Googles lösenord är en enkel sak. Du har aktiverat dem, eller hur?

Nej och absolut inte.

Varje enskilt system som verkar kunna lagra lösenord verkar kräva att du litar på de tre stora (Apple, Google, Microsoft) för att inte radera ditt konto utan förvarning. I mitt fall, om Apple tar bort mitt iCloud-konto och nyckelringen, förlorar jag åtkomst till allt som är säkrat med en lösenordsnyckel. Jämför det med vad som händer just nu, om jag förstör min huvudsakliga Yubikey: Jag går till min bank, visar dem två former av ID, använd min fysiska nyckel för att hämta säkerhetskopian Yubikey från kassaskåpet och gå vidare med liv.

Tills och om det inte blir allvarliga och bestående konsekvenser för företag som tillhandahåller infrastrukturtjänster som agerar ensidigt, finns det inget sätt att jag kommer att använda detta. KeyPass/BitWarden kan generera godtyckligt starka lösenord, du kan köpa så många Webauthn-nycklar du vill från en mängd olika leverantörer. Med lösenord är du en (automatiserad, icke förhandlingsbar) radering från att bli permanent utelåst från hela ditt onlineliv.

Om du vill ge den makten till ett företag, var min gäst. Jag väntar tills det behandlas som att vatten- eller elbolag stänger av tjänsten utan någon uppenbar anledning: stora och skadande böter.

Sammanhanget för artikeln är att logga in på en Google-uppgifter med en lösenordsnyckel. "Big 3" och även flera andra erbjuder nyckeldeponering och återställning, men webbplatser använder lösenord direkt - om du använder en lösenord med Best Buy, kommer de inte att kolla med Google till exempel (såvida du inte använder "sociala inloggningar" av kurs). I det sammanhanget betyder google att torka ditt konto bara att om din telefon dör kan saker bli tråkiga. De är i grunden en yubikey med ett återställningsalternativ - så något mindre säkra eftersom den privata nyckeln finns i escrow som löser 50 % av problemet med yubikeys (prislappen och appstödet är de återstående smärta).
Jag är inte säker på att jag förstår hur ett arbetsflöde som kräver
tar tag i din telefon,
att använda en app,
ta en bild av din skärm, och
trycker på vad du ska göra med den informationen...

...är en "enklare" operation än att ange ett lösenord från minnet, eller autokomplettera med en lösenordshanterare, eller kopiera klistra in med en lösenordshanterare.

Det kan finnas andra fördelar, men det är inte på något sätt enklare.

Om du kopierar och klistrar in lösenord (eller skriver dem från minnet, vilket har andra problem i stor skala) är du sårbar för nätfiske. Så lösenord skulle vara en stor säkerhetsförbättring för dig.
Du kan göra lösenord med FIDO2 hårdvarusäkerhetsnycklar som YubiKey. Ingen anledning att hata lösenord.

För mitt Google-konto har jag omregistrerat mina YubiKeys som jag använde som 2FA för att vara lösenord. Med 2FA var autentiseringen Google-lösenord + FIDO U2F-hårdvarunyckel. Med lösenord är det FIDO2-hårdvarunyckeln + nyckelns FIDO2-PIN.

Suck. Nu börjas det igen. Ämnet med lösenord tar fram det värsta i kommentarerna här och HN. Mycket paranoia och allmän spridning av FUD.

Inget av de "tre stora" teknikföretagen kommer att vara getekeepers för dina lösenord. Nyckeln finns på en enhet. Om du inte vill synkronisera din lösenord via någon form av tjänst, lägg sedan samma lösenord på flera enheter. Du har bara en enhet Och nu är den borta? Det är samma problem som lösenordshanterare utan synkronisering. I slutändan måste du autentisera dig igen med olika tjänster precis som du skulle göra i alla liknande fall av att bli utelåst. De flesta människor kommer att synkronisera sina lösenord som de gör sina lösenord. Och nej, om Google stänger av ditt konto kan de inte inaktivera de lösenord som du redan har på dina enheter. Du kommer att förlora deras synkroniseringstjänst men du kan då börja använda en annan istället.

