Hayır ve kesinlikle hayır.Makalenin içeriği bir Google kimlik bilgisine geçiş anahtarıyla giriş yapmaktır. 'Büyük 3' ve diğer birkaçı anahtar emaneti ve kurtarma olanağı sunar, ancak siteler doğrudan geçiş anahtarlarını kullanır; Best Buy ile geçiş anahtarı kullanıyorsanız, örneğin Google ile kontrol etmeyeceklerdir ('Sosyal oturum açma bilgilerini' kullanmadığınız sürece) kurs). Bu bağlamda, Google'ın hesabınızı silmesi, telefonunuzun ölmesi durumunda işlerin riskli olabileceği anlamına gelir. Temelde kurtarma seçeneği olan bir yubikey'dirler - özel anahtar mevcut olduğundan biraz daha az güvenlidirler yubikey'lerle ilgili sorunun %50'sini çözen emanette (geriye kalan fiyat etiketi ve uygulama desteğidir) ağrı).Geçiş anahtarlarını saklayabilen her bir sistem, hesabınızı uyarmadan silmemeleri için büyük üçe (Apple, Google, Microsoft) güvenmenizi gerektiriyor gibi görünüyor. Benim durumumda, eğer Apple iCloud hesabımı ve anahtarlığımı silerse, şifreyle korunan her şeye erişimimi kaybederim. Bunu şu anda olanla karşılaştırın, eğer ana Yubikey'imi yok edersem: Bankama giderim, onlara ikisini gösteririm kimlik formları, yedek Yubikey'i kasadan almak için fiziksel anahtarımı kullan ve devam et hayat.
Tek taraflı hareket eden altyapı hizmeti veren firmalar açısından ciddi ve kalıcı sonuçlar doğurmadıkça bunu kullanmam mümkün değil. KeyPass/BitWarden isteğe bağlı olarak güçlü şifreler oluşturabilir; çeşitli satıcılardan istediğiniz kadar Webauthn anahtarı satın alabilirsiniz. Geçiş anahtarlarıyla, çevrimiçi yaşamınızın tamamından kalıcı olarak kilitlenmenize bir (otomatik, tartışılamaz) silme uzaklığındasınız.
Bu gücü bir şirkete vermek istiyorsanız misafirim olun. Su veya elektrik şirketlerinin görünürde hiçbir sebep yokken hizmeti kesmesi gibi muamele görene kadar bekleyeceğim: büyük ve acı verici para cezaları.
Bir iş akışının nasıl gerekli olduğunu anladığımdan emin değilimParolaları kopyalayıp yapıştırıyorsanız (veya bunları bellekten yazıyorsanız, ki bu da geniş ölçekte başka sorunlara yol açar), kimlik avına karşı savunmasızsınız demektir. Yani geçiş anahtarları sizin için büyük bir güvenlik iyileştirmesi olacaktır.
telefonunu kapmak,
bir uygulamaya dokunarak,
ekranınızın fotoğrafını çekme ve
bu bilgiyle ne yapılacağına dokunarak......bellekten şifre girmekten, şifre yöneticisiyle otomatik tamamlamaktan veya şifre yöneticisiyle kopyalayıp yapıştırmaktan "daha kolay" bir işlemdir.
Başka faydaları da olabilir, ancak hiçbir şekilde bu kadar kolay değildir.
Google hesabım için, kullandığım YubiKey'lerimi 2FA olarak geçiş anahtarı olarak yeniden kaydettim. 2FA ile kimlik doğrulama Google şifresi + FIDO U2F donanım anahtarıydı. Geçiş anahtarlarında FIDO2 donanım anahtarı + anahtarın FIDO2 PIN'i bulunur.
