รหัสผ่านของ Google เป็นเรื่องง่าย คุณได้เปิดใช้งานแล้วใช่ไหม?

ไม่และไม่ร่วมเพศอย่างแน่นอน

ทุกระบบเดียวที่ดูเหมือนว่าจะสามารถจัดเก็บรหัสผ่านได้ดูเหมือนว่าคุณจะต้องเชื่อถือสามยักษ์ใหญ่ (Apple, Google, Microsoft) ที่จะไม่ลบบัญชีของคุณโดยไม่มีการเตือนล่วงหน้า ในกรณีของฉัน หาก Apple ลบบัญชี iCloud และพวงกุญแจของฉัน ฉันจะสูญเสียการเข้าถึงทุกสิ่งที่มีการรักษาความปลอดภัยด้วยรหัสผ่าน เปรียบเทียบกับสิ่งที่เกิดขึ้นตอนนี้ ถ้าฉันทำลาย Yubikey หลักของฉัน: ฉันจะไปที่ธนาคารของฉัน แสดงให้พวกเขาสองคนดู ในรูปแบบบัตรประจำตัว ใช้คีย์กายภาพของฉันเพื่อดึง Yubikey สำรองจากตู้นิรภัย และดำเนินการต่อไป ชีวิต.

จนกว่าและเว้นแต่จะมีผลกระทบร้ายแรงและยั่งยืนสำหรับบริษัทที่ให้บริการโครงสร้างพื้นฐานที่กระทำการฝ่ายเดียว ฉันจะไม่มีทางใช้สิ่งนี้ KeyPass/BitWarden สามารถสร้างรหัสผ่านที่คาดเดายากได้ คุณสามารถซื้อคีย์ Webauthn ได้มากเท่าที่คุณต้องการจากผู้ขายหลายราย ด้วยรหัสผ่าน คุณจะเป็นหนึ่งเดียวในการถูกลบ (อัตโนมัติ และไม่สามารถต่อรองได้) จากการถูกล็อคออกจากชีวิตออนไลน์ทั้งหมดของคุณอย่างถาวร

หากคุณต้องการมอบอำนาจนั้นให้กับบริษัท จงมาเป็นแขกของฉันซะ ฉันจะรอจนกว่าจะได้รับการปฏิบัติเหมือนบริษัทน้ำหรือไฟฟ้าตัดบริการโดยไม่มีเหตุผลชัดเจน: ค่าปรับจำนวนมากและเสียหาย

บริบทของบทความกำลังเข้าสู่ระบบข้อมูลประจำตัวของ Google ด้วยรหัสผ่าน 'บิ๊ก 3' และอีกหลายแห่งเสนอเอสโครว์และการกู้คืนคีย์ แต่ไซต์ต่างๆ จะใช้พาสคีย์โดยตรง หากคุณใช้ รหัสผ่านกับ Best Buy พวกเขาจะไม่ตรวจสอบกับ Google เช่น (เว้นแต่คุณจะใช้ 'การเข้าสู่ระบบโซเชียล' ของ คอร์ส). ในบริบทนั้น Google การล้างบัญชีของคุณหมายความว่าหากโทรศัพท์ของคุณเสียสิ่งต่าง ๆ อาจกลายเป็นเรื่องเลวร้ายได้ โดยพื้นฐานแล้วมันเป็น ybikey ที่มีตัวเลือกการกู้คืน - ดังนั้นจึงมีความปลอดภัยน้อยกว่าเล็กน้อยเนื่องจากมีรหัสส่วนตัวอยู่ ในเอสโครว์ซึ่งแก้ปัญหาได้ 50% ด้วย ybikeys (ป้ายราคาและการสนับสนุนแอพที่เหลือ ความเจ็บปวด).

ฉันไม่แน่ใจว่าฉันเข้าใจขั้นตอนการทำงานที่ต้องการอย่างไร
คว้าโทรศัพท์ของคุณ
การแตะเข้าไปในแอป
การถ่ายภาพหน้าจอของคุณและ
กำลังแตะว่าจะทำอย่างไรกับข้อมูลนั้น...