Nyckelnycklar kan inte nätfiskas, kan inte glömmas, kan inte fås genom dataläckor och är i sig unika och säkra. Det är verkligen stora förbättringar. De är också enklare att använda för när de väl är på din enhet är autentiseringen enkel.

Så efter att ha lekt med Googles implementering av lösenord i ett par dagar, verkar det ha förbättrats något jämfört med när jag först satte upp det på releasedagen.

Jag använder en Yubikey för detta, inte Android eller iOS. Det betyder att jag inte är skyldig att hantera min nyckel, och jag behöver inte heller oroa mig för att mitt konto äventyras och därmed läcker lösenordet.

Som en jämförelse med Google-kontoinloggningen har jag också använt denna Yubikey för att komma åt mitt Microsoft-konto ett tag nu.

Microsoft fungerar med alla stora webbläsare på skrivbordet (förutom Safari på MacOS senast jag kollade). Google verkar behöva Chrome.

Microsoft har ett alternativ under användarnamnsfältet för att logga in på ett annat sätt, sedan väljer du Windows Hello eller Säkerhetsnyckel, sätter nyckeln i en USB-port, anger PIN-koden och trycker på knappen överst. Den kommer då att fråga dig vilket konto (om du har flera konton sparade), och du loggas in direkt. Du behöver inte ens komma ihåg ditt användarnamn/e-postadress.

Google kräver att du anger ditt användarnamn/e-postadress, sedan ber den om att nyckeln ska infogas. Du måste sedan ange PIN-koden och den loggar in dig.

Ur ett användbarhetsperspektiv är Microsoft bättre genom att du inte behöver komma ihåg din e-post. För Ars-publiken är detta förmodligen negativt. Men om du stödjer 70-åriga morföräldrar, desto mindre saker de behöver komma ihåg, desto bättre. Jag har inte bekräftat, men en nackdel med MS-systemet är att Yubikey endast stöder ett visst antal lagrade referenser, medan från vad jag kunde se i min forskning, har Google-metoden i princip att Yubikey genererar en privat nyckel specifikt för den webbplatsen baserad på en intern privat nyckel, din PIN-kod och viss information från webbplatsen och webbläsaren, varje gång den behöver köra autentisering. Båda verkar använda en intern privat nyckel som är specifik för Yubikey, din PIN-kod, viss information om domänen som tillhandahålls av webbläsaren och specifik information som tillhandahålls från webbplatsen du besöker för att utföra handskakningen, vilket förhindrar att MITM-attacker lyckas eftersom de inte kan förfalska allt detta data.

Jag är inte säker på vad som saknas i Firefox för Googles implementering jämfört med Microsoft, varför det inte stöder det nya lösenordssystemet. Eller är det bara Google som inte begär lösenordet eftersom Firefox inte har implementerat Bluetooth-delen, som har bieffekt av att inte stödja Yubikeys/maskinvarutokens eftersom Firefox inte efterfrågas av Google-inloggningen webbplats.

--

Om du tappar bort lösenordsnyckeln och inte har en reservnyckel, är säkerhetsalternativet att logga in på det sätt som du loggade in innan lösenordet. Så vanligtvis lösenord + OTP. Även om detta innebär att webbplatsen stöder ett mindre säkert autentiseringssystem, är en fördel att du inte är det använder lösenordet regelbundet, så det är mindre sannolikt att det läcker eller avlyssnas av ett nätfiske/MITM ge sig på.

--

Ur ett säkerhetsperspektiv kan du se lösenord som en lösenordsplånbok med begränsat webbplatsstöd. Om du använder en Yubikey är plånboken en hårdvaruenhet i fickan, skyddad av en PIN-kod. Om du använder Android/iOS-lösenordet synkroniseras plånboken i ett molnsystem och skyddas av ditt kontolösenord + biometri. Om du tappar bort enheten liknar det att förlora lösenordsfilen.