"Üç büyük" teknoloji şirketinin hiçbiri geçiş anahtarlarınızın koruyucusu olmayacak. Geçiş anahtarları bir cihazda tutulur. Parolanızı bir tür hizmet aracılığıyla senkronize etmek istemiyorsanız aynı parolayı birden fazla cihaza koyun. Yalnızca tek bir cihazınız var ve o da gitti mi? Bu, senkronizasyonun olmadığı şifre yöneticileriyle aynı sorundur. Sonunda, tıpkı benzer bir kilitlenme durumunda yapacağınız gibi, farklı hizmetlerle yeniden kimlik doğrulaması yapmak zorunda kalacaksınız. Çoğu kişi, şifrelerini yaptığı gibi şifrelerini de senkronize edecektir. Ve hayır, eğer Google hesabınızı kapatırsa, cihazlarınızda halihazırda bulunan şifre anahtarlarını devre dışı bırakamaz. Senkronizasyon hizmetini kaybedeceksiniz ancak bunun yerine başka bir hizmet kullanmaya başlayabilirsiniz.
Geçiş anahtarları kimlik avı yoluyla ele geçirilemez, unutulamaz, veri sızıntıları yoluyla ele geçirilemez ve doğası gereği benzersiz ve güvenlidir. Bunlar gerçekten büyük gelişmeler. Bunların kullanımı da daha kolaydır çünkü cihazınıza yerleştirildikten sonra kimlik doğrulaması basittir.
Bunun için Yubikey kullanıyorum, Android veya iOS değil. Bu, anahtarımı yönetebilme konusunda Google'a/Apple'a bağlı olmadığım veya hesabımın ele geçirilmesi ve dolayısıyla geçiş anahtarının sızdırılması konusunda endişelenmeme gerek olmadığı anlamına gelir.
Google Hesabı girişiyle bir karşılaştırma noktası olarak, bu Yubikey'i bir süredir Microsoft hesabıma erişmek için de kullanıyorum.
Microsoft, masaüstündeki tüm önemli tarayıcılarda çalışır (en son kontrol ettiğimde MacOS'taki Safari hariç). Google'ın Chrome'a ihtiyacı var gibi görünüyor.
Microsoft, kullanıcı adı alanının altında farklı bir şekilde oturum açmak için bir seçeneğe sahiptir; ardından Windows Merhaba veya Güvenlik Anahtarı'nı seçip anahtarı bir USB bağlantı noktasına yerleştirir, PIN'i girer ve üstteki düğmeye basarsınız. Daha sonra size hangi hesabın olduğunu soracaktır (kayıtlı birden fazla hesabınız varsa) ve doğrudan oturum açacaksınız. Kullanıcı adınızı/e-posta adresinizi hatırlamanıza bile gerek yok.
Google, kullanıcı adınızı/e-posta adresinizi girmenizi gerektirir ve ardından anahtarın eklenmesini ister. Daha sonra PIN'i girmeniz gerekir ve oturum açmanız gerekir.
Kullanılabilirlik açısından bakıldığında Microsoft, e-postanızı hatırlamanıza gerek olmaması açısından daha iyidir. Ars taraftarı için bu muhtemelen olumsuz bir durum. Ancak 70 yaşındaki büyükanne ve büyükbabaları destekliyorsanız, hatırlamaları gereken şeyler ne kadar azsa o kadar iyidir. Onaylamadım ancak MS sisteminin bir dezavantajı Yubikey'in yalnızca belirli sayıda saklanan kimlik bilgilerini desteklemesidir. Araştırmamda görebildiğim kadarıyla, Google yöntemi temelde Yubikey'in o siteye özel olarak özel bir anahtar oluşturmasını sağlıyor Dahili bir özel anahtarda, PIN'inizde ve site ile tarayıcı tarafından sağlanan bazı bilgilerde, kimlik doğrulama. Her ikisinin de Yubikey'e özel bir dahili özel anahtar, PIN'iniz, tarayıcı tarafından sağlanan alan adı hakkında bazı bilgiler ve belirli bilgiler kullandığı görülüyor. El sıkışmayı gerçekleştirmek için ziyaret ettiğiniz siteden sağlanan bilgiler, tüm bunları taklit edemedikleri için MITM saldırılarının başarılı olmasını engeller veri.
