Klucze miały być bezpieczne i proste; oto jak ponoszą porażkę

cyberfeed.pl 3 dni temu


Kłóciłem się o to hasła są okropne przez większą część dekady i jako pierwszy entuzjastycznie przyjął znacznie lepsze podejście do kluczy dostępu.

Klucze miały osiągnąć Świętego Graala podejścia, które oznacza więcej bezpieczny niż hasła i tak łatwe w użyciu, iż każdy by je przyjął. Ale nowy artykuł przedstawia cztery problemy związane z tą technologią…

Klucze są bezpieczniejsze niż hasła

Hasła mają wiele problemów związanych z bezpieczeństwem:

  • Strony internetowe mogą je znać, choćby jeżeli rzekomo są zaszyfrowane
  • Osoby nietechniczne mają tendencję do ponownego używania haseł, więc naruszenia bezpieczeństwa danych są niezwykle problematyczne
  • Hasła są podatne na ataki typu phishing

Klucze rozwiązują to wszystko. Zamiast pytać o naszą nazwę użytkownika i hasło podczas logowania, jesteśmy proszeni o użycie hasła. W przypadku tego systemu strona internetowa lub aplikacja pyta nasze urządzenie aby nas uwierzytelnić dzięki Face ID lub Touch ID. Urządzenie informuje witrynę, kim jesteśmy i potwierdza naszą tożsamość.

Serwer internetowy ufa Twojemu urządzeniu, aby Cię uwierzytelnić w dokładnie taki sam sposób, w jaki terminale płatnicze ufają Twojemu iPhone’owi lub Apple Watch w przypadku transakcji Apple Pay – ponieważ wie, iż Twoje uwierzytelnienie zostało lokalne przy użyciu danych biometrycznych.

Teoretycznie hasła są znacznie prostsze

Kiedy zakładamy konto, powinniśmy mieć możliwość skorzystania z hasła i jedyne, co musimy zrobić, to wyrazić na to zgodę. Nasze urządzenie nas uwierzytelnia, a usługa tworzy nasze konto. Aby zalogować się następnym razem, po prostu używamy Face ID lub Touch ID i gotowe.

Ale są cztery duże problemy

Jeśli używasz tylko urządzeń Apple i na każdym z nich używasz Safari jako przeglądarki internetowej, klucze zostaną udostępnione zamknąć do bycia tak prostym. Synchronizacja iCloud oznacza, iż ​​konto utworzone na jednym urządzeniu Apple będzie dostępne na wszystkich pozostałych.

Ale jako Arstechnica podkreśla, istnieją działka sytuacji, w których rzeczywistość odbiega od obietnic, zaczynając od niespójnych doświadczeń użytkowników.

Doświadczenie logowania do PayPal dzięki hasła w systemie Windows będzie inne niż logowanie do tej samej witryny na iOS lub choćby logowanie się do niej dzięki Edge na Androidzie. I zapomnij o próbie użycia hasła do zalogowania się do PayPal w przeglądarce Firefox. Strona płatności nie obsługuje tej przeglądarki w żadnym systemie operacyjnym.

Co gorsza, hasła są powiązane z konkretnymi przeglądarkami.

Innym przykładem jest utworzenie hasła do mojego konta LinkedIn w przeglądarce Firefox. Ponieważ korzystam z szerokiego asortymentu przeglądarek na platformach, zdecydowałem się zsynchronizować hasło dzięki mojego menedżera haseł 1Password. Teoretycznie ten wybór pozwala mi automatycznie używać tego klucza wszędzie tam, gdzie mam dostęp do mojego konta 1Password, co w innym przypadku nie byłoby możliwe. Ale to nie jest takie proste. Kiedy patrzę na klucz dostępu w ustawieniach LinkedIn, jest on wyświetlany jako utworzony dla przeglądarki Firefox w systemie Mac OS X 10, mimo iż działa we wszystkich przeglądarkach i systemach operacyjnych, których używam.

Trzecią kwestią jest to, iż firmy takie jak Google i Apple mogą być bliskie zmuszenia Cię do korzystania z własnych systemów zarządzania kluczami dostępu, choćby jeżeli masz inne preferencje, a czasem choćby jeżeli masz już skonfigurowany klucz dostępu.

Chcę tylko otworzyć LinkedIn przy użyciu hasła synchronizowanego przez 1Password ze wszystkimi moimi urządzeniami. W jakiś sposób tajemnicza istota odpowiedzialna za tę wiadomość (w tym przypadku jest to Google) przejęła proces, próbując przekonać mnie do korzystania z jej platformy.

Weź również pod uwagę doświadczenia z WebAuthn.io, witryną pokazującą, jak standard działa w różnych scenariuszach. Gdy użytkownik chce zarejestrować fizyczny klucz bezpieczeństwa, aby zalogować się w systemie macOS, pojawia się okno dialogowe, które wskazuje mu opcję użycia zamiast tego klucza dostępu i zsynchronizowania go za pośrednictwem iCloud.

Wreszcie, faktem jest, iż choć celem kluczy dostępu jest pozbycie się luk w zabezpieczeniach tworzonych przez hasła, prawie każda usługa zmusza Cię również do utworzenia hasła do logowania.

Spośród setek witryn obsługujących klucze nie znam żadnej, która umożliwiałaby całkowite porzucenie hasła. Hasło jest przez cały czas obowiązkowe […] Podmioty zagrażające opracują hacki i ataki socjotechniczne wykorzystujące tę lukę. Potem wracamy tam, gdzie byliśmy wcześniej.

Pełny kawałek warto przeczytać.

Zdjęcie autorstwa Rejestracja NA Usuń rozpryski

FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.



Source link

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Klucze miały być bezpieczne i proste; oto jak ponoszą porażkę

Powiązane

Podatności w oprogramowaniu CTFd

Podatności w oprogramowaniu CTFd

2 dni temu
Groźna luka w zabezpieczeniach zapory sieciowej Palo Alto Networks wykorzystywana w środowisku naturalnym

Groźna luka w zabezpieczeniach zapory sieciowej Palo Alto Ne...

5 dni temu
Overload.su internet booter

Overload.su internet booter

1 tydzień temu
Windows 11 za darmo — czy to możliwe?

Windows 11 za darmo — czy to możliwe?

1 tydzień temu
Prometheus – setki tysięcy niezabezpieczonych serwerów dostępne dla wszystkich

Prometheus – setki tysięcy niezabezpieczonych serwerów dostę...

2 tygodni temu
Dwuteowniki stalowe a inne kształtowniki – jakie są ich główne zalety?

Dwuteowniki stalowe a inne kształtowniki – jakie są ich głów...

2 tygodni temu
Podatność w oprogramowaniu DirectAdmin Evolution Skin

Podatność w oprogramowaniu DirectAdmin Evolution Skin

2 tygodni temu
Krowa bezmetanowa? Niespiskowo o aferze wokół środka Bovaer

Krowa bezmetanowa? Niespiskowo o aferze wokół środka Bovaer

2 tygodni temu