När de väl har fått reda på alla problem, har detta potential att förändra en hel del saker i säkerhetslandskapet, eftersom icke-säkerhetsmedvetna individer kommer att inte längre motstå krav på säkra lösenord eller behöva ta reda på hur man korrekt använder en lösenordsplånbok och hur man kommer åt/synkroniserar den över flera enheter. Genom att i princip bli en lösenordsplånbok genererar lösenorden riktigt säkra, riktigt slumpmässiga lösenord för varje webbplats de används på, och är byggda med nätfiskemotstånd i åtanke.

Hur kan detta bli nedröstat? Det är 100% sant.

Dess WHO, inte Vad på förstasidan. Ingen kärlek till Google på förstasidan, så att deras stöd har vänt publiken emot en industristandard.

Det är dumt.

Återigen, läsare, ägna inte dessa kommentatorer någon uppmärksamhet.

Att använda ett lösenord bör inte vara svaret på något som är tänkt att ersätta lösenord.

Det här är lite löjligt. Hur skulle du annars autentisera dig för en befintlig tjänst för att uppdatera din autentiseringsmekanism? Bortsett från den redan diskuterade QR-och-bluetooth-metoden. Och även om attackytan på serversidan inte nödvändigtvis reduceras genom att aktivera snarare än att kräva inloggning med lösenord, väsentligt minskar attackytan på klientsidan, eftersom du strikt deltar i ett nyckelutbyte, aktiverat av autentisering på OS-nivå. Och det är en vinst för alla.

Om du är så pass att du inte kan lita på någon av ditt operativsystems säkerhetsfunktioner, kan du lika gärna slänga dina datorenheter och gå live på en tropisk ö eller något. På någon punkt någon grad av förtroende måste ges till någon del av mjukvaran.

Det finns mycket förvirring här, tror jag eftersom en hel teknikstack har dumpats på oss och presenterats som ett fullbordat faktum. Låt mig, som en okunnig, försöka dekonstruera det i analogi med vad jag förstår: SSH-nyckelpar. Jag uppmanar andra att plocka hål i det jag har fel.

1. Offentliga/privata autentiseringsnycklar. Detta fungerar ungefär som SSH. Webbplatsen känner bara till din offentliga nyckel, och du signerar meddelanden för att bevisa att du har den privata nyckeln.

2. Skydd mot nätfiske. Nycklar är specifika för en webbplats, så en nätfiskewebbplats får en annan nyckel. SSH har värdnycklar för detta, jag antar att keypass använder något att göra med TLS värdnycklar? Din webbläsare använder det för att välja vilken nyckel som ska användas? Eller bara med DNS-namn?

3. Medel för att låsa upp nycklarna för att bevisa att rätt användare använder dem. SSH har lösenordsfraser, jag antar att det är här det biometriska / Bluetooth-grejen kommer in? SSH kan också låsa upp nycklar med smartkort, och så jag antar att det biometriska är lite som ett annat upplåsningsläge?

4. Synkronisera nycklar mellan enheter. Det är förmodligen här moln "ekosystem" kommer in, som iCloud och Chrome lösenordssynkronisering? För SSH finns det inget stöd, men du kan laga din egen med rsync eller vad som helst?

Vad gjorde jag för fel?

Om ovanstående i stort sett stämmer skulle jag kunna tänka mig att bygga en öppen stack som i princip gör samma sak som SSH gör med hjälp av en hög med filer i ~/.ssh och rsync för att flytta mellan enheter. Det är "cykelmetoden" där alla rörliga delar är exponerade och lätta att förstå vad som händer.


