný a nepoužívate smartfón, autentifikácia pomocou hesla trvá len niekoľko sekúnd
Kliknutím rozbalíte...
Vaše body 1, 2 a 10 sú nesprávne – spýtajte sa každého, kto pracuje v technickej podpore, ako často musí resetovať heslo, pretože niekto zabudli svoje heslo, nechali zapnutý kláves Caps Lock (alebo zle umiestnili ruku na klávesnici) alebo po ňom šmýkali toľkokrát, aby sa zablokovali von. Áno, áno, viem, že vy osobne to vždy vymyslíte perfektne, ale verte mi, že každý, kto zavolá na helpdesk, má... menej optimistický... pohľad na ľudstvo. Ešte dodám, že podporujem veľa nevidomých používateľov a zadávanie hesla masívne naštve ich, pretože mnohé stránky majú požiadavky na zložitosť, ktoré sú pre používateľov čítačiek obrazovky náročné, a ak nie ste zdatný pisár, keď to hovoríte nahlas, nie je to skvelé. To je výklenok, ale je to oblasť, ktorú musí zo zákona dobre podporovať aj mnoho ľudí, ktorí budujú autentifikačné systémy, a to je jeden z dôvodov, prečo ma zaujíma technológia od "Chcete sa prihlásiť pomocou svojho prístupového kľúča?" „Áno“ je pre mnohých aspoň o jeden rád rýchlejšie a jednoduchšie ako akákoľvek forma hesla + MFA používateľov.
Bod #3 platí pre WebAuthn MFA, ale vždy ide o prístupové kľúče – niečo ako Yubikey funguje všade, kde máte USB/NFC, ale môžete musíte nastaviť PIN alebo použiť svoje biometrické kľúče série pre implementátorov prístupových kľúčov, ako je Google.com, ktoré vyžadujú viac než len jednoduché poklepať.
Body #5, #6, #7 a #8 platia aj pre všetky formy WebAuthn – MFA aj prístupové kľúče. Bod #4 je pravdivý, s výnimkou prvého zaregistrovania zariadenia pri synchronizácii existujúceho kľúča. Po prvej synchronizácii kľúčov nepotrebujete sieťové pripojenie. Ak nechcete synchronizovať, môžete si tiež kúpiť pár biometrických kľúčov Yubikey, ktoré opäť fungujú plne offline kdekoľvek, kde máte USB alebo NFC.
Zostáva teda # 9, čo je zlý postup a treba sa mu vyhnúť, ak je to možné. Moderné systémy majú veci, ako je autentifikácia založená na rolách, kde ľudia nikdy nezdieľajú heslá, ale viacerí ľudia môžu prevziať danú rolu, alebo veci ako dedičstvo alebo delegovanie účty, kde už nikdy nezdieľate heslá, ale dáte jednej alebo ešte lepšie viacerým ľuďom v kombinácii možnosť urobiť niečo ako resetovanie hesla alebo získanie kontroly nad vaše súbory.
To, že je niečo nové a vy ste sa nenaučili, ako to funguje, neznamená, že je to zlé alebo sa tomu treba vyhnúť. Prístupové kľúče sú pre väčšinu z nás veľkou zmenou – s výnimkou .gov, keďže PIV/CAC sa tam vracia do predchádzajúceho storočia, aj keď na niekoľkých iných miestach prijali – no okrem bezpečnostných výhod majú aj množstvo vylepšení použiteľnosti a existuje jasná cesta na vybudovanie niektoré z chýbajúcich častí (napr. naozaj chcem možnosť synchronizovať prístupový kľúč Apple / Google s Yubikey, aby som ho mohol vložiť do svojho trezoru prípad).
Jarrex povedal:O iných službách ani nehovorím. Spoločnosť Google zverejnila (minimálne) 5 blogových príspevkov, v ktorých sa uvádza, že prístupové kľúče zabíjajú heslá, no ani raz neuviedol, ako budú prístupové kľúče fungovať izolovane od týchto hesiel. Použil som bluetooth, aby som sa pokúsil vyjadriť svoj názor - čo je, že nezáleží na tom, či účty Google fungujú dobre pre väčšinu ľudí, heslá sa stále používajú ako záloha - čo marí celý účel prístupových kľúčov ako celku.Ak sa heslá používajú ako záloha, prístupové kľúče majú nulový bod. Heslá budú stále v autentifikačných databázach, heslá budú stále unikať, heslá sa môžu stále používať na prevzatie účtov ľudí. Prístupové kľúče v ich súčasnej podobe a podobe sú zbytočné, pokiaľ používatelia, ktorí majú iba prístupové kľúče, nemajú spôsob, ako pridávať nové zariadenia bez hesiel.
