谷歌员工使用物理令牌作为第二个身份验证因素

克雷布斯的安全问题报告所有85000名谷歌员工都使用带有物理令牌的双因素认证。

一位谷歌发言人说,安全密钥现在构成了谷歌所有账户访问的基础。

发言人说:“自谷歌实施保安密码匙以来,我们并没有接获有关接管或确认的个案。”“由于许多不同的应用程序/原因,可能会要求用户使用其安全密钥进行身份验证。这完全取决于应用程序的敏感性和用户当时的风险。

现在谷歌销售,安全用户:

周三,这家公司宣布了它的新产品Titan安全密钥,请一种通过将双因素身份验证限制到物理世界来保护您的帐户的设备。它有u盘和蓝牙功能,与同类产品相似Yubico飞天,请它采用了菲多联盟。这意味着它将兼容几乎所有允许用户启用通用第二因素身份验证(U2F

发布于7月26日,2018年12点18分•49评论188滚球网站

188滚球网站评论

格雷格Glockner·7月26日,2018年12:30 PM

请原谅这个幼稚的问题:物理安全密钥比智能手机上的TOTP应用程序安全得多吗?假设你的智能手机上没有密码数据库,而且你有某种远程擦除功能,以防设备丢失。

ramriot·7月26日,2018下午12点58分

这是一个开始,但是,在我们得到比共享静态秘密(密码)更好的第一个因素之前,我们不会取得很大进展。所需要的是使用生命周期密钥恢复系统的伪零知识证明。Fido就在Fido2 UAF中,Webauth是一个很好的通用连接器,但到目前为止,似乎只有sqrl填满了所有的框,尽管还没有完全发布。

马特·7月26日,2018下午12点58分

@Greg Glockner:我想到的是智能手机,作为一种通用的计算设备,可以看似合理地被黑/根化,从而允许攻击者在任何时候检索当前的TOTP代码。操作系统中的弱点可能允许恶意应用程序访问。物理密钥有专门的用途和更简单的接口:除了预期的用途之外,它什么也不做。

可能,有人可以访问物理密钥并对其重新编程(或用一个明显相同的副本替换它)来做一些邪恶的事情,但这比黑客入侵智能手机要困难得多。

重复攻击可能是一种替代不起作用的虚拟设备的方法,这可能会提示用户使用恢复代码暂时禁用双因素身份验证,削弱其安全性的时间足以让攻击者进入(可能他们已经有了密码)。一个更高科技的方法,例如将安全密钥克隆到另一个密钥上,该密钥中还包含恶意代码(这将以某种方式,我不知道,将密钥通过互联网实时传递给攻击者)理论上也是可行的。

卡尔·塞米切尔·7月26日,2018年下午一点

@Greg Glockner

对。智能手机可能会被恶意软件窃取TOTP密钥(用来生成6位代码的密钥)。硬件安全密钥实际上更难妥协,因为他们不能让他们的固件在制造后更新(至少对于体面的)。

杰里米·7月26日,2018年1:11点

只看了开头几行,我怀疑这将是一篇恶作剧的文章,说谷歌锁上了他们办公楼的门,他们的员工需要专用的实物代币,称为“钥匙”,去到房子里去。

youcantbeserious·7月26日,2018下午2点17分

@justinacolmena或许你可以建议我们atm制造商也放弃pin码?大多数国家都能看到你买的东西。任何前往美国CC详细信息的非美国Citzen都将与他们共享,以便与其他人跟踪。

大法官·7月26日,2018年42点

@youcantbeserious

我并不是在建议“放弃”这个别针,双因素认证,或其他安全措施。

我建议银行卡特尔停止并停止“强制”商业“解决方案”,这一方面是在全世界统一和标准化的,另一方面,所有权,查找这些错误,在任何合理的安全措施上故意残废。

亚历克斯·7月26日,2018年下午3:18

我想知道谷歌新设备中的蓝牙栈是否容易受到昨天在这个博客上发布的蓝牙问题的影响

亚历杭德罗·7月26日,2018下午3点34分

我想知道什么时候物理密钥的想法才会实现。

如果我没弄错,Yubi按键是美国制造的,只有。好,这是我们可以信任的两个人中的一个。

一般来说,我非常喜欢物理键的想法。我忘了,如果你丢了怎么办?

