Mener de har funnet løsningen på en passordfri hverdag

[Redaksjonen.]

Mener de har funnet løsningen på en passordfri hverdag

[Millmax]

Quote

Den største utfordringen FIDO har hatt med løsninger for å kvitte seg med passord, er overgangen til ny enhet.

Den største utfordringen ligger i formatet; det at du alltid må huske på å ta med deg brikken overalt.  Glemt brikken når du skal skal logge på pc på kontoret? Bare å dra hjem igjen.  Ferie og brikka slutter å fungere?  Da er det trolig best å ta med backup brikken på ferie også også. Du bør heller ikke oppbevare backup brikken sammen med primærbrikken, så det er nok best å ha en 3 brikke hos foreldre eller en venn.  Dersom du må bytte primærbrikken av en eller annen grunn må du da samle backup og 3 brikke for å få dem i sync igjen.   Et firma jeg samarbeider med kastet ut FIDO løsningene etter at sjefen på ferie uten brikke ikke fikk signert digitalt og firmaet derved ikke fikk levert et tilbud de hadde utarbeidet.

Nå har jeg blitt kvitt husnøkler (Yale), bilnøkkel (Tesla) og lommebok (Google pay, førerkortapp + ett ID kort i telefoncoveret). Reintrodusere en nøkkel jeg må dra med overalt jeg skal ha digital tilgang er en utrolig lite appelerende tanke. Noen som savner sin fysiske RSA ID token og bank kode generatoren?

 

Endret 22. mars 2022 av Millmax

[jyggo]

Hvilke alternativ foreslår du?

[Bing123]

1 hour ago, Millmax said:

Den største utfordringen ligger i formatet; det at du alltid må huske på å ta med deg brikken overalt.

 

Det er et gyldig poeng at man ellers i livet har prøvd å bli kvitt fysiske nøkler.
Men nå må man se dette opp mot alternativet
som er at folk har 1000 forskjellige passord som i seg selv er umulig å huske, de lekkes stadig,  og de blir lagret i en passord manager som igjen har mange implikasjoner
For min del tar jeg FIDO heller enn tusen passord. dette er en løsning som faktisk er trygt og lite hazzle.

[Millmax]

Valgfri password manager + authenticator app gir tilfredsstillende sikkerhet for de aller fleste og frir deg fra baksiden med å styre med  FIDO brikkene, samt risikoen for å glemme, miste eller ødelegge dem.

[henrikwl]

Problemet her er at sikkerhet og brukervennlighet ligger i motsatt ende av skalaen. Det er ikke noe problem å lage en løsning som er 100% sikker, men den blir da samtidig 100% umulig å bruke. Så, for å gjøre noe enklere å bruke så må det gå på bekostning av sikkerhet.

Jeg kommer aldri noensinne til å dra med meg en sånn dings som dette her rundt. Jeg har passordmanageren på telefonen, på pad-en og på alle laptoper/enheter jeg har tilgang til, så for min del er passordproblemet løst. Det tar meg ca. 2 sekunder å logge inn hvor som helst, fra hvilken enhet som helst, og jeg trenger ikke fikle med noen dings i det hele tatt.

Det eneste alternativet jeg kunne vurdert var hvis nettsider og diverse apper kunne bruke de autentiseringsting som enhetene mine allerede har, som touchID og faceID – og jeg mener at det pågår initiativer som handler om akkurat dette.

[Bing123]

11 minutes ago, Millmax said:

authenticator app

Authenticator apps funker men de har en shared secret som må ligge på serveren du autentiserer mot og kan hackes og dermed ikke like sikkert som FIDO.
Du er ikke problemfritt ellers heller, når mobilen din blir ødelagt eller mistes så har du ikke authenticator appen lengre - hva gjør du?

Endret 22. mars 2022 av atlemag

[ITtraktor]

Blir ikke dette egentlig bare som å gå fra kodelås og tilbake igjen til fysisk nøkkel?

[Bing123]

1 minute ago, ITtraktor said:

Blir ikke dette egentlig bare som å gå fra kodelås og tilbake igjen til fysisk nøkkel?

kodelås var en forenkling, sannheten er at vi snakker om tusenvis av passord som har krav til kompleksitet og å være unike samt en 2-faktor som likevel er fysisk i form av mobil

[henrikwl]

atlemag skrev (15 minutter siden):

Authenticator apps funker men de har en shared secret som må ligge på serveren du autentiserer mot og kan hackes og dermed ikke like sikkert som FIDO.
Du er ikke problemfritt ellers heller, når mobilen din blir ødelagt eller mistes så har du ikke authenticator appen lengre - hva gjør du?

«Ikke like sikkert som FIDO» er helt irrelevant så lenge FIDO er så innmari knotete å bruke. Og igjen: hvis du glemmer å drasse med deg denne dingsen (fordi vi i de siste 10 årene har jobbet iherdig for å redusere mengden med ræl vi må drasse med oss) eller den går i stykker, hva gjør du da?