...เป็นการดำเนินการที่ "ง่ายกว่า" กว่าการป้อนรหัสผ่านจากหน่วยความจำ หรือการเติมรหัสผ่านอัตโนมัติด้วยตัวจัดการรหัสผ่าน หรือการคัดลอกการวางด้วยตัวจัดการรหัสผ่าน

อาจมีประโยชน์อื่น ๆ แต่ไม่ได้ง่ายกว่านั้นเลย

หากคุณคัดลอกและวางรหัสผ่าน (หรือพิมพ์รหัสผ่านจากหน่วยความจำซึ่งมีปัญหาอื่นๆ ในวงกว้าง) คุณเสี่ยงต่อการฟิชชิ่ง ดังนั้นพาสคีย์จะเป็นการปรับปรุงความปลอดภัยครั้งใหญ่สำหรับคุณ

คุณสามารถทำพาสคีย์ได้ด้วยคีย์ความปลอดภัยของฮาร์ดแวร์ FIDO2 เช่น YubiKey ไม่มีเหตุผลที่จะเกลียดรหัสผ่าน

สำหรับบัญชี Google ของฉัน ฉันได้ลงทะเบียน YubiKeys ของฉันที่ใช้เป็น 2FA เป็นรหัสผ่านอีกครั้งแล้ว ด้วย 2FA การรับรองความถูกต้องคือรหัสผ่าน Google + คีย์ฮาร์ดแวร์ FIDO U2F เมื่อใช้รหัสผ่าน จะเป็นคีย์ฮาร์ดแวร์ FIDO2 + PIN FIDO2 ของคีย์

ถอนหายใจ เอาล่ะอีกครั้ง หัวข้อรหัสผ่านนำเสนอความคิดเห็นที่แย่ที่สุดที่นี่และ HN ความหวาดระแวงมากมายและการแพร่กระจายของ FUD โดยทั่วไป

ไม่มีบริษัทเทคโนโลยี “สามใหญ่” แห่งใดที่จะเป็นผู้เก็บรักษารหัสผ่านของคุณ รหัสผ่านจะถูกเก็บไว้ในอุปกรณ์ หากคุณไม่ต้องการซิงค์รหัสผ่านของคุณผ่านบริการบางประเภท ให้ใส่รหัสผ่านเดียวกันบนอุปกรณ์หลายเครื่อง คุณมีเครื่องแค่เครื่องเดียว แล้วตอนนี้มันหายไปแล้วเหรอ? นั่นเป็นปัญหาเดียวกับผู้จัดการรหัสผ่านที่ไม่มีการซิงค์ ในตอนท้าย คุณจะต้องตรวจสอบสิทธิ์อีกครั้งกับบริการต่างๆ เช่นเดียวกับที่คุณทำในกรณีที่คล้ายคลึงกันในการถูกล็อคออกจากระบบ คนส่วนใหญ่จะซิงค์พาสคีย์เหมือนกับที่ทำรหัสผ่าน และไม่ หาก Google ปิดบัญชีของคุณ พวกเขาจะไม่สามารถปิดการใช้งานรหัสผ่านที่คุณมีอยู่แล้วในอุปกรณ์ของคุณได้ คุณจะสูญเสียบริการซิงค์ แต่คุณสามารถเริ่มใช้บริการอื่นแทนได้

Passkey ไม่สามารถถูกฟิชชิ่ง, ลืมไม่ได้, ไม่สามารถผ่านการรั่วไหลของข้อมูลได้ และมีเอกลักษณ์เฉพาะตัวและปลอดภัย นั่นเป็นการปรับปรุงครั้งใหญ่จริงๆ นอกจากนี้ยังใช้งานง่ายกว่าเพราะเมื่อเปิดใช้งานการตรวจสอบสิทธิ์อุปกรณ์ของคุณแล้วก็จะง่ายดาย

ดังนั้น หลังจากที่ลองใช้ Passkey ของ Google มาสักสองสามวัน ดูเหมือนว่าจะดีขึ้นเล็กน้อยเมื่อเทียบกับตอนที่ฉันตั้งค่าครั้งแรกในวันที่วางจำหน่าย

ฉันใช้ Yubikey สำหรับสิ่งนี้ ไม่ใช่ Android หรือ iOS ซึ่งหมายความว่าฉันไม่ผูกพันกับ Google/Apple ที่จะจัดการกุญแจของฉันได้ และฉันก็ไม่ต้องกังวลว่าบัญชีของฉันจะถูกบุกรุกและทำให้พาสคีย์รั่วไหล

เมื่อเปรียบเทียบกับการเข้าสู่ระบบบัญชี Google ฉันยังใช้ Yubikey นี้เพื่อเข้าถึงบัญชี Microsoft ของฉันมาระยะหนึ่งแล้ว

Microsoft ทำงานได้กับเบราว์เซอร์หลักทั้งหมดบนเดสก์ท็อป (ยกเว้น Safari บน MacOS ครั้งล่าสุดที่ฉันตรวจสอบ) ดูเหมือนว่า Google ต้องการ Chrome