Google uygulamasına karşı Firefox'ta neyin eksik olduğundan, Microsoft'un neden yeni şifre sistemini desteklemediğinden emin değilim. Yoksa Firefox'un Bluetooth kısmını uygulamaması nedeniyle Google geçiş anahtarını mı istemiyor? Firefox'un Google girişi tarafından istenmemesi nedeniyle Yubikeys/donanım belirteçlerini desteklememenin yan etkisi alan.
--
Parolayı kaybederseniz ve yedek parolanız yoksa, güvenlik önlemi, paroladan önce oturum açtığınız şekilde oturum açmaktır. Yani genellikle şifre + OTP. Bu, sitenin daha az güvenli bir kimlik doğrulama sistemini desteklediği anlamına gelse de, bir avantajı da sizin bu sistemi desteklememenizdir. şifrenin düzenli olarak kullanılması, böylece kimlik avı/MITM tarafından sızdırılma veya ele geçirilme olasılığı azalır saldırı.
--
Güvenlik açısından bakıldığında, şifre anahtarlarını sınırlı site desteğine sahip bir şifre cüzdanı olarak görüntüleyebilirsiniz. Yubikey kullanıyorsanız cüzdan, cebinizde bulunan ve bir PIN ile korunan bir donanım cihazıdır. Android/iOS şifresini kullanıyorsanız, cüzdan bir bulut sisteminde senkronize edilir ve hesap şifreniz + biyometri ile korunur. Cihazı kaybederseniz bu, şifre dosyasını kaybetmeye benzer.
Tüm karışıklıklar çözüldükten sonra, güvenlik bilincine sahip olmayan kişilerin de yapacağı gibi, güvenlik ortamındaki pek çok şeyi değiştirme potansiyeli var. artık güvenli şifre gerekliliklerine direnmiyor veya bir şifre cüzdanının nasıl düzgün şekilde kullanılacağını ve ona birden fazla cihazda nasıl erişileceğini/senkronize edileceğini çözmek zorunda kalmıyorsunuz cihazlar. Temelde bir parola cüzdanı haline gelen geçiş anahtarları, kullanıldıkları her site için gerçekten güvenli, gerçekten rastgele parolalar oluşturur ve kimlik avına karşı dayanıklılık göz önünde bulundurularak oluşturulur.
Bu nasıl olumsuz oy alabilir? Bu %100 doğrudur.
Onun DSÖ, Olumsuz Ne ön sayfada. Ön sayfada Google'a sevgi yok, öyle ki onların desteği kalabalığın aleyhine dönüyor bir endüstri standardı.
Aptalca.
Tekrar ediyorum, okuyucular, bu yorumculara hiç dikkat etmeyin.
Parola kullanmak, parolaların yerini alacak bir şeyin yanıtı olmamalıdır.
Bu çok saçma. Mevcut bir hizmette başka nasıl kimlik doğrulaması yaparsınız? Kimlik doğrulama mekanizmanızı güncellemek için? Daha önce tartışılan QR ve Bluetooth yönteminin yanı sıra. Sunucu tarafındaki saldırı yüzeyi, parolayla oturum açmayı gerektirmek yerine etkinleştirme yoluyla mutlaka azaltılmayacak olsa da, önemli ölçüde İşletim sistemi düzeyinde kimlik doğrulamayla etkinleştirilen bir anahtar değişimine kesinlikle katıldığınız için istemci tarafındaki saldırı yüzeyini azaltır. Ve bu herkes için bir kazançtır.
İşletim sisteminizin güvenlik özelliklerinden herhangi birine güvenemeyeceğiniz bir noktaya geldiyseniz, bilgi işlem cihazlarınızı atıp tropik bir adada falan yaşamaya başlasanız iyi olur. Şu tarihte: bir nokta bir miktar yazılıma belli bir düzeyde güven verilmesi gerekir.
Sanırım burada çok fazla kafa karışıklığı var çünkü bütün bir teknoloji yığını üzerimize yıkıldı ve oldu bitti olarak sunuldu. Bir cahil olarak, anladığım şeye benzeterek onu yapısöküme uğratmaya çalışayım: SSH anahtar çiftleri. Başkalarını benim yanlış anladığım noktalarda eksiklikler bulmaya davet ediyorum.1. Genel/özel kimlik doğrulama anahtarları. Bu kabaca SSH ile aynı şekilde çalışır. Web sitesi yalnızca genel anahtarınızı bilir ve özel anahtarın sizde olduğunu kanıtlamak için mesajları imzalarsınız.