Bytte telefon-problematikken med authenicator apper har vært løst i årevis nå, så jeg skjønner ikke helt hvorfor det er et argument? Den gangen det var et problem så var det samme typen problem som «har mistet FIDO-brikken min» – og det problemet er ikke løst enda.

Endret 22. mars 2022 av henrikwl

[Androidguy]

Som jeg skriver i artikkelen: 

Sitat

 Denne innloggingen må da selvfølgelig bekreftes med en maskinvare. Det kan være en telefon via Bluetooth, en brikke i enheten med biometriske godkjenningskrav eller en annen maskinvareløsning, som en USB-sikkerhetsnøkkel.  

Ergo den nye løsningen FIDO omtaler i dokumentet er ikke nødvendigvis avhengig av en ekstra nøkkel som flere nevner her er upraktisk. Men avhengig av at maskinvare som brukes har sikkerhetsbrikker og biometrisk sikkerhet. Ergo du kan fortsatt leve med kun telefon. Du kan ha en brikke innebygget i PCen din, som krever biometrisk verifisering hver gang du logger inn. 

Syntes FIDO sin illustrasjon i dokumentet viser ganske godt at man kan fint leve uten en ekstra nøkkel. Selv om det nok er den sikreste måten. Det krevet da at enhetene har FIDO sine krav på hw-nivå

 

 

[Camlon]

Dårlig løsning siden man vil miste tilgangen om brikken blir borte eller ødelagt. Og hvis noen skulle få tilgang til brikken din, så har de også tilgang til passordene dine.

Å koble passordene til noe er en god ide, men det bør kobles til noe man ikke kan miste, som f.eks. fingeravtrykk. Vi har allerede fingeravtrykk på mobilen og på mac pc-er. Det kan absolutt utvides til flere formål som passord.

[The Avatar]

Vil det ikkje være mogleg å legge biometriske godkjenningskrav i skya slik at brukaren treng eit vanleg passord og f.eks. eit fingeravtrykk? Om dei biometriske godkjenningskrava ligg i skya så treng ein ikkje anna hardware enn at den tenesta ein skal logge inn på må ha fingeravtrykklesar eller liknande biometrisk avlesing.
Ulempen er sjølvsagt at både passord og biometriske godkjenningskrav kan manipulerast, men sett opp i mot fordelen av å sleppe å dra med seg ein fysisk dings som ein kan miste så er nok det ein akseptabel risiko.

 

Eg tenker at framtidas passord må være slik at ein ikkje er avhengig av andre ting enn sin eigen hukommelse og kropp for å kunne logge inn på ulike tenester. Det bør være mulig å kunne f.eks logge seg inn på banktenester for å få ut pengar om ein mister alt utanom livet i f.eks. ein husbrann.
Vil det være mulig å få ein tilfredsstillande sikkerheit ved å kombinere tradisjonelt passord med ein slik "are you a human" løysing der ein skal trykke på bilder? Kor lett vil det være å hacke ei løysing der ein har eit stort bildegalleri og berre du veit at du trykker på bileta av tog, fotgjengerovergangar eller trafikklys?

[Dubious]

Jeg bruker Buypass med kortleser til å logge inn på sider som ofte kraver BankID.
Så da trenger jeg kun skrive inn 4 siffer for å logge inn.

For alt annet bruker jeg en "password manager", som automatisk logger meg inn, så jeg trenger kun å huske ett passord. 

[henrikwl]

Ahh… Ulempen ved å ikke ha Ekstra men kommentere under Ekstra-artikler. Det ser jo ut til at tanken er å koble dette greiene til mobil og enheter, slik jeg var inne på, og ikke nødvendigvis en ekstra brikke som må huskes på. Da kan det jo faktisk ha noe for seg dette her.

[Bing123]

2 hours ago, henrikwl said:

er helt irrelevant så lenge FIDO er så innmari knotete å bruke

Så du bare bestemmer at det er irrelevant å ha ekte sikkerhet? Yey.
Høres ut som du ikke har brukt FIDO, de fins i NFC hvis du syns å putte inni usb er knot.
Passord er også knotete å bruke, og alle de hackene med å synce passord til skyen er en løsning som har gått i dass mange ganger. Poenget med FIDO er at det er hardware og kryptografi. Altså ikke noe som må synkes til skyen for å  bare gjøre de sårbare passordene mer konsentrert.

 

2 hours ago, henrikwl said:

Bytte telefon-problematikken med authenicator apper har vært løst i årevis nå

Du bruker tid på å bare forklare "at det har vært løst" uten å si HVA? Skal man tolke deg utifra dine andre utsagn mener du sikkert enda en gang at å synke til skyen er løsningen på alt. Noe som igjen blir like sårbart som å synke passordene. Ikke en løsning mao.