Záložné možnosti nie sú len možnosti – z hľadiska bezpečnosti určujú, či bezpečnostný mechanizmus skutočne zlepšuje celkovú bezpečnosť autentifikácie alebo nie.
Nie je to o čom, ak scenár v skutočnosti robí službu zbytočnou a nezmyselnou vo všetkých scenároch. A kým neexistuje pracovný postup, ktorý vám umožní úplne zakázať zálohovanie hesiel a udržiavať ho rovnaké schopnosti, aké poskytujú heslá (prístup k účtom cez akékoľvek zariadenie), potom bude tento problém tam.
Ak navrhnem otvárač garážových brán, ktorý používa PKI a nikto by nikdy nedokázal napodobniť komunikáciu môjho otvárača s mojou garážou, ale vytvoril by som rezervu, kde akceptuje kódy bežného otvárača garážových brán. Hádajte čo, záložný spôsob robí môj nový otvárač úplne zbytočným.
Nie je to hluk, keď záložné riešenie ruší výhody technológie.
Kliknutím rozbalíte...
Myslím, že som na to niekde odpovedal v inom vlákne, ale heslá sa nevyžadujú ako náhrada v dizajne bez hesla. Môžete ich jednoducho zahodiť ako autentifikačný mechanizmus.
Stále si to môžete ponechať ako metódu „Stratil som všetky kľúče, začnime proces obnovy“, rovnako ako „bezpečnostné otázky“ heslá, alebo si môžete vybrať akúkoľvek inú metódu, ktorá sa vám páči („Stratil som všetky kľúče, pošlite mi e-mail s odkazom a pošlite mi SMS s kódom, ktorý musím zadať do odkazov formy"... alebo ak ste IT pre spoločnosť, „choďte k IT servisu a predložte svoje ID zamestnanca“). V tomto bode by ste to nenazvali heslom, nazvali by ste to „kľúč na obnovenie“ a namiesto toho, aby ste používateľovi umožnili vyberte si ho, vygenerujete ho pri vytváraní účtu a poviete im, aby si ho uložili/vytlačili, inak môžu skončiť uzamknuté von.
Stále budete mať pár ľudí, ktorí to tiež vyhodia, a to sa vráti buď k „nešťastiu“, alebo „tu je naše číslo 1800...“ alebo čokoľvek chcete.
V žiadnom prípade však nedáte ľuďom možnosť zadať heslo, ktoré môže byť neoprávnene zadané do bežného prihlasovacieho formulára – zadávajú iba heslá veľmi zriedkavé špeciálne prípady, keď vedia, že to môžu očakávať, pretože začali proces obnovy, pretože stratili kľúče.
Edit: Opravte preklep. Môžem zamurovať IT servisný stôl a verte mi, som si istý, že občas by to chcel každý z nás, ale myslím si, že chodenie je zvyčajne užitočnejší proces
V skutočnosti je to CTAP 2.2 a WebAuthn 3.SeanJW povedal:Nie je to len na ľudí – toto je aktualizácia FIDO2, ktorá je druhou verziou štandardu. U2F bol FIDO1; toto je CTAP 2.4 (myslím, že som vytiahol číslo z pamäte a môžem sa mýliť), súčasť FIDO2/WebAuthn. V skutočnosti to nie je nič zložité, ako to už býva... uvoľnili požiadavky na Authenticator, aby sa súkromný kľúč dal (musí byť...) bezpečne skopírovať, a pridali niektoré funkcie Javascriptu, ktoré uľahčia život. Prihlasovanie bez hesla? S FIDO2 to bolo vždy možné. To je tá správna časť – FIDO1 môže byť iba MFA. Chcete pridať súkromný kľúč do prehliadača uloženého v TPM alebo zabezpečenom prvku? Vždy to bolo možné a bol predtým implementovaný v prehliadačoch Chrome, Firefox a Safari. Novinkou je, že ho možno synchronizovať a pristupovať k nemu prostredníctvom rigmarolu BT/QR. Predtým bol označovaný (a označený na webových stránkach) ako „klávesy špecifické pre platformu“, na rozdiel od prenosných, ktorými boli hardvérové zariadenia. Teraz sú to PassKeys.