悍马·7月26日,2018年下午4:51

“泰坦安全密钥能让你在账户受到保护的情况下更加安心。”谷歌保证物理密钥的完整性。

我对这个项目的任何希望都没有了。

顺便说一句,我,有点惊讶的是@Bruce并没有将这一点作为互联网封建主义的又一步加以强调。

亚历杭德罗·7月26日,2018下午5点41分

@Humdee

我也不会买谷歌键。然而,股票Yubi密钥很容易获得,例如在亚马逊,不同的口味,不同的价格。其中一名评论家指出,它很好用密码安全这和这个网站有一些联系。

我对“数字封建化”这个词不太熟悉,所以我在维基百科上查了一下,上面解释了这一切:

“数字封建主义是分析网络生态系统中法律框架和权力关系的理论框架。最初由Sascha Meinrath开发,James Losey和Victor Pickard[1]这个术语建立在Habermassian理论的基础上,同时将圈地和封建主义的历史联系起来。结合法律分析和社会理论,数字封建主义是梅纳思的开创性著作,詹姆斯一丁点它们Victor Pickard[2]Meinrath等人分析私人行动者破坏互联网民主参与平台的各种机制。这些过程包括封闭,当私人行为者超越以前共同的领域时,以及哈默马斯式的再封建制商业利益主导公共领域

这就很好地解释了!

;-)

RealFakeNews·7月26日,2018年下午5:56

这完全取决于应用程序的敏感性和用户在该时间点的风险。
**用户的风险**?不针对用户(及其操作环境)?

还有人认为谷歌使用这个是因为他们担心他们的员工与他们作对吗?

我问,因为使用2FA并不能阻止他们的电脑被入侵,正在拍摄的屏幕照片,或胁迫。

六万五千五百三十五·7月26日,2018年下午5:58

Brian Krebs关于物理密钥或doggles成功的故事有点令人困惑,它夸大了物理USB密钥的优势。

安全海报上的许多krebs指出,Titan安全密钥可以防止账户接管,但不能防止被诱骗的电子邮件或包含恶意软件的电子邮件附件。此外,谷歌拥有自己的服务器,除了使用物理密钥外,还采取了其他安全措施,防止恶意软件进入谷歌的系统,多年来这一新的“Titan产品”才出现。

简而言之,这个故事很好,但并不伟大。同时,Krebs使用Google进行分布式拒绝服务(ddos)攻击,并可能被Google操纵以帮助销售他们的新“Titan”密钥。

我不知道整个故事,但我认为克雷布斯的海报是正确的,陷阱电子邮件,我仍然感染电子邮件,尤其是在小窗口商店,即使有泰坦钥匙。这些物理密钥是向前迈出的一步,但并不是解决恶意软件问题的灵丹妙药。以下是克雷布斯评论家的评论,看188滚球网站起来大多是正确的。

[克雷布斯关于安全的帖子]:

菲希克利夫
7月24日,2018年12点51分

“这可防止帐户被接管,但似乎对通过网络钓鱼进行的恶意软件攻击没有任何帮助。这似乎让人们容易受到勒索软件和其他恶意软件的攻击。如果我误解了目的,请纠正我……这应该说明它可以防止账户被劫持,不是一般的网络钓鱼攻击。”

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/188滚球网站comment-page-3/#comment-470606

[来自不同海报的相同主题]

”鲍勃
7月24日,2018年11点42分

这篇文章夸大了安全密钥提供的保护。Yubico明确表示Yubikeys解决了账户接管问题,不是整个钓鱼问题。

https://www.yubico.com/about/reference-customers/google/

“这仍然留下这些并非帐户接管的钓鱼问题:
–如果你相信机器,然后你就可以在没有设备的情况下登录那台机器(坏人也可以)
-不是每个应用都支持这些设备,所以一些被盗的用户名/密码仍然很有价值
-用户仍然可以从附件和恶意网站加载恶意软件。这些不设防的妥协可能是勒索软件,远程命令与控制,间谍软件、击键捕手,横向运动,特权升级,等。
-商业邮件的妥协不使用窃取的凭证。具有凭据的授权人员按照仿冒者的指示输入错误数据。联邦调查局发现商业邮件泄露是主要的网络犯罪。
–受保护的会话可能被劫持,因此坏人只是使用远程C&C来监视用户何时启动会话。
-用户仍然可以在电子邮件通信中泄露数据…放弃工资税申报表或仅仅在通信文本中提供信息。
安全密钥提供了一个重要的保护层。他们不能解决网络钓鱼问题。”

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/188滚球网站comment-page-3/#comment-470594