2. Kimlik avına karşı koruma. Anahtarlar bir siteye özel olduğundan kimlik avı sitesi farklı bir anahtar alır. SSH'nin bunun için ana bilgisayar anahtarları var, tuş geçişinin TLS ana bilgisayar anahtarlarıyla ilgisi olduğunu varsayıyorum? Tarayıcınız hangi tuşun kullanılacağını seçmek için bunu mu kullanıyor? Yoksa sadece DNS adına göre mi?
3. Doğru kullanıcının bunları kullandığını kanıtlamak için anahtarların kilidini açma araçları. SSH'nin parolaları var, sanırım biyometrik/Bluetooth olayı burada devreye giriyor? SSH ayrıca akıllı kartlarla anahtarların kilidini açabilir ve bu yüzden biyometrinin biraz başka bir kilit açma moduna benzediğini mi varsayıyorum?
4. Anahtarlar cihazlar arasında senkronize ediliyor. Muhtemelen iCloud ve Chrome şifre senkronizasyonu gibi bulut 'ekosistemlerinin' devreye girdiği yer burasıdır? SSH için destek yok, ancak rsync veya başka bir şeyle kendinizinkini hazırlayabilirsiniz?
Neyi yanlış anladım?
Yukarıdakiler genel olarak doğruysa, cihazlar arasında geçiş yapmak için ~/.ssh ve rsync'teki bir dosya yığınını kullanarak SSH'nin yaptığıyla temelde aynı şeyi yapan açık bir yığın oluşturmayı hayal edebiliyorum. Bu, tüm hareketli parçaların açığa çıktığı ve neler olup bittiğinin anlaşılmasının kolay olduğu 'bisiklet' yaklaşımıdır.
Bu sadece insanlara atfedilen bir şey değil; bu, standardın ikinci versiyonu olan FIDO2'ye yapılan bir güncellemedir. U2F, FIDO1'di; bu CTAP 2.2 ([düzenle: Yanlış olan 2.4 WAG'ımdan düzeltildi, teşekkürler Hala Yanlış!]), FIDO2/WebAuthn'un bir parçası. Bu aslında hiç de karmaşık bir şey değil... Özel anahtarın güvenli bir şekilde kopyalanabilmesi (zorunludur...) için Kimlik Doğrulayıcı gereksinimlerini gevşettiler ve hayatı kolaylaştırmak için bazı Javascript özellikleri eklediler. Şifresiz girişler mi? FIDO2 ile her zaman mümkün oldu. İşin güzel kısmı da bu; FIDO1 yalnızca MFA olabilir. Tarayıcınıza TPM'de veya güvenli öğede saklanan özel bir anahtar mı ekliyorsunuz? Her zaman mümkündü ve daha önce Chrome, Firefox ve Safari'de uygulanıyordu. Yeni olan, BT/QR donanımı aracılığıyla senkronize edilebilmesi ve erişilebilmesidir. Daha önce, donanım aygıtları olan taşınabilir anahtarların aksine, "platforma özel anahtarlar" olarak anılıyordu (ve web sitelerinde işaretleniyordu). Artık PassKeys var.
Şifre sisteminin tüm amacı şifrelerden kurtulmak gibi göründüğü için şifrelerin bazı faydalarını sıralayayım:
- zihinsel olarak elektronik bir cihazı çalıştırabilen herkesin anlayabileceği kadar basittirler
- Biraz çaba gösterirseniz ve düzenli olarak kullanırsanız hatırlamaları kolaydır.