Microsoft มีตัวเลือกใต้ช่องชื่อผู้ใช้เพื่อลงชื่อเข้าใช้ด้วยวิธีอื่น จากนั้นเลือก Windows Hello หรือ Security Key ใส่กุญแจลงในพอร์ต USB ป้อน PIN แล้วกดปุ่มด้านบน จากนั้นระบบจะถามคุณว่าบัญชีใด (หากคุณบันทึกหลายบัญชีไว้) และคุณจะเข้าสู่ระบบทันที คุณไม่จำเป็นต้องจำชื่อผู้ใช้/ที่อยู่อีเมลของคุณด้วยซ้ำ

Google กำหนดให้คุณป้อนชื่อผู้ใช้/อีเมลของคุณ จากนั้นระบบจะขอให้คุณใส่รหัส จากนั้นคุณจะต้องป้อน PIN จากนั้นระบบจะเข้าสู่ระบบ

จากมุมมองของการใช้งาน Microsoft ดีกว่าตรงที่คุณไม่จำเป็นต้องจำอีเมลของคุณ สำหรับฝูงชน Ars นี่อาจเป็นผลลบ แต่ถ้าคุณเลี้ยงดูปู่ย่าตายายวัย 70 ปี ยิ่งต้องจำอะไรน้อยก็ยิ่งดี ฉันยังไม่ได้ยืนยัน แต่ข้อเสียของระบบ MS ก็คือ Yubikey รองรับข้อมูลประจำตัวที่เก็บไว้เพียงจำนวนหนึ่งเท่านั้น ในขณะที่ จากสิ่งที่ฉันเห็นในการวิจัยของฉัน โดยพื้นฐานแล้ววิธีการของ Google นั้นให้ Yubikey สร้างรหัสส่วนตัวสำหรับไซต์นั้นโดยเฉพาะ บนคีย์ส่วนตัวภายใน PIN ของคุณ และข้อมูลบางอย่างที่ไซต์และเบราว์เซอร์ให้ไว้ ทุกครั้งที่จำเป็นต้องเรียกใช้ การรับรองความถูกต้อง ดูเหมือนว่าทั้งคู่จะใช้คีย์ส่วนตัวภายในเฉพาะสำหรับ Yubikey, PIN ของคุณ, ข้อมูลบางอย่างเกี่ยวกับโดเมนที่เบราว์เซอร์ให้มา และเฉพาะเจาะจง ข้อมูลที่ได้รับจากไซต์ที่คุณกำลังเยี่ยมชมเพื่อทำการจับมือ ซึ่งจะป้องกันการโจมตี MITM ไม่ให้ประสบความสำเร็จเนื่องจากไม่สามารถปลอมแปลงข้อมูลทั้งหมดนั้นได้ ข้อมูล.

ฉันไม่แน่ใจว่ามีอะไรหายไปใน Firefox สำหรับการใช้งานของ Google เทียบกับ Microsoft เหตุใดจึงไม่รองรับระบบรหัสผ่านใหม่ หรือเป็นเพียง Google ที่ไม่ขอรหัสผ่านเนื่องจาก Firefox ไม่ได้ใช้ส่วน Bluetooth ซึ่งมี ผลข้างเคียงของการไม่รองรับโทเค็น Yubikeys / ฮาร์ดแวร์เนื่องจากการเข้าสู่ระบบ Google ไม่ได้ถาม Firefox เว็บไซต์.

--

หากคุณทำรหัสผ่านหายและไม่มีรหัสผ่านสำรอง ทางเลือกด้านความปลอดภัยคือการเข้าสู่ระบบด้วยวิธีที่คุณเข้าสู่ระบบก่อนรหัสผ่าน โดยปกติแล้วรหัสผ่าน + OTP แม้ว่าสิ่งนี้จะหมายความว่าไซต์รองรับระบบการตรวจสอบความถูกต้องที่มีความปลอดภัยน้อยกว่า แต่ข้อดีอย่างหนึ่งก็คือคุณไม่รองรับ ใช้รหัสผ่านเป็นประจำ ดังนั้นจึงมีโอกาสน้อยที่จะถูกรั่วไหลหรือถูกดักจับโดยฟิชชิ่ง/MITM จู่โจม.