Det är inte bara dumpat på människor - det här är en uppdatering av FIDO2, i sig den andra versionen av standarden. U2F var FIDO1; detta är CTAP 2.2 ([redigera: Rättad från min WAG av 2.4 som var fel, tack fortfarande felaktigt!]), en del av FIDO2/WebAuthn. Det här är verkligen inget komplicerat... de har lättat på Authenticator-kraven så att den privata nyckeln kan (måste...) kopieras säkert, och lagt till några Javascript-funktioner för att göra livet enklare. Lösenordslösa inloggningar? Alltid varit möjligt med FIDO2. Det är den snygga delen av det - FIDO1 kan bara vara MFA. Lägger du till en privat nyckel till din webbläsare som är lagrad i TPM eller säkert element? Alltid varit möjligt, och har tidigare implementerats i Chrome, Firefox och Safari. Vad som är nytt är att det kan synkroniseras och nås via BT/QR-rigmarole. Tidigare kallades det (och flaggades till webbplatser) som "plattformsspecifika nycklar", i motsats till de bärbara som var hårdvaruenheter. Nu är det PassKeys.
Eftersom hela poängen med lösenordssystemet verkar vara att bli av med lösenord, låt mig lista några av fördelarna med lösenord:
  • de är enkla nog att förstå för alla som mentalt kan hantera en elektronisk apparat
  • de är lätta att komma ihåg om du anstränger dig något och använder dem regelbundet
  • de fungerar på alla operativsystem direkt
  • de kräver ingen internetåtkomst (vissa system är offline av en god anledning)
  • de kräver inte samarbete från någon tredje part
  • de kräver inte närvaron av en smartphone eller annan pryl
  • de kräver inte Bluetooth, WiFi, kameror eller batterier
  • de kan - i nödfall - förvaras utan behov av el
  • de kan enkelt överföras till en annan person utan användning av någon enhet
  • om du inte är handikappad och inte använder en smartphone tar det bara några sekunder att autentisera med ett lösenord

Dina poäng #1, #2 och #10 är bara fel – fråga alla som arbetar inom teknisk support hur ofta de måste göra lösenordsåterställningar för att någon glömde sitt lösenord, lämnade sin caps lock-nyckel på (eller placerade handen fel på tangentbordet) eller fudge-fingrade tillräckligt många gånger för att bli låst ut. Ja, ja, jag vet att du personligen alltid löser det perfekt men tro mig, alla som får helpdesksamtal har en … mindre optimistisk … syn på mänskligheten. Jag ska också tillägga att jag stöder många blinda användare och lösenordsinmatning massivt suger för dem eftersom många webbplatser har komplexitetskrav som är svåra för användare av skärmläsare och om du inte är en skicklig touch-typist är det inte bra att säga det högt. Det är en nisch men det är en som många människor som bygger autentiseringssystem också måste stödja väl, och det är en av anledningarna till att jag är intresserad av tekniken sedan "Vill du logga in med ditt lösenord?" "Ja" är åtminstone en storleksordning snabbare och enklare än någon form av lösenord + MFA för många användare.

Punkt #3 är sant för WebAuthn MFA men alltid lösenord – något som en Yubikey fungerar var som helst du har USB/NFC men du kanske måste ställa in en PIN-kod eller använda sina biometriska nycklar för lösenordsimplementerare som Google.com som kräver mer än en enkel knacka.

Punkterna #5, #6, #7 och #8 gäller också för alla former av WebAuthn – både MFA och lösenord. Punkt #4 är sant förutom första gången du registrerar en enhet när du synkroniserar en befintlig nyckel. Efter första gången du har synkroniserat dina nycklar behöver du ingen nätverksanslutning. Om du inte vill synkronisera kan du också köpa ett par Yubikey biometriska nycklar som återigen fungerar helt offline var som helst du har USB eller NFC.

Det lämnar #9, vilket är dålig praxis och bör undvikas om det alls är möjligt. Moderna system har saker som rollbaserad autentisering, där människor aldrig delar lösenord utan flera personer får ta på sig en given roll, eller saker som äldre eller delegerade konton där du igen aldrig delar lösenord utan ger en eller, ännu bättre, flera personer som krävs i kombination möjligheten att göra något som att återställa ditt lösenord eller få kontroll över dina filer.

Bara för att något är nytt och du inte har lärt dig hur det fungerar betyder det inte att det är dåligt eller att det ska undvikas. Nyckeln är en stor förändring för de flesta av oss – .gov undantaget eftersom PIV/CAC går tillbaka till förra århundradet där även om få andra platser antog det – men de har ett antal användbarhetsförbättringar utöver säkerhetsfördelarna, och det finns en tydlig väg att bygga ut några av de saknade delarna (t.ex. jag vill verkligen ha möjligheten att synkronisera en Apple/Google-nyckel med en Yubikey så att jag kan släppa den i mitt kassaskåp precis om fall).