- kutudan çıktığı gibi tüm işletim sistemlerinde çalışırlar
- İnternet erişimi gerektirmezler (bazı sistemler iyi bir nedenden dolayı çevrimdışıdır)
- herhangi bir üçüncü tarafın işbirliğine ihtiyaç duymazlar
- bir akıllı telefonun veya başka bir aygıtın varlığına ihtiyaç duymazlar
- Bluetooth, WiFi, kamera veya pil gerektirmezler
- acil durumlarda elektriğe ihtiyaç duymadan saklanabilirler
- herhangi bir cihaz kullanılmadan başka bir kişiye kolaylıkla bulaşabiliyorlar
- engelli değilseniz ve akıllı telefon kullanmıyorsanız parolayla kimlik doğrulaması yalnızca birkaç saniye sürer
1., 2. ve 10. noktalarınız tamamen yanlış; teknik destekte çalışan herkese, birileri yüzünden şifre sıfırlama işlemlerini ne sıklıkta yapmak zorunda kaldıklarını sorun. şifrelerini unuttular, büyük harf kilidi tuşunu açık bıraktılar (ya da klavyede ellerini yanlış konumlandırdılar) ya da kilitlenmeye yetecek kadar parmakla oynadılar dışarı. Evet, evet, kişisel olarak bunu her zaman mükemmel bir şekilde hallettiğinizi biliyorum ama güvenin bana, yardım masası çağrıları alan herkesin insanlık hakkında... daha az iyimser... bir görüşü vardır. Ayrıca çok sayıda görme engelli kullanıcıyı ve şifre girişini desteklediğimi de ekleyeceğim. kitlesel olarak onlar için berbat çünkü birçok sitenin ekran okuyucu kullanıcıları için zor olan karmaşıklık gereksinimleri var ve eğer uzman bir dokunmatik daktilo uzmanı değilseniz, bunu yüksek sesle söylemek harika değil. Bu bir niş alan ama kimlik doğrulama sistemleri geliştiren birçok kişinin yasal olarak desteklemesi gereken bir alan ve benim ilgilenmemin nedenlerinden biri de bu "Parolanızla giriş yapmak istiyor musunuz?" "Evet" çoğu kişi için herhangi bir şifre + MFA'dan en az bir kat daha hızlı ve kolaydır. kullanıcılar.
3. nokta WebAuthn MFA için doğrudur ancak her zaman geçiş anahtarları vardır; Yubikey gibi bir şey USB/NFC'niz olan her yerde çalışır ancak Basit bir işlemden fazlasını gerektiren Google.com gibi şifre uygulayıcıları için bir PIN ayarlamanız veya biyometrik seri anahtarlarını kullanmanız gerekir musluk.
5, 6, 7 ve 8. noktalar aynı zamanda hem MFA hem de geçiş anahtarları olmak üzere tüm WebAuthn biçimleri için de geçerlidir. 4. nokta, mevcut bir anahtarı senkronize ederken bir cihazı ilk kez kaydettirmeniz haricinde doğrudur. Anahtarlarınızı ilk kez senkronize ettikten sonra ağ bağlantısına ihtiyacınız yoktur. Senkronize etmek istemiyorsanız, USB veya NFC'nizin olduğu her yerde yine tamamen çevrimdışı çalışan birkaç Yubikey biyometrik anahtarı da satın alabilirsiniz.
Bu, kötü bir uygulama olan ve mümkünse kaçınılması gereken #9'u bırakıyor. Modern sistemlerde, insanların hiçbir zaman şifrelerini paylaşmadığı, ancak birden fazla kişinin belirli bir rolü üstlenmesine izin verildiği rol tabanlı kimlik doğrulama gibi şeyler veya eski veya devredilmiş gibi şeyler bulunur. Şifrelerinizi bir daha asla paylaşmadığınız, ancak bir veya daha da iyisi birden fazla kişiye şifrenizi sıfırlama veya kontrolü ele geçirme gibi bir şeyi yapma olanağını birlikte verdiğiniz hesaplar dosyalarınız.
