Ne in absolutno ne.Kontekst članka je prijava v poverilnico Google z geslom. "Veliki 3" in tudi številni drugi ponujajo hrambo ključev in obnovitev, vendar spletna mesta uporabljajo neposredno geslo - če uporabljate geslo pri Best Buyu, na primer ne bodo preverjali pri Googlu (razen če uporabljate »social logons« tečaj). V tem kontekstu google brisanje vašega računa samo pomeni, da bi se stvari lahko zapletle, če bi vaš telefon umrl. V bistvu so yubikey z možnostjo obnovitve - torej nekoliko manj varni, ker zasebni ključ obstaja v hrambi, ki reši 50 % težave z yubikeys (preostala sta cena in podpora za aplikacije bolečina).Zdi se, da vsak posamezen sistem, za katerega se zdi, da lahko shrani ključe, zahteva, da zaupate velikim trem (Apple, Google, Microsoft), da ne bodo izbrisali vašega računa brez opozorila. V mojem primeru, če Apple izbriše moj račun iCloud in obesek za ključe, izgubim dostop do vsega, kar je zaščiteno z geslom. Primerjajte to s tem, kar se zgodi zdaj, če uničim svoj glavni Yubikey: grem v banko, jim pokažem dva oblike ID-ja, uporabi moj fizični ključ za pridobitev rezervnega Yubikeyja iz sefa in nadaljuj z življenje.
Dokler in če ne bo resnih in trajnih posledic za podjetja, ki zagotavljajo infrastrukturne storitve, ki delujejo enostransko, tega ne bom uporabil. KeyPass/BitWarden lahko ustvari poljubno močna gesla, lahko kupite poljubno število ključev Webauthn pri različnih prodajalcih. Z geslom vas loči en (samodejni, nepogajalen) izbris od tega, da boste trajno zaklenjeni iz celotnega spletnega življenja.
Če želite to moč dati podjetju, me prosim. Počakal bom, dokler se ne bo obravnavalo kot podjetja za oskrbo z vodo ali elektriko, ki prekinejo storitve brez očitnega razloga: visoke in hude kazni.
Nisem prepričan, da razumem, kako potek dela, ki zahtevaČe kopirate in lepite gesla (ali jih vnašate iz pomnilnika, kar ima v velikem obsegu druge težave), ste ranljivi za lažno predstavljanje. Gesla bi bila torej velika varnostna izboljšava za vas.
zgrabi tvoj telefon,
tapkanje v aplikaciji,
fotografiranje zaslona in
tapkanje, kaj narediti s to informacijo ......je "lažja" operacija kot vnašanje gesla iz pomnilnika ali samodejno dokončanje z upraviteljem gesel ali kopiranje in lepljenje z upraviteljem gesel.
Morda obstajajo druge koristi, vendar nikakor ni tako lažje.
Za svoj Google Račun sem svoje YubiKeys, ki sem jih uporabljal kot 2FA, znova registriral kot geslo. Pri 2FA je bila avtentikacija Googlovo geslo + strojni ključ FIDO U2F. Pri geslih je strojni ključ FIDO2 + PIN FIDO2 ključa.
Nobeno od »velikih treh« tehnoloških podjetij ne bo varovalo vaših gesel. Gesla so shranjena v napravi. Če svojega gesla ne želite sinhronizirati prek neke vrste storitve, vstavite isto geslo v več naprav. Imate samo eno napravo. In zdaj je ni več? To je ista težava kot upravitelji gesel brez sinhronizacije. Na koncu se boste morali znova avtentikirati z različnimi storitvami, tako kot v katerem koli podobnem primeru zaklepanja. Večina ljudi bo svoja gesla sinhronizirala tako kot svoja gesla. In ne, če Google zapre vaš račun, ne more onemogočiti gesel, ki jih že imate v svojih napravah. Izgubili boste njihovo storitev sinhronizacije, vendar lahko namesto tega začnete uporabljati drugo.