Kliknutím rozbalíte...
Nakoniec zverejnili pracovný návrh - je to tu:
Tá vec s QR kódom sa nakoniec volala Hybridná doprava (časť 11.5). V protokole je určite veľa „káblových“ reťazcov, pretože bol založený na verzii Google s názvom „cloud assisted Bluetooth LE“.
Pán Kite povedal:Ospravedlňujeme sa, že prispievam k tomuto nešťastiu, ale ČO sú tieto miesta, na ktorých sa hovorí „žiadne palcové disky“? Nenapadá ma žiadny kontext zahŕňajúci osobné zariadenia, kde to dáva zmysel.
Kliknutím rozbalíte...
Nie osobné zariadenia, ale spoločnosti a najmä vláda. Existujú dve obavy: prvá je jednoducho to, že úložisko USB je lokálne úložisko a je potenciálne riskantné – napr. ľudia urobili testy, v ktorých môžete vložiť USB kľúče do na parkovisku pri budove a časť ľudí si ich zapojí do svojho pracovného počítača, čo by bol skvelý spôsob, ako prepašovať malvér do zabezpečenej siete. Druhá je pre akékoľvek miesto, kde sú dáta, nad ktorými chcú nestratiť kontrolu: ak môžete použiť flash disk, môžete naň skopírovať dáta a vziať vyjsť z budovy, kde sa potenciálne môže stať katastrofou (úmyselnou alebo nie) – predstavte si, že niekto z HR chce pracovať doma a potom vypadne kľúč s tisíckami personálnych záznamov a vy musíte pre všetkých zverejniť porušenie pre prípad, že by ich našiel niekto so zlomyseľnosťou to.
Najjednoduchšou odpoveďou v oboch prípadoch je zablokovať veľkokapacitné pamäťové zariadenia USB, aby ste mohli povoliť veci ako klávesnice a mikrofóny, ale nie úložisko. To stále ponúka niekoľko útokov - slávny starý bol https://lcamtuf.coredump.cx/plasma_globe/ — takže miesta môžu ísť ešte ďalej. Je to už dávno, ale pred pár desaťročiami, keď som bol na miestnom bezpečnostnom stretnutí s niekoľkými ľuďmi zo zariadenia Navy SPAWAR, povedali ich ochranným systémom bola trubica z epoxidu: bolo lacnejšie zaplatiť niekomu, aby to vytesal, kým niekto iný sa na to niekoľkokrát do roka pozeral. vymeňte pokazenú klávesnicu alebo myš, než sa pokúšalo zistiť všetky možné spôsoby, ako by niekto mohol zneužiť niečo ako USB, Firewire, atď. To je extrémny prípad, ale stojí za to pamätať, že ak máte nejaké skutočné náklady na stratu kontroly vaše počítače alebo údaje, môže byť lacnejšie obmedziť spôsob, akým sa ľudia môžu pripojiť k počítačom, ktoré ich obsahujú údajov. Viem, že ľudia pracujú v regulovaných odvetviach, ktorí majú určité veci, ktoré môžu robiť len na uzamknutých terminálových serveroch z rovnakého dôvodu – existuje horná hranica toho, ako rýchlo by ste mohli exfiltrovať údaje, ak niekto musí OCR reláciu vzdialenej pracovnej plochy, zatiaľ čo drží stránku Tlačidlo nadol.
Nesúhlasím s vami – registrácia účtu pomocou prístupových kľúčov je jednoduchá v porovnaní s nastavením „zadajte používateľské meno, ďalej, zadajte heslo, potom zadajte 2FA kód/výzvu na potvrdenie“. Prihlásenie je úplne jednoduché v porovnaní so žonglovaním s heslami a povereniami 2FA.Num Lock povedal:Som neskoro na túto párty, ale áno... už som našiel „zadajte používateľské meno, ďalej, zadajte heslo, ďalej zadajte 2FA kód/potvrdzujte výzvu” pracovný postup je nepríjemný, ale chápem výhody pre mňa a moju zamestnávateľ. Toto... je na mňa priveľa v porovnaní s rizikom phishingu, keď už mám jedinečné heslá automatického generovania a MFA na všetko, čo to môže akceptovať.Priemerný Joe alebo Jane, ktorí to najviac potrebujú, si ani nevedia spomenúť na svoje heslá bez toho, aby si ich zapísali, a nevedia vyriešiť správcu hesiel, dávno predtým, než som vôbec naštvaný. Nebudú to môcť nastaviť sami a ak ich niekto prevedie nastavením, pri prvom stretnutí s týmto tokom sa rozzúria. Pomohol som „počítačovým negramotným“ robiť základné úlohy, ako je registrácia na odber e-mailu. Triviálne, dvojminútové cvičenie pre čitateľov Ars je pre nich polhodina v pekle.