--

จากมุมมองด้านความปลอดภัย คุณสามารถดูพาสคีย์เป็นกระเป๋ารหัสผ่านที่มีการรองรับไซต์ที่จำกัด หากใช้ Yubikey กระเป๋าเงินจะเป็นอุปกรณ์ฮาร์ดแวร์ในกระเป๋าของคุณ ซึ่งมีการป้องกันด้วย PIN หากใช้รหัสผ่าน Android/iOS กระเป๋าเงินจะถูกซิงค์ในระบบคลาวด์และได้รับการป้องกันด้วยรหัสผ่านบัญชีของคุณ + ข้อมูลไบโอเมตริก หากคุณทำอุปกรณ์หายก็เหมือนกับการสูญเสียไฟล์รหัสผ่าน

เมื่อพวกเขาทราบข้อบกพร่องทั้งหมดแล้ว สิ่งนี้มีศักยภาพที่จะเปลี่ยนแปลงสิ่งต่างๆ มากมายในภูมิทัศน์ด้านความปลอดภัย เนื่องจากบุคคลที่ไม่คำนึงถึงความปลอดภัยจะ ไม่ต้องต่อต้านข้อกำหนดรหัสผ่านที่ปลอดภัยอีกต่อไป หรือต้องหาวิธีใช้กระเป๋าเงินรหัสผ่านอย่างเหมาะสม และวิธีการเข้าถึง/ซิงค์ข้ามหลาย ๆ อุปกรณ์ โดยพื้นฐานแล้วการเป็นกระเป๋าสตางค์รหัสผ่าน พาสคีย์จะสร้างรหัสผ่านแบบสุ่มที่ปลอดภัยจริงๆ สำหรับทุกไซต์ที่พวกเขาใช้งาน และถูกสร้างขึ้นโดยคำนึงถึงการป้องกันฟิชชิ่ง

สิ่งนี้จะถูก downvoted ได้อย่างไร? มันเป็นความจริง 100%

ของมัน WHO, ไม่ อะไร ในหน้าแรก ไม่มีความรักต่อ Google บนหน้าแรก ซึ่งการสนับสนุนของพวกเขาได้ทำให้ฝูงชนต่อต้าน มาตรฐานอุตสาหกรรม.

มันโง่

ขอย้ำอีกครั้งว่าผู้อ่านอย่าให้ความสนใจกับผู้แสดงความคิดเห็นเหล่านี้

การใช้รหัสผ่านไม่ควรเป็นคำตอบสำหรับสิ่งที่มีจุดประสงค์เพื่อแทนที่รหัสผ่าน

นี่เป็นเรื่องไร้สาระ คุณจะตรวจสอบสิทธิ์กับบริการที่มีอยู่ด้วยวิธีอื่นอย่างไร เพื่ออัพเดตกลไกการตรวจสอบสิทธิ์ของคุณ? นอกเหนือจากวิธี QR และบลูทูธที่ได้กล่าวถึงไปแล้ว และในขณะที่พื้นผิวการโจมตีทางฝั่งเซิร์ฟเวอร์ไม่จำเป็นต้องลดลงด้วยการเปิดใช้งานแทนที่จะต้องใช้รหัสผ่านในการเข้าสู่ระบบ อย่างมีนัยสำคัญ ลดการโจมตีฝั่งไคลเอ็นต์ เนื่องจากคุณมีส่วนร่วมในการแลกเปลี่ยนคีย์อย่างเคร่งครัด ซึ่งเปิดใช้งานโดยการรับรองความถูกต้องระดับระบบปฏิบัติการ และนั่นคือชัยชนะสำหรับทุกคน

หากคุณถึงจุดที่คุณไม่สามารถเชื่อถือฟีเจอร์ความปลอดภัยใด ๆ ของระบบปฏิบัติการของคุณได้ คุณก็อาจจะโยนอุปกรณ์คอมพิวเตอร์ของคุณทิ้งไปและใช้ชีวิตบนเกาะเขตร้อนหรืออะไรสักอย่างก็ได้ ที่ บางจุด ต้องมอบความไว้วางใจในระดับหนึ่งให้กับซอฟต์แวร์บางส่วน

มีความสับสนมากมายที่นี่ ฉันคิดว่าเพราะว่ากองเทคโนโลยีทั้งหมดถูกทิ้งมาที่เราและนำเสนอเป็นสิ่งที่ไม่สำเร็จ ในฐานะที่ผมเป็นคนโง่เขลา ให้ลองแยกโครงสร้างมันโดยการเปรียบเทียบกับสิ่งที่ฉันเข้าใจ: คู่คีย์ SSH ฉันเชิญชวนให้ผู้อื่นเลือกช่องโหว่ในสิ่งที่ฉันผิด