Gesl ni mogoče lažno predstavljati, jih ni mogoče pozabiti, do njih ni mogoče priti z uhajanjem podatkov in so sama po sebi edinstvena in varna. To so res velike izboljšave. Prav tako jih je lažje uporabljati, ker je preverjanje pristnosti, ko so v vaši napravi, preprosto.
Za to uporabljam Yubikey, ne Android ali iOS. To pomeni, da nisem zavezan Googlu/Applu, da bi lahko upravljal svoj ključ, niti mi ni treba skrbeti, da bi bil moj račun ogrožen in bi tako ušlo geslo.
Za primerjavo s prijavo v račun Google, že nekaj časa uporabljam ta Yubikey tudi za dostop do svojega računa Microsoft.
Microsoft deluje v vseh glavnih brskalnikih na namizju (razen Safari v MacOS-u, ko sem zadnjič preverjal). Zdi se, da Google potrebuje Chrome.
Microsoft ima možnost pod poljem z uporabniškim imenom, da se podpiše na drugačen način, nato izberete Windows Hello ali varnostni ključ, vstavite ključ v vrata USB, vnesete PIN in pritisnete gumb na vrhu. Nato vas bo vprašal, kateri račun (če imate shranjenih več računov), in takoj ste prijavljeni. Niti si ni treba zapomniti uporabniškega imena/e-poštnega naslova.
Google zahteva, da vnesete svoje uporabniško ime/e-poštni naslov, nato zahteva vnos ključa. Nato morate vnesti kodo PIN in ta vas bo prijavil.
Z vidika uporabnosti je Microsoft boljši v tem, da se vam ni treba spomniti e-pošte. Za množico Arsa je to verjetno negativno. Toda če podpirate 70-letne stare starše, manj stvari, kot se morajo spomniti, tem bolje. Nisem potrdil, a slaba stran sistema MS je, da Yubikey podpira samo določeno število shranjenih poverilnic, medtem ko glede na to, kar sem lahko videl v svoji raziskavi, Googlova metoda v bistvu omogoča, da Yubikey ustvari zasebni ključ posebej za to spletno mesto, na internem zasebnem ključu, vašo kodo PIN in nekatere podatke, ki jih zagotovita spletno mesto in brskalnik, vsakič, ko mora zagnati avtentikacija. Zdi se, da oba uporabljata notranji zasebni ključ, značilen za Yubikey, vašo kodo PIN, nekaj informacij o domeni, ki jih posreduje brskalnik, in posebne informacije, posredovane s spletnega mesta, ki ga obiskujete, za izvedbo rokovanja, kar preprečuje, da bi napadi MITM bili uspešni, saj ne morejo ponarediti vsega tega podatke.
Nisem prepričan, kaj manjka v Firefoxu za Googlovo izvedbo v primerjavi z Microsoftovo, zakaj ne podpira novega sistema gesla. Ali pa samo Google ne zahteva gesla, ker Firefox ni implementiral dela Bluetooth, ki ima stranski učinek nepodpore Yubikeys/žetonov strojne opreme, ker Firefox za to ne zahteva Googlova prijava mesto.
--
Če izgubite geslo in nimate rezervnega gesla, je nadomestna varnostna možnost, da se prijavite na način, na katerega ste se prijavljali pred geslom. Torej običajno geslo + OTP. Čeprav to pomeni, da spletno mesto podpira manj varen sistem za preverjanje pristnosti, je ena prednost ta, da ga vi ne podpirate redno uporabo gesla, tako da je manj verjetno, da bo ušlo ali prestreglo lažno predstavljanje/MITM napad.
--
Z varnostnega vidika si lahko gesla ogledate kot denarnico z gesli z omejeno podporo spletnega mesta. Če uporabljate Yubikey, je denarnica strojna naprava v vašem žepu, zaščitena s kodo PIN. Če uporabljate geslo za Android/iOS, je denarnica sinhronizirana v sistemu v oblaku in zaščitena z geslom vašega računa + biometričnimi podatki. Če izgubite napravo, je to podobno izgubi datoteke z geslom.