Bir şeyin yeni olması ve nasıl çalıştığını öğrenmemiş olmanız onun kötü olduğu veya kaçınılması gerektiği anlamına gelmez. Çoğumuz için geçiş anahtarları büyük bir değişikliktir; PIV/CAC, birkaç yerde daha olsa bile önceki yüzyıla dayandığı için .gov hariçtir. benimsedi - ancak güvenlik avantajlarına ek olarak bir dizi kullanılabilirlik iyileştirmesi var ve bunu geliştirmenin açık bir yolu var eksik parçalardan bazıları (örneğin, bir Apple / Google şifre anahtarını bir Yubikey ile senkronize edebilmeyi gerçekten istiyorum, böylece onu hemen kasama bırakabilirim) dava).
Bunun için kullanıldığı için, yalnızca senkronizasyon sırasında değil, kimlik doğrulama sırasında da mevcut olması gerektiği açıktır. Ayrıca ilk kayıt sırasında da mevcut olması gerekir.Size açıklamaya çalıştığım şey de bu: Mevcut bir cihazla kimlik doğrulaması yapmak ve bunu kullanmak kolay olurdu. başka bir yeni cihazda oluşturulan ve bazıları tarafından eski cihaza gönderilen başka bir genel anahtarı eklemek için cihaza araç. Örneğin, masaüstü makinemde yeni bir gizli anahtar/ortak anahtar anahtar çifti oluşturabilir, genel anahtarı dizüstü bilgisayarıma gönderebilir, dizüstü bilgisayarımla oturum açabilir ve masaüstü ortak anahtarını ekleyebilirim. Benzer şeyleri SSH ile her zaman yapıyorum.
Burada teknik bir engel yok. Geçiş anahtarlarıyla bu mümkün değilse, o zaman bu seçimdir.
Özel anahtara erişilemiyor. Bir yalanı defalarca tekrarlamak yerine neden araştırmıyorsunuz?
Ve şimdi kafam, başlamadan önce olduğundan daha fazla kafam karıştı - bazı şeyleri açıklamak için makaleyi Bilgisayar Bilimleri bölümüm/daha iyi yarıma ilettim ama bu yeterli olmayabilir.
Şifreler kolayca sindirilir. 2FA'yı açıklamak kolaydır. Geçiş anahtarları mantıklı geliyor ama tam alabileceğimi düşündüğümde sonraki paragrafı okuyorum ve daha çok kayboluyorum.
Tanrı kardeşlerime ve ebeveynlerime yardım etsin.
Bunu söylediğiniz için teşekkürler. Dan ve diğerlerinden gelen yanıtlar (örneğin, @Wbd(benimkinden alıntı yaparak öne çıkan yorumu) yorumun temelden yanlış okunmasına dayanmaktadır.Hem 1Password hem de Bitwarden'ın şifre desteği üzerinde çalıştığının farkındasınız değil mi?İşletim sistemi sağlayıcıma (benim durumumda hem mobil hem de masaüstü cihazlar için Apple) geçiş anahtarları konusunda güvenmek istemiyorum ve yanıt sürekli olarak "Ama sen ŞİFRENİZ İLE GOOGLE'A ZATEN GÜVENİN." Evet, tamam, BitWarden/KeePass'tan rastgele uzun bir şifre giriyorum ve Yubikey'imi takıp tuşuna basıyorum. düğme. Hiçbir noktada işletim sistemi sağlayıcıma bağlı değil.
Ve elbette, şu anda şifre kullanmama ve daha önce olduğu gibi şifre kullanma seçeneği var, ancak tüm teknoloji heyecanı "ARTIK ŞİFRE İÇİN ŞİFRE ANAHTARI YOK" yolunda ilerliyor HERKES" istasyonu ve "ama durun, işletim sistemi sağlayıcım benden hoşlanmadığına karar verdiği için diğer tüm hesaplara erişimim engellenirse ne olur" dersem trol olarak çağrılır ve yanlış bilgilendirilmiş. Ayrıca bunun işe yaramadığı pek çok uç durum var ve bunun yerine "evet, bunlar istediğimiz yalnızca geçiş anahtarının geleceğine dair geçerli endişeler var", herhangi bir şeye yönelik sürekli bir eleştiri var sorgulama.
1Password, şifrelerin "kimlik doğrulamanın geleceği" olduğunu söyleyecek kadar ileri gitti: https://www.future.1password.com/passkeys/