Det måste uppenbarligen vara tillgängligt inte bara under synkronisering, utan även under autentisering, eftersom det används för det. Och den måste också vara tillgänglig under den första registreringen.

Och det är vad jag försöker förklara för dig: Det skulle vara lätt att autentisera med en befintlig enhet och använda den enhet för att lägga till en annan offentlig nyckel, som genereras på en annan, ny enhet och skickas till den gamla enheten av någon betyder att. Till exempel kan jag skapa en ny hemlig nyckel / offentlig nyckelnyckelpar på min stationära dator, skicka den offentliga nyckeln till min bärbara dator, logga in med min bärbara dator och lägga till den offentliga skrivbordsnyckeln. Jag gör liknande saker med SSH hela tiden.

Det finns inget tekniskt hinder här. Om det inte är möjligt med lösenord, så är det ett val.


Den privata nyckeln är inte tillgänglig. Varför inte slå upp det istället för att upprepa en lögn om och om igen.
Som någon som är kapabel nog att förstå de flesta artiklar om Ars men utan en verklig teknisk bakgrund, har jag tror att det största hindret för allmän adoption kommer att vara att få människor att förstå vad som händer på. Jag läste artikeln två gånger. Jag läste igenom de bästa kommentarerna och några av de andra.

Och nu är jag mer förvirrad än jag var innan jag började - jag har vidarebefordrat artikeln till min CS-major/bättre hälft för att förklara saker men det kanske inte räcker.

Lösenord är lättsmälta. 2FA är lätt att förklara. Nyckelord är lite vettigt, men precis när jag tror att jag kan få det läser jag nästa stycke och går mer vilse.

Himlen hjälp mina syskon och föräldrar.

Tack för att du sa det. Svaren från Dan och andra (t.ex. @Wbds marknadsförda kommentar som citerar min) är baserad på en grundläggande felläsning av kommentaren.

Jag vill inte lita på min OS-leverantör (Apple i mitt fall för både mobila och stationära enheter) med lösenord och svaret är upprepade gånger "Men du LITA REDAN PÅ GOOGLE MED DITT LÖSENORD." Ja, okej, jag anger ett långt slumpmässigt lösenord från BitWarden/KeePass och kopplar in min Yubikey och trycker på knapp. Det är inte vid något tillfälle beroende av min OS-leverantör.

Och visst, just nu finns det alternativet att inte använda lösenord och att använda ett lösenord som tidigare, men hela teknikhypetåget är på väg till "Inga MER LÖSENORD LÖSENORD FÖR ALLA" station och om jag säger, "men håll ut, om jag blir utelåst från alla andra konton för att min OS-leverantör bestämmer sig för att den inte gillar mig, vad händer" blir jag kallad ett troll och felunderrättad. Det finns också så många kantfall jag kan komma på där det här inte fungerar och istället för att säga "ja, de där är giltiga farhågor i framtiden med endast lösenord som vi vill ha," det finns denna ihållande kritik av alla frågande.

Du inser att både 1Password och Bitwarden arbetar med lösenordsstöd, eller hur?

1Password har gått så långt som att säga att lösenord är "framtiden för autentisering": https://www.future.1password.com/passkeys/

Senaste blogginlägget

Apple visar upp iPad-inspirerade OS X Lion och en ultrasnygg ny MacBook Air
August 21, 2023

Vi kan tjäna intäkter från produkterna som finns på den här sidan och delta i affiliateprogram. Läs mer › På... Vi kan tjäna intäkter från produkt...

Origami-optik för bättre kameratelefoner
August 21, 2023

av Courtesy U.C. San Diego Slimmande speglar: De reflekterande ringarna på denna kristall ökar optikens brännvidd för att möjliggöra zoom av hög ...

Nytt handhållet drogtest använder elektroder och saliv för att sniffa upp kokain på fem minuter
August 21, 2023

Vi kan tjäna intäkter från produkterna som finns på den här sidan och delta i affiliateprogram. Läs mer › A... Vi kan tjäna intäkter från produkte...