Ko ugotovijo vse zanke, lahko to spremeni veliko stvari v varnostnem okolju, saj bodo posamezniki, ki se ne zavedajo varnosti, se ne boste več upirali zahtevam za varno geslo ali ugotovili, kako pravilno uporabljati denarnico z geslom in kako do nje dostopati/sinhronizirati med več naprave. Ker v bistvu postanejo denarnica za gesla, gesla ustvarijo res varna, res naključna gesla za vsako spletno mesto, na katerem se uporabljajo, in so zgrajena z upoštevanjem odpornosti proti lažnemu predstavljanju.
Kako se lahko to zavrne? To je 100% res.
To je WHO, ne kaj na prvi strani. Brez ljubezni do Googla na prvi strani, tako da je njihova podpora obrnila množico proti industrijski standard.
Neumno je.
Še enkrat, bralci, ne bodite pozorni na te komentatorje.
Uporaba gesla ne bi smela biti odgovor na nekaj, kar bi nadomestilo gesla.
To je nekako smešno. Kako drugače bi se avtentikirali v obstoječi storitvi da posodobite svoj mehanizem za preverjanje pristnosti? Poleg že obravnavane metode QR in bluetooth. In čeprav napadalna površina na strani strežnika ni nujno zmanjšana z omogočanjem in ne zahtevanjem prijave z geslom, znatno zmanjša napadalno površino na strani odjemalca, saj se izključno ukvarjate z izmenjavo ključev, ki jo omogoča preverjanje pristnosti na ravni OS. In to je zmaga za vse.
Če ste že do te mere, da ne morete zaupati nobeni varnostni funkciji svojega operacijskega sistema, lahko preprosto zavržete svoje računalniške naprave in greste živeti na tropski otok ali kaj podobnega. pri neka točka določenemu delu programske opreme je treba dati določeno stopnjo zaupanja.
Mislim, da je tu veliko zmede, ker je bil celoten tehnološki kup zvrnjen na nas in predstavljen kot fait accompli. Naj ga kot nevednež poskusim razstaviti po analogiji s tem, kar razumem: pari ključev SSH. Vabim druge, da pobrskajo luknje v tem, kar se motim.1. Javni/zasebni ključi za preverjanje pristnosti. To deluje približno enako kot SSH. Spletno mesto pozna le vaš javni ključ, vi pa podpišete sporočila, da dokažete, da imate zasebni ključ.
2. Zaščita proti lažnemu predstavljanju. Ključi so specifični za spletno mesto, zato lažno spletno mesto dobi drugačen ključ. SSH ima gostiteljske ključe za to, predvidevam, da keypass uporablja nekaj opraviti z gostiteljskimi ključi TLS? Vaš brskalnik to uporablja, da izbere, kateri ključ naj uporabi? Ali samo po imenu DNS?
3. Sredstva za odklepanje ključev, da se dokaže, da jih uporablja pravi uporabnik. SSH ima gesla, predvidevam, da tukaj pride do biometrije / Bluetooth? SSH lahko tudi odklene ključe s pametnimi karticami, zato predvidevam, da je biometrija nekoliko podobna drugemu načinu odklepanja?
4. Sinhronizacija ključev med napravami. Tukaj verjetno pridejo na vrsto oblačni "ekosistemi", kot je sinhronizacija gesel iCloud in Chrome? Za SSH ni podpore, lahko pa skuhate svojega z rsync ali čim drugim?
Kaj sem naredil narobe?
Če je zgornje na splošno pravilno, si lahko predstavljam gradnjo odprtega sklada, ki v bistvu deluje enako kot SSH z uporabo kupa datotek v ~/.ssh in rsync za premikanje med napravami. To je pristop "kolesa", kjer so vsi gibljivi deli izpostavljeni in je enostavno razumeti, kaj se dogaja.