1. คีย์การรับรองความถูกต้องสาธารณะ/ส่วนตัว วิธีนี้ใช้งานได้เหมือนกับ SSH โดยประมาณ เว็บไซต์รู้เพียงกุญแจสาธารณะของคุณ และคุณเซ็นข้อความเพื่อพิสูจน์ว่าคุณถือกุญแจส่วนตัว

2. การป้องกันฟิชชิ่ง คีย์เป็นคีย์เฉพาะสำหรับไซต์ ดังนั้นไซต์ฟิชชิ่งจึงได้รับคีย์อื่น SSH มีคีย์โฮสต์สำหรับสิ่งนี้ ฉันคิดว่าคีย์พาสใช้บางอย่างที่เกี่ยวข้องกับคีย์โฮสต์ TLS หรือไม่ เบราว์เซอร์ของคุณใช้สิ่งนั้นเพื่อเลือกคีย์ที่จะใช้ หรือเพียงแค่ชื่อ DNS?

3. วิธีการปลดล็อคกุญแจเพื่อพิสูจน์ว่าผู้ใช้ที่ถูกต้องกำลังใช้งานกุญแจเหล่านั้น SSH มีข้อความรหัสผ่าน ฉันคิดว่านี่คือที่มาของไบโอเมตริกซ์ / บลูทูธ SSH ยังสามารถปลดล็อคกุญแจด้วยสมาร์ทการ์ดได้ ดังนั้นฉันคิดว่าไบโอเมตริกซ์ก็เหมือนกับโหมดปลดล็อคอื่นใช่ไหม

4. การซิงค์คีย์ระหว่างอุปกรณ์ นี่อาจเป็นที่มาของ 'ระบบนิเวศ' คลาวด์ เช่น การซิงค์รหัสผ่าน iCloud และ Chrome สำหรับ SSH ไม่มีการสนับสนุน แต่คุณสามารถปรุงเองด้วย rsync หรืออะไรก็ตาม

ฉันทำอะไรผิด?

หากสิ่งที่กล่าวมาข้างต้นถูกต้องในวงกว้าง ฉันสามารถจินตนาการถึงการสร้าง open stack ที่โดยพื้นฐานแล้วทำเหมือนกับที่ SSH ใช้กองไฟล์ใน ~/.ssh และ rsync เพื่อย้ายระหว่างอุปกรณ์ต่างๆ นั่นคือแนวทาง "จักรยาน" ซึ่งชิ้นส่วนที่เคลื่อนไหวทั้งหมดจะถูกเปิดออกและเข้าใจได้ง่ายว่าเกิดอะไรขึ้น

ไม่ใช่เพียงการทิ้งผู้คนเท่านั้น แต่นี่คือการอัปเดตของ FIDO2 ซึ่งเป็นเวอร์ชันที่สองของมาตรฐาน U2F คือ FIDO1; นี่คือ CTAP 2.2 ([แก้ไข: แก้ไขจาก WAG ของฉันเป็น 2.4 ที่ผิด ขอบคุณยังคงไม่ถูกต้อง!]) ส่วนหนึ่งของ FIDO2/WebAuthn นี่ไม่มีอะไรซับซ้อนจริงๆ อย่างที่คิด... พวกเขาได้ผ่อนปรนข้อกำหนดของ Authenticator เพื่อให้สามารถคัดลอกคีย์ส่วนตัว (ต้อง...) ได้อย่างปลอดภัย และเพิ่มคุณสมบัติ Javascript บางอย่างเพื่อทำให้ชีวิตง่ายขึ้น เข้าสู่ระบบแบบไร้รหัสผ่าน? เป็นไปได้เสมอด้วย FIDO2 นั่นคือส่วนที่เรียบร้อย - FIDO1 อาจเป็นได้เพียง MFA เท่านั้น กำลังเพิ่มคีย์ส่วนตัวให้กับเบราว์เซอร์ของคุณที่จัดเก็บไว้ใน TPM หรือองค์ประกอบที่ปลอดภัยหรือไม่ เป็นไปได้เสมอและ ก่อนหน้านี้มีการใช้งานใน Chrome, Firefox และ Safari. มีอะไรใหม่คือสามารถซิงค์และเข้าถึงได้ผ่าน BT/QR rigmarole ก่อนหน้านี้ มันถูกเรียก (และตั้งค่าสถานะไปยังเว็บไซต์) ว่าเป็น "คีย์เฉพาะแพลตฟอร์ม" ซึ่งต่างจากคีย์แบบพกพาซึ่งเป็นอุปกรณ์ฮาร์ดแวร์ ตอนนี้มันเป็นรหัสผ่าน