Kliknutím rozbalíte...
Väčšina počítačovo negramotných ľudí má oveľa pohodlnejšie používanie telefónu ako prenosného alebo stolného počítača Biometrické overenie pomocou odtlačku prsta alebo tváre je pre nich prirodzenejšie na odomknutie telefónu alebo prístupu bankové/správové aplikácie. Podľa mojich nedávnych skúseností prístupové kľúče uľahčujú všetky tieto veci.
Príklad úrovne počítačovej gramotnosti môjho člena rodiny, ktorý úplne bez námahy používa prístupové kľúče na svojom účte eBay: tá istá osoba ma nedávno požiadala, aby som preskúmal problém s ich laptopom, pretože okno prehliadača bolo viac ako týždeň príliš malé – neuvedomili si, že okraje a rohy okna možno potiahnuť ľavým tlačidlom myši a zmeniť tak veľkosť okno…
Prístup na eBay pomocou prístupových kľúčov na iPhone a MacBook (obe zariadenia TouchID) bol pre túto osobu STÁLE jednoduchý.
Apple nie je hotový.SeanJW povedal:Povzdych. Stále neskoro na párty. Google z toho robí raňajky pre psov, čo nikoho neprekvapuje, ale majú tam pracovné veci. Apple je na celej čiare hotový. Microsoft jazdí na chvostoch Googlu (aj keď aby sme boli spravodliví, robia časť Windows Hello, ktorú Google potrebuje pre Windows).Niet divu, že nenávidím testovanie FIDO2 na Firefoxe (najmä na Linuxe)
Kliknutím rozbalíte...
Musia implementovať API, ktoré umožní správcovi hesiel tretej strany zachytiť úložisko súkromných kľúčov, príp povoliť doplnku tretej strany, aby bol úplným autentifikátorom – vytvoriť pár kľúčov, podpísať tvrdenie, overenie používateľa, atď.
Ak Apple povoľuje ukladanie súkromných kľúčov v iCloude, len ťažko budem odporúčať prístupové kľúče skupine používateľov, ktorí používajú iPhony a počítače so systémom Windows. Títo ľudia sa zaseknú pri generovaní jedného prístupového kľúča na ekosystém a/alebo dúfajú, že obnovenie účtu funguje.
Pán Kite povedal:Zdá sa, že účet, na ktorý reagujete, (pravdepodobne zámerne) nesprávne pochopil, že Google je nejakým spôsobom v zacyklení používania prístupového kľúča na prihlásenie na inú stránku. Zdá sa, že slová „prístupový kľúč Google“ za sebou v nadpise prinútili niektorých ľudí, aby si mysleli, že ide o službu, ktorú poskytujú, vďaka čomu sú ľudia závislí na dobrej vôli spoločnosti Google alebo podobne.Napoly vážne si začínam myslieť, že časť hystérie, ktorá je tu zapálená, pochádza z robotických fariem, ktoré prevádzkujú zločinci, ktorí chránia svoje podnikanie.
Kliknutím rozbalíte...
Samotný článok hovorí „akýkoľvek mechanizmus synchronizácie si používateľ zvolí (či už od spoločnosti Apple, Microsoft, Google alebo tretej strany)“. Dôležitou otázkou je teda dôveryhodnosť sprostredkovateľskej infraštruktúry, ktorá sa stará o synchronizáciu kľúčov. Na ekosystéme, ktorý spracováva kľúče, záleží a momentálne sa nezdá, že by existovala alternatíva, ktorá nie je pre veľké korporácie.
Konverzácia v komentároch hovorila aj o širšom prijatí prístupového kľúča a o tom, ako by to mohlo vyzerať, nielen o prihlásení sa do Google, takže to možno bolo mätúce? Keď táto technológia začína, je primeraný čas začať premýšľať o možných dôsledkoch. Ľudia v oblasti techniky už videli, ako zle sa môžu dostať súkromné korporácie vlastniace kľúčové časti infraštruktúry.