Ni namenjen samo ljudem – to je posodobitev FIDO2, ki je sama druga različica standarda. U2F je bil FIDO1; to je CTAP 2.2 ([uredi: Popravljeno iz mojega WAG 2.4, ki je bil napačen, hvala, še vedno nepravilno!]), del FIDO2/WebAuthn. To pa res ni nič zapletenega... zrahljali so zahteve za Authenticator, tako da je zasebni ključ mogoče (mora biti ...) varno kopiran, in dodali nekatere funkcije Javascripta, da olajšajo življenje. Prijave brez gesla? S FIDO2 je bilo to vedno mogoče. To je lep del tega - FIDO1 je lahko samo MFA. Ali v brskalnik dodate zasebni ključ, shranjen v TPM ali varnem elementu? Vedno je bilo mogoče in je bil prej implementiran v Chrome, Firefox in Safari. Novo je, da ga je mogoče sinhronizirati in dostopati prek BT/QR rigmarole. Prej je bil imenovan (in označen na spletnih mestih) kot "ključi, specifični za platformo", v nasprotju s prenosnimi, ki so bili strojne naprave. Zdaj so to PassKeys.
Ker se zdi, da je bistvo sistema gesel v tem, da se znebite gesel, naj naštejem nekaj prednosti gesel:
- so dovolj preprosti, da jih razume vsak, ki je mentalno sposoben upravljati elektronsko napravo
- zlahka si jih je zapomniti, če se sploh potrudite in jih redno uporabljate
- takoj delujejo na vseh operacijskih sistemih
- ne potrebujejo dostopa do interneta (nekateri sistemi so brez povezave z dobrim razlogom)
- ne potrebujejo sodelovanja tretje osebe
- ne zahtevajo prisotnosti pametnega telefona ali drugega pripomočka
- ne potrebujejo Bluetooth, WiFi, kamer ali baterij
- v nujnih primerih jih je mogoče shraniti brez električne energije
- zlahka jih je mogoče prenesti na drugo osebo brez uporabe kakršne koli naprave
- če niste invalidi in ne uporabljate pametnega telefona, avtentikacija z geslom traja le nekaj sekund
Vaše točke št. 1, št. 2 in št. 10 so preprosto napačne – vprašajte vsakogar, ki dela v tehnični podpori, kako pogosto mora ponastaviti geslo, ker nekdo pozabili geslo, pustili vklopljeno tipko Caps Lock (ali napačno položili roko na tipkovnico) ali dovoljkrat pomečkali s prsti, da so bili zaklenjeni ven. Ja, ja, vem, da vi osebno to vedno odlično izdelate, a verjemite mi, vsak, ki prejme klic v službi za pomoč uporabnikom, ima … manj optimističen … pogled na človeštvo. Dodal bom še, da podpiram veliko slepih uporabnikov in vnos gesel množično zanje je zanič, ker imajo številna spletna mesta zahteve glede kompleksnosti, ki so težke za uporabnike bralnikov zaslona, in če niste izkušen tipkalec, ni dobro povedati tega na glas. To je niša, ki pa jo morajo številni ljudje, ki gradijo sisteme za preverjanje pristnosti, tudi zakonsko dobro podpirati, in to je eden od razlogov, zakaj me zanima tehnologija od "Ali se želite prijaviti s svojim geslom?" »Da« je vsaj za en red velikosti hitrejši in lažji od katere koli oblike gesla + MFA za mnoge tiste uporabniki.
Točka št. 3 velja za WebAuthn MFA, vendar vedno gesla – nekaj takega kot Yubikey deluje povsod, kjer imate USB/NFC, vendar lahko morate nastaviti kodo PIN ali uporabiti njihove biometrične serijske ključe za implementatorje gesel, kot je Google.com, ki zahtevajo več kot preprosto tapnite.
Točke #5, #6, #7 in #8 veljajo tudi za vse oblike WebAuthn – tako za MFA kot za gesla. Točka št. 4 je resnična, razen pri prvi prijavi naprave pri sinhronizaciji obstoječega ključa. Ko prvič sinhronizirate svoje ključe, ne potrebujete omrežne povezave. Če ne želite sinhronizirati, lahko kupite tudi nekaj biometričnih ključev Yubikey, ki spet delujejo popolnoma brez povezave, kjer koli imate USB ali NFC.
