รหัสผ่านกำลังจะมีต้นทุน

 (fy.blackhats.net.au)
1 คะแนน โดย GN⁺ 2023-07-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีความสนใจอย่างมากต่อ "Passkey" และความเป็นไปได้ที่วิธีการยืนยันตัวตนจะเปลี่ยนไป
  • การยึดติดกับ Passkey อาจทำให้การใช้ security key กลายเป็นสิ่งไม่จำเป็น
  • ปัญหาอยู่ที่ความแตกต่างระหว่าง resident key และ non-resident key
  • resident key จะเก็บ private key ไว้ในตัว security key เอง ขณะที่ non-resident key พึ่งพา credential ID สำหรับการถอดรหัส
  • resident key ใช้พื้นที่บน security key และอาจเต็มได้อย่างรวดเร็ว
  • non-resident key ยังคงปลอดภัย และพึ่งพาคุณสมบัติด้านความปลอดภัยแบบเดียวกับ TLS
  • สามารถยืนยันตัวตนผู้ใช้ได้แม้ไม่มี resident key
  • ปัญหาเกิดจากการโหมกระแส Passkey เกินจริงและความสับสนเกี่ยวกับคำจำกัดความของมัน
  • เดิมที Passkey ถูก Apple แนะนำในฐานะวิธีใช้ Touch ID/Face ID เป็น web authenticator
  • คำจำกัดความของ Passkey เปลี่ยนไป จนตอนนี้หมายถึง resident key
  • คำจำกัดความนี้แพร่หลายอย่างกว้างขวางและกำลังก่อปัญหาให้ผู้ใช้ security key
  • security key มีพื้นที่จัดเก็บจำกัดและขาดการจัดการ credential ที่ดี จึงทำให้การใช้ resident key เป็นเรื่องยาก
  • ข้อกำหนดที่ให้ทุกการลงทะเบียนต้องใช้ resident key ทำให้ประสบการณ์ผู้ใช้แย่ลง
  • สิ่งนี้ขัดกับเป้าหมายที่ให้ผู้ใช้เลือก authenticator ที่ต้องการได้
  • ในโลกของ Passkey มี authenticator เพียงไม่กี่ประเภทเท่านั้นที่ใช้งานได้อย่างเหมาะสม
  • ข้อเสนอเพื่อแก้ปัญหาคือยกเว้น security key ออกจากข้อกำหนด Passkey และบังคับใช้ข้อกำหนดการจัดเก็บสำหรับอุปกรณ์ที่ผ่านการยืนยันแล้ว
  • โดยรวมแล้ว การโหมกระแส resident key ในฐานะ Passkey กำลังบั่นทอนความสามารถของผู้ใช้ในการเลือก authenticator ที่ตนต้องการ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-07-14
ความเห็นจาก Hacker News
  • คีย์ความปลอดภัยแบบกายภาพอาจไม่ใช่ตัวเลือกที่เหมาะที่สุดในฐานะ passkey เพราะไม่มีความสามารถด้านการยืนยันตัวตนสองขั้นตอนบนโทรศัพท์หรือเดสก์ท็อป
  • passkey ถูกนิยามว่าเป็นคู่กุญแจที่ซิงก์ผ่าน iCloud Keychain และนิยามนั้นได้ขยายไปครอบคลุมวิธีการซิงก์ผ่านคลาวด์แบบอื่นด้วย
  • คีย์ความปลอดภัยไม่ใช่สิ่งสำคัญสำหรับผู้ใช้ส่วนใหญ่ และ passkey เป็นตัวเลือกที่ดีกว่าสำหรับการแทนที่รหัสผ่าน
  • การออกแบบโปรโตคอลสำหรับ passkey และ resident key ถูกวิจารณ์ว่ามีปัญหาด้านความปลอดภัยและความเข้ากันได้ที่อาจเกิดขึ้น
  • สถานะปัจจุบันของ resident key และ secure element ยังสับสนและจำเป็นต้องได้รับการปรับปรุง
  • สำหรับผู้ที่ไม่มีพื้นฐานด้านความปลอดภัยหรือวิทยาการเข้ารหัส อาจเข้าใจบทความนี้ได้ยาก
  • การอัปเกรดไปใช้มาตรฐานการยืนยันตัวตนแบบใหม่อาจต้องลงทุนซื้อคีย์ฮาร์ดแวร์ใหม่
  • คีย์ฮาร์ดแวร์มีพื้นที่จัดเก็บจำกัด และการเพิ่มโปรเซสเซอร์ที่ปลอดภัยสำหรับการจัดเก็บจำนวนมากอาจทำให้ต้นทุนสูงขึ้น
  • บทความนี้อธิบาย passkey และผลกระทบของมันได้อย่างชัดเจน
  • ผู้ใช้บางรายไม่ต้องการพึ่งพา Google, Apple หรือ Microsoft สำหรับการซิงก์ passkey
  • โซลูชันแบบรวมศูนย์สำหรับโทเคนที่อิงฮาร์ดแวร์และการซิงก์ resident key เป็นสิ่งที่บางคนต้องการ
  • หากอุปกรณ์สูญหายหรือถูกเจาะ การยืนยันตัวตนด้วยการใช้สิ่งของที่ครอบครองอยู่อาจกลายเป็นปัญหาได้
  • ผู้ใช้บางรายเชื่อว่า passkey มอบอำนาจควบคุมมากเกินไปให้กับรัฐบาลและบริษัทต่าง ๆ จนกระทบต่อความเป็นส่วนตัวและความปลอดภัย