Keby sa Dan zameral na zodpovedanie otázok, ako je SeanJW alebo veľa iných používateľov, namiesto toho, aby sa dezinformácie (keď si pôvodne pomýlil požiadavky na Bluetooth v samotnom článku lol), bolo by toho veľa pokojnejší.
fvgfvghvgv povedal:Ani nerozumiete, ako sú prístupové kľúče silným zmiernením proti phishingu a MITM útokom? Prečo potom vypĺňate komentáre dezinformáciami, keď ste neurobili základný výskum? To všetko bolo jasne vysvetlené v článkoch, ktoré ste boli veľmi hlasní v komentároch.
Kliknutím rozbalíte...
Ehm, práve som si prešiel všetky články a ani jeden z nich nevysvetľuje, ako to zabraňuje útokom MITM. Ak mám webovú stránku a oklamem vás, aby ste ju navštívili, nevidím dôvod, prečo by nebola náchylná na útoky MITM.
Klient Škodlivý server <> Skutočná aplikácia
Škodlivý server kontaktuje aplikáciu v mene klienta, vyžiada si podpis od klienta a potom ho odošle späť aplikácii. Nepotrebujú na to súkromný kľúč, stačí im, aby si o kľúč vyžiadala aplikácia a aby klient odpovedal správnym kľúčom. Tento mechanizmus možno do určitej miery zmierniť na strane servera, ale to platí pre heslá a prístupové kľúče.
Typ phishingu, ktorý tomu zabraňuje, je webová stránka na zbieranie statických poverení, ktorá predstiera, že je prihlasovacou stránkou, no skutočnej stránke nič neprenáša. A to tiež míňa pointu, ktorá sa týka vášho ďalšieho odseku.
Tiež ste už predtým povedali, že heslá sú zriedkavo napadnuté pri použití a toto poverenie kompromisy sú väčšinou spôsobené slovníkovými útokmi, preplňovaním poverení a odhaleným nezabezpečeným heslom databázy. Teraz hovoríte, že v skutočnosti existujú phishingové útoky, ktoré sú úspešné dokonca aj s TOTP, a NCSC aj CISA uvádzajú, že phishing je stále prevládajúcim vektorom útokov, takže stále hovorím, že ste sa predtým mýlili a že heslá sú stále zraniteľné miesto použitia.
Kliknutím rozbalíte...
"Point of Use" je v reálnom čase. Útoky opakovaného prehrávania sú zriedkavé a možno ich zmierniť na strane webovej aplikácie. Plnenie poverení nie je „bod použitia“ – používa sa vždy, keď ho chce použiť útočník, nie klient.
Phishing určite prevláda, nikdy som nepovedal, že nie. Hovorím, že pri zálohovaní hesiel prístupové kľúče nepomáhajú zmierniť uvedené phishingové útoky, pretože záloha sa stáva obeťou rovnakej metodológie útoku ako starý mechanizmus autentifikácie.
Národné štáty sa určite zameriavajú na technickú podporu, ktorá predstiera, že sú zamestnancami, aby resetovali zariadenia / MFA. Takže netuším o čo ti tu ide.Národné štáty sa nebudú zameriavať na technickú podporu online služby, ako je Google, ktorá zahŕňa end-to-end šifrovanie a ktorá upozorní svojich používateľov, ak má podozrenie na pokus o nepriateľské narušenie. To by bolo to najhoršie, čo by mohli urobiť. Získali by prinajlepšom zašifrovanú škvrnu údajov a riskovali, že cieľ bude pravdepodobne upozornený a požiada o radu v oblasti bezpečnosti.
Kliknutím rozbalíte...
Bol si plne vedomý toho, že si sarkastický. Odpovedal som ironicky, pretože nikto neukázal plán na odstránenie hesiel (až do strany 14).Som rád, že sa vám môj navrhovaný plán páči, ale bol som sarkastický; to, čo som navrhol, sa skutočne deje teraz a čo sa plánuje do budúcnosti, ako je zdokumentované v tomto článku... Ale nestrácajte čas čakaním na zmysluplné whitepapery, už desaťročia sú to iný výraz pre „marketingové chmýří“. poslať účtovníkom a vyššiemu manažmentu“ a cieľovou skupinou sú IT ľudia, ktorí vedia len toľko, aby boli nebezpeční
Kliknutím rozbalíte...