Tako ostane #9, kar je slaba praksa in se ji je treba izogibati, če je le mogoče. Sodobni sistemi imajo stvari, kot je preverjanje pristnosti na podlagi vlog, kjer ljudje nikoli ne delijo gesel, vendar lahko več oseb prevzame določeno vlogo, ali stvari, kot sta podedovano ali delegirano računov, pri katerih spet nikoli ne delite gesel, ampak daste eni ali, še bolje, več osebam v kombinaciji možnost, da naredijo nekaj, kot je ponastavitev gesla ali pridobitev nadzora nad vaše datoteke.
Samo zato, ker je nekaj novega in se niste naučili, kako deluje, še ne pomeni, da je slabo ali da se mu je treba izogibati. Gesla so velika sprememba za večino od nas – .gov razen, ker se PIV/CAC tam vrača v prejšnje stoletje, tudi če je malo drugje sprejeli – vendar imajo poleg varnostnih prednosti številne izboljšave uporabnosti in obstaja jasna pot za izgradnjo nekaj manjkajočih delov (npr. resnično želim možnost sinhronizacije gesla Apple/Google z ključem Yubikey, da ga lahko vržem v svoj sef takoj v Ovitek).
Očitno mora biti na voljo ne le med sinhronizacijo, ampak tudi med avtentikacijo, saj se za to uporablja. Na voljo mora biti tudi med prvo registracijo.In to je tisto, kar vam poskušam razložiti: enostavno bi bilo preveriti pristnost z obstoječo napravo in jo uporabiti napravi za dodajanje drugega javnega ključa, ki je ustvarjen na drugi, novi napravi, in ga nekateri pošljejo stari napravi pomeni. Ustvaril bi lahko na primer nov par ključev tajnega ključa/javnega ključa na svojem namiznem računalniku, poslal javni ključ na svoj prenosni računalnik, se prijavil s svojim prenosnim računalnikom in dodal javni ključ namizja. Ves čas počnem podobne stvari s SSH.
Tukaj ni nobene tehnične ovire. Če to ni mogoče z geslom, je to po izbiri.
Zasebni ključ ni dostopen. Zakaj ne bi tega pogledali, namesto da znova in znova ponavljate neresnico.
In zdaj sem bolj zmeden, kot sem bil, preden sem začel - članek sem posredoval svojemu CS majorju/boljši polovici, da razloži stvari, vendar to morda ne bo dovolj.
Gesla so zlahka prebavljiva. 2FA je enostavno razložiti. Gesla so nekako smiselna, a ravno ko pomislim, da bi jih lahko dobil, preberem naslednji odstavek in se še bolj izgubim.
Nebesa pomagaj mojim bratom in sestram ter staršem.
Hvala, ker si to rekel. Odgovori Dana in drugih (npr. @Wbdpromoviran komentar uporabnika, ki citira mojega) temelji na temeljnem napačnem branju komentarja.Zavedate se, da tako 1Password kot Bitwarden delata na podpori za geslo, kajne?Ne želim zaupati svojemu ponudniku operacijskega sistema (v mojem primeru Apple za mobilne in namizne naprave) gesel in odgovor je vedno znova "Ampak vi ŽE ZAUPAJTE GOOGLU SVOJE GESLO." Da, v redu, vnesem dolgo naključno geslo iz BitWarden/KeePass, priključim svoj Yubikey in pritisnem gumb. V nobenem trenutku ni odvisen od mojega ponudnika OS.
In seveda, trenutno obstaja možnost, da ne uporabljate gesel in uporabite geslo kot prej, vendar je celoten vlak tehnološkega navdušenja na poti v »NI VEČ GESEL GESLA ZA EVERYONE" in če rečem, "ampak počakaj, če se mi zaklenejo vsi drugi računi, ker se moj ponudnik OS odloči, da mu nisem všeč, kaj se zgodi", me označijo za trola in napačno obveščen. Obstaja tudi toliko robnih primerov, ki jih lahko pomislim, kjer to ne deluje, in namesto da rečem, "ja, ti so utemeljeni pomisleki v prihodnosti samo z geslom, ki si jo želimo,« obstaja ta stalna kritika kakršnega koli spraševanje.
1Password je šel tako daleč, da je rekel, da so gesla "prihodnost avtentikacije": https://www.future.1password.com/passkeys/
