Исследователи кибербезопасности обнаружили набор данных, содержащий 26 миллиардов утекших записей — IT Pro — Новости

Футлок написал:

Какова сейчас ситуация с ключами доступа?

Это происходит медленно по нескольким причинам (я быстро их придумываю):

1) Веб-сайты, которые не поддерживают WebAuthn для аппаратных ключей FIDO2, еще предстоит проделать большую работу по реализации и тестированию.

2) Проблемы с прорезыванием зубов до сих пор не решены. Несложно удалить все пароли, хранящиеся в Диспетчере паролей Google на смартфоне Android, за один раз — без необходимости создания резервной копии в дальнейшем. Могу воспроизвести, что можно сорвать синхронизацию с другим (обычно новым) устройством (как это возможно, я узнал после того, как это случилось со мной случайно во время тестов).

3) Только если все основные менеджеры паролей поддерживают ключи доступа, вы, надеюсь, не столкнетесь с очень раздражающей привязкой к поставщику. Надеюсь, вы также сможете самостоятельно создать резервную копию закрытых ключей для своих паролей, но на самом деле это противоречит вашей философии. сам Не должно быть доступа.

4) То, что я написал под 2 и 3, означает, что закрытие аккаунта не является фейковым. Именно поэтому необходимо иметь альтернативный метод входа в систему. Едва ли Устойчивость к фишингу (например, код восстановления).

5). До сих пор не существует стабильного стандарта веб-аутентификации, а кроме того, возможны различия в интерпретации, которые также существуют на практике, например (по моему глупому мнению) «предпочтительный» вариант для некоторых параметров.

Apple отрицает, что это ошибка, но если вы установите параметр «Автозаполнение пароля» в настройках iPhone/iPad в разделе «Touch ID и пароль», СнаружиПереместить (этот случай всегда Если вы не используете Touch ID и, возможно, даже если вы не используете Face ID), я могу на некоторых сайтах Войдите в систему с паролем без биометрии и без пароля.активировав поле ввода идентификатора пользователя (это называется Условный интерфейс WebAuthn» ситуация).

Это касается многих демо-сайтов, по крайней мере https://webauthn.io И https://passkeys-demo.appspot.com (В обоих случаях сначала необходимо создать фейковую учетную запись).

Причина этого, по мнению Apple, заключается в том, что эти сайты используют «предпочитаемый» параметр по умолчанию для проверки пользователя (в webauthn.io я могу установить для него значение «обязательный», и он все равно работает, я не знаю почему).

Я не могу сделать это на GitHub, но не знаю, решит ли GitHub как-то эту проблему.

5) Чрезмерное внимание к использованию Асимметричное шифрование; Самое важное в ключах доступа — это то, что программное обеспечение проверяет доменное имя веб-сайта, что очень затрудняет фишинг (хорошие менеджеры паролей тоже делают это).

6) Это редко актуально, но случается, что фейковые сайты используют известное доменное имя и (ошибочно) получили на него сертификат. В этом случае Passkeys и FIDO2 предоставляют аппаратные ключи. нет защита.

Футлок написал:

Предотвращает ли это подобные нарушения/утечку данных?

Предотвратить это, конечно, невозможно, и ваш секрет входа не должен быть первым, о чем вы беспокоитесь после утечки.

Если открытый ключ пароля окажется на улице, теоретически это менее рискованно, чем принудительное получение надежного уникального пароля.

На практике злоумышленник может заменить ваш общедоступный ключ доступа своим собственным или добавить дополнительный ключ, поэтому данная практика является более сложной.

Футлок написал:

Я думаю, что в наши дни мало кто меняет свои пароли (регулярно), хотя все больше и больше людей осознают риски.

В этом нет необходимости, если вы используете надежные и уникальные пароли (что практически невозможно без менеджера паролей).