Endret 22. mars 2022 av atlemag

[Slakter Hansen]

11 hours ago, jyggo said:

Hvilke alternativ foreslår du?

Jeg ville ønsket meg ei klokke med den funksjonen.

 

Den har man tilgjengelig hele tiden.

[henrikwl]

atlemag skrev (20 timer siden):

Så du bare bestemmer at det er irrelevant å ha ekte sikkerhet? Yey.

Det er ikke det jeg sier i det hele tatt. Det jeg sier er at det finnes ikke noe som heter «ekte sikkerhet» – det er alltid en avveining mellom brukervennlighet og sikkerhet. Det sikreste er jo tross alt å koble maskinen helt fra internett, men jeg hører ikke veldig mange argumentere for det med mindre det er helt eksepsjonelle ting som skal beskyttes.

Hvilken sikkerhetsløsning som er best er 100% avhengig av situasjonen, og faktorene som må vurderes er blant annet: hva slags informasjon er det som skal beskyttes, hvilke angrepsvektorer finnes det, hvor komplisert er sikkerhetsløsningen å bruke, hva er konsekvensen av svikt i sikkerhetsløsningen og ikke minst hvor sannsynlig er et angrep.

Både sky-synkroniserte passordhåndterere og hardware-baserte dongle-løsninger har helt klare og tydelige ulemper, men jeg mener at ulempene med passordhåndterere er i stor grad mitigert av ekstra sikringstiltak slik at risikoen i stort er akseptabel. Jeg mener videre at ulempene med en dongle-basert hardwareløsning er så store at den bittelille ekstra sikkerheten man måtte fått rett og slett ikke er verdt det. Første gang jeg sto en plass og hadde glemt dongelen hjemme hadde jeg umiddelbart gått tilbake til passordhåndtereren.

Hvordan du kan mene at passordhåndterer er en hacky løsning som har gått i dass skjønner jeg ikke. Det er den aller mest anerkjente og anbefalte måten for vanlige folk å håndtere passordene sine på og er anbefalt av de aller fleste sikkerhetseksperter. Hardware-baserte dongle-løsninger anbefales stort sett kun til bedrifts-scenarier hvor trusselbildet er et helt annet og man har ressurser til å drive med kursing og prosessinnprenting av brukermassen for å demme opp for de økte kravene til brukere av løsningen.

Og hvis du ikke har fått med deg at OTP-apper nå til dags stort sett har godt fungerende recovery-funksjoner som gjør det lett å bytte mobil og har hatt det i mange år så vet jeg ikke helt hvorfor jeg sitter og diskuterer sikkerhetstiltak med deg.

[Bing123]

2 hours ago, henrikwl said:

Og hvis du ikke har fått med deg at OTP-apper nå til dags stort sett har godt fungerende recovery-funksjoner som gjør det lett å bytte mobil og har hatt det i mange år så vet jeg ikke helt hvorfor jeg sitter og diskuterer sikkerhetstiltak med deg

Mye enig i resten av innlegget ditt men akkurat på dette temaet så oppfører du deg rart og unnvikende.

Jeg vet veldig godt om noen av løsningene for å bytte mobil og få med seg OTP, disse er meget tungvindte. Mye mer tungvindte enn noe av det som er diskutert her.

Jeg bare spurte derfor, en annen bruker forøvrig, hva han gjør i dette scenarioet. 
Spørsmålet er IKKE om det er mulig eller ikke.

Så derfor spør jeg igjen: HVA er disse løsningene som DU snakker om?

 

Endret 23. mars 2022 av atlemag

[henrikwl]

atlemag skrev (Akkurat nå):

Mye enig i resten av innlegget ditt men akkurat på dette temaet så oppfører du deg rart.

Jeg vet veldig godt om noen av løsningene for å bytte mobil, disse er meget tungvindte. Jeg bare spurte en annen bruker hva han skal gjøre, for å potensielt poengtere at dette også er knotete, med mindre det fins elegante løsninger - men det har jeg ikke hørt om, ennå.

Så derfor spør jeg igjen: HVA er disse løsningene som DU snakker om?

 

OTP-apper jeg har brukt de senere årene har alle sammen hatt funksjonalitet hvor de bruker økosystemets (om det er Apple eller Android) eksisterende backup-rammeverk til å gjøre det mulig å gjenopprette alle kodene når man bytter enhet. Det er gjort med et tastetrykk, og oppleves ikke knotete i det hele tatt.

Og 1Password, som er den passordhåndtereren jeg bruker, har støtte for OTP-koder rett i appen, så alle disse ligger i hvelvet og blir tilgjengelige på ny enhet som en del av prosessen med å rulle den enheten inn i hvelvet.