As senhas terão um custo.

 (fy.blackhats.net.au)
1 pontos por GN⁺ 2023-07-14 | 1 comentários | Compartilhar no WhatsApp
  • Muito interesse em torno das "passkeys" e da possibilidade de mudança nos métodos de autenticação
  • A obsessão por passkeys pode tornar desnecessário o uso de chaves de segurança
  • O problema está na diferença entre chaves residentes e não residentes
  • Chaves residentes armazenam a chave privada na própria chave de segurança, enquanto chaves não residentes dependem de um ID de credencial para descriptografia
  • Chaves residentes consomem espaço na chave de segurança e podem enchê-la rapidamente
  • Chaves não residentes continuam sendo seguras e dependem dos mesmos recursos de segurança do TLS
  • A autenticação do usuário é possível mesmo sem chaves residentes
  • O problema surge do exagero em torno das passkeys e da confusão sobre sua definição
  • As passkeys foram inicialmente apresentadas pela Apple como uma forma de usar Touch ID/Face ID como autenticador web
  • A definição de passkey mudou e agora passou a significar chave residente
  • Essa definição se espalhou amplamente e está causando problemas para usuários de chaves de segurança
  • Chaves de segurança têm espaço de armazenamento limitado e pouca gestão de credenciais, o que dificulta o uso de chaves residentes
  • A exigência de chaves residentes em todos os cadastros piora a experiência do usuário
  • Isso vai contra o objetivo de permitir que o usuário escolha o autenticador que deseja usar
  • No mundo das passkeys, apenas alguns tipos de autenticadores funcionam corretamente
  • Uma proposta para resolver o problema é excluir chaves de segurança da exigência de passkey e tornar obrigatórios os requisitos de armazenamento para dispositivos autenticados
  • No geral, o exagero em torno de chaves residentes como passkeys está prejudicando a capacidade de o usuário escolher seu autenticador preferido.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-07-14
Comentários do Hacker News
  • Chaves de segurança físicas podem não ser a melhor opção como passkeys, porque não têm o recurso de autenticação em duas etapas de um telefone ou desktop.
  • Passkeys são definidas como pares de chaves sincronizados pelo iCloud Keychain, e essa definição foi expandida para outros métodos de sincronização em nuvem.
  • Chaves de segurança não são importantes para a maioria dos usuários, e passkeys são uma escolha melhor para substituir senhas.
  • O design do protocolo para passkeys e chaves residentes está sendo criticado por potenciais problemas de segurança e compatibilidade.
  • A situação atual das chaves residentes e dos elementos seguros é confusa e precisa de melhorias.
  • Para pessoas sem conhecimento prévio em segurança ou criptografia, pode ser difícil entender este artigo.
  • Para migrar para o novo padrão de autenticação, talvez seja necessário investir dinheiro em novas chaves de hardware.
  • Chaves de hardware têm espaço de armazenamento limitado, e adicionar processadores seguros para armazenamento em massa pode aumentar os custos.
  • Este artigo fornece uma explicação clara sobre passkeys e seus impactos.
  • Alguns usuários não querem depender de Google, Apple ou Microsoft para a sincronização de passkeys.
  • O desejado é uma solução centralizada para tokens baseados em hardware e sincronização de chaves residentes.
  • Se um dispositivo for perdido ou comprometido, a autenticação baseada em posse de algo pode se tornar problemática.
  • Alguns usuários acreditam que as passkeys dão controle demais a governos e empresas, prejudicando a privacidade e a segurança.