Mật khẩu sẽ phải trả giá.

 (fy.blackhats.net.au)
1 điểm bởi GN⁺ 2023-07-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • Rất nhiều sự quan tâm dành cho "passkey" và khả năng thay đổi phương thức xác thực
  • Sự ám ảnh với passkey có thể khiến việc sử dụng khóa bảo mật trở nên không cần thiết
  • Vấn đề nằm ở sự khác biệt giữa khóa lưu trú và khóa không lưu trú
  • Khóa lưu trú lưu khóa riêng trên chính khóa bảo mật, còn khóa không lưu trú phụ thuộc vào ID thông tin xác thực để giải mã
  • Khóa lưu trú tiêu tốn dung lượng của khóa bảo mật và có thể nhanh chóng bị lấp đầy
  • Khóa không lưu trú vẫn an toàn và dựa vào các tính năng bảo mật tương tự như TLS
  • Người dùng vẫn có thể được xác thực mà không cần khóa lưu trú
  • Vấn đề phát sinh từ sự thổi phồng quá mức về passkey và sự nhầm lẫn trong định nghĩa của nó
  • Ban đầu, passkey được Apple giới thiệu như một cách dùng Touch ID/Face ID làm trình xác thực web
  • Định nghĩa của passkey đã thay đổi và nay mang nghĩa là khóa lưu trú
  • Định nghĩa này đã lan rộng và gây ra vấn đề cho người dùng khóa bảo mật
  • Khóa bảo mật có dung lượng lưu trữ hạn chế và khả năng quản lý thông tin xác thực còn thiếu, khiến việc dùng khóa lưu trú trở nên khó khăn
  • Yêu cầu dùng khóa lưu trú cho mọi lần đăng ký làm suy giảm trải nghiệm người dùng
  • Điều này đi ngược lại mục tiêu cho phép người dùng chọn trình xác thực mà họ muốn
  • Trong thế giới passkey, chỉ một vài loại trình xác thực hoạt động đúng cách
  • Một đề xuất để giải quyết vấn đề là loại trừ khóa bảo mật khỏi yêu cầu passkey và bắt buộc yêu cầu lưu trữ đối với các thiết bị đã được xác thực
  • Nhìn chung, sự thổi phồng quá mức về khóa lưu trú như passkey đang cản trở khả năng người dùng chọn trình xác thực mà họ ưa thích.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-07-14
Ý kiến trên Hacker News
  • Khóa bảo mật vật lý có thể không phải là lựa chọn tối ưu làm passkey vì điện thoại hoặc máy tính để bàn không có tính năng xác thực hai bước của chúng.
  • Passkey được định nghĩa là các cặp khóa được đồng bộ hóa qua iCloud Keychain, và định nghĩa đó đã được mở rộng sang các phương thức đồng bộ đám mây khác.
  • Khóa bảo mật không quan trọng với đa số người dùng, và passkey là lựa chọn tốt hơn để thay thế mật khẩu.
  • Thiết kế giao thức cho passkey và resident key đang bị chỉ trích vì các vấn đề tiềm ẩn về bảo mật và khả năng tương thích.
  • Tình hình hiện tại của resident key và secure element khá hỗn loạn và cần được cải thiện.
  • Với những người không có nền tảng về bảo mật hay mật mã học, bài viết này có thể khó hiểu.
  • Để nâng cấp lên chuẩn xác thực mới, bạn có thể phải đầu tư tiền vào các khóa phần cứng mới.
  • Khóa phần cứng có không gian lưu trữ hạn chế, và việc bổ sung bộ xử lý an toàn cho lưu trữ dung lượng lớn có thể làm tăng chi phí.
  • Bài viết này cung cấp lời giải thích rõ ràng về passkey và tác động của chúng.
  • Một số người dùng không muốn phụ thuộc vào Google, Apple hoặc Microsoft để đồng bộ passkey.
  • Điều được mong muốn là một giải pháp tập trung cho token dựa trên phần cứng và việc đồng bộ resident key.
  • Khi thiết bị bị mất hoặc bị xâm phạm, cách xác thực dựa trên việc sở hữu thứ gì đó có thể trở thành vấn đề.
  • Một số người dùng tin rằng passkey trao cho chính phủ và doanh nghiệp quá nhiều quyền kiểm soát, làm suy yếu quyền riêng tư và bảo mật.