เนื่องจากจุดรวมของระบบรหัสผ่านดูเหมือนจะเป็นการกำจัดรหัสผ่าน ฉันขอแสดงรายการข้อดีบางประการของรหัสผ่าน:

• มันง่ายพอที่จะเข้าใจสำหรับทุกคนที่มีความสามารถในการใช้งานอุปกรณ์อิเล็กทรอนิกส์ทางจิตใจ
• ง่ายต่อการจดจำหากคุณพยายามและใช้มันเป็นประจำ
• ใช้งานได้กับระบบปฏิบัติการทั้งหมดตั้งแต่แกะกล่อง
• พวกเขาไม่ต้องการการเข้าถึงอินเทอร์เน็ต (บางระบบออฟไลน์ด้วยเหตุผลที่ดี)
• พวกเขาไม่ต้องการความร่วมมือจากบุคคลที่สาม
• โดยไม่จำเป็นต้องใช้สมาร์ทโฟนหรืออุปกรณ์อื่นๆ
• โดยไม่จำเป็นต้องใช้บลูทูธ, WiFi, กล้องหรือแบตเตอรี่
• พวกเขาสามารถจัดเก็บได้โดยไม่ต้องใช้ไฟฟ้าในกรณีฉุกเฉิน
• สามารถถ่ายทอดไปยังบุคคลอื่นได้อย่างง่ายดายโดยไม่ต้องใช้อุปกรณ์ใดๆ
• หากคุณไม่ใช่ผู้พิการและไม่ได้ใช้สมาร์ทโฟน การตรวจสอบสิทธิ์ด้วยรหัสผ่านจะใช้เวลาเพียงไม่กี่วินาที

คะแนน #1, #2 และ #10 ของคุณนั้นผิด – ถามใครก็ตามที่ทำงานในฝ่ายสนับสนุนด้านเทคนิคบ่อยแค่ไหนที่พวกเขาต้องรีเซ็ตรหัสผ่านเนื่องจากมีใครบางคน ลืมรหัสผ่าน กดปุ่ม Caps Lock ค้างไว้ (หรือวางมือบนคีย์บอร์ดผิดตำแหน่ง) หรือใช้นิ้วปลอมเป็นเวลามากพอที่จะล็อคได้ ออก. ใช่ ใช่ ฉันรู้ว่าโดยส่วนตัวแล้วคุณมักจะใช้มันออกมาอย่างสมบูรณ์แบบ แต่เชื่อฉันเถอะ ใครก็ตามที่ได้รับโทรศัพท์จากฝ่ายช่วยเหลือจะ … มองโลกในแง่ดีน้อยกว่า … มุมมองต่อมนุษยชาติ ฉันจะเสริมด้วยว่าฉันรองรับผู้ใช้ที่ตาบอดและการป้อนรหัสผ่านจำนวนมาก อย่างมากมาย แย่สำหรับพวกเขาเพราะไซต์หลายแห่งมีข้อกำหนดที่ซับซ้อนซึ่งยากสำหรับผู้ใช้โปรแกรมอ่านหน้าจอและหากคุณไม่ใช่คนพิมพ์ดีดแบบสัมผัสที่เชี่ยวชาญและบอกว่ามันไม่ดีเลย นั่นเป็นเรื่องเฉพาะ แต่ก็เป็นสิ่งหนึ่งที่หลาย ๆ คนที่สร้างระบบการตรวจสอบความถูกต้องนั้นจำเป็นต้องได้รับการสนับสนุนตามกฎหมายเช่นกัน และนี่คือหนึ่งในเหตุผลว่าทำไมฉันถึงสนใจ เทคโนโลยีตั้งแต่ “คุณต้องการเข้าสู่ระบบด้วยรหัสผ่านของคุณหรือไม่?” “ใช่” เป็นอย่างน้อยหนึ่งลำดับความสำคัญที่เร็วกว่าและง่ายกว่ารหัสผ่านรูปแบบใดๆ + MFA สำหรับหลายๆ คน ผู้ใช้

จุดที่ 3 เป็นจริงของ WebAuthn MFA แต่ต้องใช้รหัสผ่านเสมอ - บางอย่างเช่น Yubikey ใช้งานได้ทุกที่ที่คุณมี USB/NFC แต่คุณอาจ จำเป็นต้องตั้งค่า PIN หรือใช้ชุดคีย์ไบโอเมตริกซ์สำหรับผู้ใช้รหัสผ่านเช่น Google.com ซึ่งต้องการมากกว่าวิธีง่ายๆ แตะ.

คะแนน #5, #6, #7 และ #8 ใช้ได้กับ WebAuthn ทุกรูปแบบเช่นกัน ทั้ง MFA และรหัสผ่าน จุดที่ 4 เป็นจริง ยกเว้นครั้งแรกที่คุณลงทะเบียนอุปกรณ์เมื่อซิงโครไนซ์คีย์ที่มีอยู่ หลังจากครั้งแรกที่คุณซิงโครไนซ์คีย์ของคุณ คุณไม่จำเป็นต้องเชื่อมต่อเครือข่าย หากคุณไม่ต้องการซิงค์ คุณสามารถซื้อคีย์ไบโอเมตริกซ์ Yubikey สองสามอัน ซึ่งทำงานแบบออฟไลน์ได้อย่างสมบูรณ์ทุกที่ที่มี USB หรือ NFC

เหลือข้อ 9 ซึ่งเป็นแนวทางปฏิบัติที่ไม่ดีและควรหลีกเลี่ยงหากเป็นไปได้ ระบบสมัยใหม่มีสิ่งต่างๆ เช่น การตรวจสอบสิทธิ์ตามบทบาท โดยที่ผู้คนไม่เคยเปิดเผยรหัสผ่าน แต่อนุญาตให้หลายคนรับบทบาทที่กำหนด หรือสิ่งต่างๆ เช่น ระบบเดิมหรือที่ได้รับมอบหมาย บัญชีที่คุณไม่เคยเปิดเผยรหัสผ่านอีกต่อไป แต่ให้หนึ่งหรือดีกว่านั้นคือ ต้องใช้คนหลายคนร่วมกันเพื่อทำบางอย่าง เช่น รีเซ็ตรหัสผ่านของคุณ หรือเข้าควบคุม ไฟล์ของคุณ

เพียงเพราะมีสิ่งใหม่และคุณไม่ได้เรียนรู้วิธีการทำงานของมันไม่ได้หมายความว่ามันแย่หรือควรหลีกเลี่ยง หมายเลขรหัสผ่านเป็นการเปลี่ยนแปลงครั้งใหญ่สำหรับพวกเราส่วนใหญ่ ยกเว้น .gov เนื่องจาก PIV/CAC ย้อนกลับไปในศตวรรษก่อนหน้าแม้ว่าจะมีที่อื่นเพียงไม่กี่แห่งก็ตาม นำมาใช้ – แต่พวกเขามีการปรับปรุงการใช้งานหลายประการ นอกเหนือจากประโยชน์ด้านความปลอดภัย และยังมีเส้นทางที่ชัดเจนสำหรับการสร้าง ส่วนที่ขาดหายไปบางส่วน (เช่น ฉันต้องการความสามารถในการซิงค์รหัสผ่าน Apple / Google กับ Yubikey จริงๆ เพื่อที่ฉันจะได้ทิ้งมันไว้ในตู้นิรภัย กรณี).

แน่นอนว่าจะต้องพร้อมใช้งานไม่เพียงแต่ในระหว่างการซิงค์เท่านั้น แต่ยังรวมถึงในระหว่างการตรวจสอบสิทธิ์ด้วย เนื่องจากมีการใช้สิ่งนี้ และจะต้องพร้อมใช้งานระหว่างการลงทะเบียนครั้งแรกด้วย

และนั่นคือสิ่งที่ฉันพยายามอธิบายให้คุณฟัง: การตรวจสอบสิทธิ์กับอุปกรณ์ที่มีอยู่จะเป็นเรื่องง่าย และใช้สิ่งนั้น อุปกรณ์เพื่อเพิ่มคีย์สาธารณะอื่น ซึ่งสร้างขึ้นบนอุปกรณ์ใหม่ และส่งไปยังอุปกรณ์เก่าโดยบางส่วน วิธี. ตัวอย่างเช่น ฉันสามารถสร้างคู่คีย์ลับ / คีย์สาธารณะใหม่บนเครื่องเดสก์ท็อปของฉัน ส่งคีย์สาธารณะไปยังแล็ปท็อปของฉัน เข้าสู่ระบบด้วยแล็ปท็อปของฉัน และเพิ่มคีย์สาธารณะของเดสก์ท็อป ฉันทำสิ่งที่คล้ายกันกับ SSH ตลอดเวลา

ไม่มีอุปสรรคทางเทคนิคที่นี่ หากไม่สามารถทำได้ด้วยรหัสผ่าน ก็เป็นทางเลือก

ไม่สามารถเข้าถึงรหัสส่วนตัวได้ ทำไมไม่ลองค้นหาดูแทนที่จะทำเรื่องเท็จซ้ำแล้วซ้ำเล่า

เนื่องจากเป็นคนที่มีความสามารถเพียงพอที่จะเข้าใจบทความส่วนใหญ่เกี่ยวกับ Ars แต่ไม่มีพื้นฐานทางเทคนิคที่แท้จริง ฉัน คิดว่าอุปสรรคใหญ่ที่สุดในการรับเลี้ยงบุตรบุญธรรมทั่วไปคือการทำให้ผู้คนเข้าใจว่ากำลังเกิดอะไรขึ้น บน. ฉันอ่านบทความนี้สองครั้ง ฉันอ่านความคิดเห็นยอดนิยมและความคิดเห็นอื่นๆ

และตอนนี้ฉันสับสนมากขึ้นกว่าเดิม ฉันได้ส่งต่อบทความนี้ไปยัง CS major/better half เพื่ออธิบายสิ่งต่างๆ แต่นั่นอาจไม่เพียงพอ

รหัสผ่านจะถูกย่อยได้ง่าย 2FA อธิบายได้ง่าย รหัสผ่านนั้นดูสมเหตุสมผล แต่เมื่อฉันคิดว่าฉันอาจจะเข้าใจได้ ฉันก็อ่านย่อหน้าถัดไปและหลงทางมากขึ้น

สวรรค์ช่วยพี่น้องและพ่อแม่ของฉัน

ขอบคุณที่พูดแบบนั้น คำตอบจากแดนและคนอื่นๆ (เช่น @Wbdความคิดเห็นที่โปรโมตโดยอ้างถึงของฉัน) ขึ้นอยู่กับการอ่านความคิดเห็นผิดขั้นพื้นฐาน

ฉันไม่ต้องการเชื่อใจผู้ให้บริการระบบปฏิบัติการของฉัน (Apple ในกรณีของฉันสำหรับอุปกรณ์มือถือและเดสก์ท็อป) ด้วยรหัสผ่านและการตอบกลับซ้ำ ๆ กัน "แต่คุณ ไว้วางใจ GOoGLe ด้วย PaSswoRD ของเรา" ใช่ ก็ได้ ฉันป้อนรหัสผ่านแบบสุ่มขนาดยาวจาก BitWarden/KeePass และเสียบปลั๊ก Yubikey ของฉันแล้วกดปุ่ม ปุ่ม. มันไม่ได้ขึ้นอยู่กับผู้ให้บริการระบบปฏิบัติการของฉันเลย

และแน่นอนว่า ขณะนี้มีตัวเลือกที่จะไม่ใช้รหัสผ่านและใช้รหัสผ่านเหมือนเมื่อก่อน แต่กระแสเทคโนโลยีทั้งหมดกำลังมุ่งหน้าสู่ "ไม่มีรหัสผ่านอีกต่อไป รหัสผ่านสำหรับ ทุกคน" และถ้าฉันพูดว่า "แต่เดี๋ยวก่อน ถ้าฉันถูกล็อกออกจากบัญชีอื่น ๆ เพราะผู้ให้บริการระบบปฏิบัติการของฉันตัดสินใจว่ามันไม่ชอบฉัน จะเกิดอะไรขึ้น" ฉันจะถูกเรียกว่าโทรลล์และ ข้อมูลที่ไม่ถูกต้อง ยังมีกรณีขอบๆ มากมายที่ฉันนึกออกว่าส่วนไหนใช้ไม่ได้ และแทนที่จะพูดว่า "ใช่ พวกนั้น เป็นข้อกังวลที่ถูกต้องในอนาคตรหัสผ่านเท่านั้นที่เราต้องการ" มีการวิพากษ์วิจารณ์อย่างต่อเนื่องเกี่ยวกับสิ่งใด ๆ การตั้งคำถาม

คุณทราบดีว่าทั้ง 1Password และ Bitwarden ต่างก็ทำงานร่วมกับการรองรับรหัสผ่านใช่ไหม

1Password พูดไปไกลถึงขนาดที่บอกว่ารหัสผ่านคือ "อนาคตของการรับรองความถูกต้อง": https://www.future.1password.com/passkeys/