“史蒂夫
7月24日,2018年4点48分

“自从有了这个选项,我就一直在用最后一张通行证。这样做,此外,利用密码管理器的能力,生成和轻松存储,管理和填写不同,每个网站的复杂密码,让它成为一个可靠的选择…在这个应用程序中,yubikey只是作为一个OTP来补充主密码…有很多困惑,术语:U2F和OTP不一样……文章错误地宣称lastpass支持fido u2f。他们没有,他们拒绝使用经典的“你先去”论点,这是一个很大的恼怒:除非所有主要的网络浏览器都这样做,否则他们不会这么做。相反,他们使用一个OTP发生器,或者在硬件中(原始YubiKey或Authy或谷歌身份验证器)。原来的Yubikey只支持两种OTP技术,后来又加了u2f,相比之下,50美元的车型便宜的u2f键,就像飞天的产品,只支持U2F,不是OTP。

“了解历史非常重要:谷歌已经使用U2F很多年了。”谷歌是U2F的联合开发者。我是第一批Yubico生产的U2F钥匙的测试人员,为谷歌构建,仅在Chrome浏览器和Chrome OS上使用。然而,如果有必要,可以绕过为2FA使用U2F键的原始(仍然可用)选项,通过使用备份方法交换一个一次性的pin…与“高级保护”不同的是:在高级保护下,删除备份2FA选项,所以犯罪者不能通过网络钓鱼的方式进入,通过调用一个不太安全的恢复选项——它们必须有您的物理密钥……你需要随身携带两把钥匙(放在口袋里或钥匙扣上)。这是个糟糕的主意,因为你可能同时丢失这两把钥匙。要么这样做,然后得到第三个键,或者一次只带一把钥匙。”

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/188滚球网站comment-page-3/#comment-470547

[克莱布斯的回程]

“埃里克·威尔福格
7月25日,2018年12点34分

这是re: LastPass的一个重要区别。这篇文章应该更新以反映这一点,因为U2F的整体观点是防止OTP 2FA可用的钓鱼方法。声称LastPass支持U2F是不正确的。

https://krebsonsecurity.com/2018/07/google-security-keys中和员工网络钓鱼/comment-page-3/comment188滚球网站-470804

“BrianKrebs
7月25日,2018年下午4:13

“是的。在更新故事之前,我想和LastPass确认一下。我已经这么做了,并更新了他们的评论。188滚球网站谢谢。”

https://krebsonsecurity.com/2018/07/google-security-keys中和员工网络钓鱼/comment-page-3/comment188滚球网站-470822

[克雷布斯更新故事]

'更新,下午4:09ET:这篇文章的早期版本错误地指出密码管理器lastpass支持带yubikeys的u2f…L读者评论说lastpass实际上不支持u2f,188滚球网站尽管该公司网站上的文献似乎另有建议。我咨询了公司,他们还确认,目前只有Yubikey和一次性密码(OTP)可以使用LastPass。从他们的声明:

“虽然得到一些大组织的支持,包括谷歌和Github,u2f在网站中仍然没有广泛的支持。虽然我们从它第一次宣布以来一直在跟踪它的进展,LastPass目前不支持U2F。只有Yubikey与OTP将工作与LastPass现在。然而,因为Yubikey在键中添加了U2F,他们有双OTP+U2F模式,这是默认值。按键上的芯片可以分辨出电脑要的是OTP还是U2F,并发出正确的回应。”—克雷布斯关于安全问题

https://krebsonsecurity.com/2018/07/google-security-keys-neutraled-employee-phishing/

[产品提香钥匙与克雷布斯故事的古怪时机]

“RingZero
“7月24日,2018年6点07分

“……这不是新闻……看起来更像是即将推出的Alphabet产品的产品广告。”信息安全竞赛中最慢的乌龟。美国政府)13年前在硬件令牌上部署了2FA,比Sun微系统晚了4年。对于那些戴锡箔帽的人,他们的加密处理器不是美国政府开发的,要么。像奥伯瑟这样的商业公司,杰马尔托,单片机,等。设计使用基于标准的X.509证书和OTP技术。2FA的广泛采用仍然是一件伟大的事情,它减少了人为因素固有的弱点,但它仍然对用户空间恶意软件或操作系统特权升级漏洞没有任何作用。”

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/188滚球网站comment-page-3/#comment-470678

“RingZero
“7月26日,2018年11点21分

编辑:我没有第一手的知识,谷歌将开始出售自己的U2F键时,我写了昨天的评论。188滚球网站整个原始的写作看起来有点不靠谱(双关语是故意的)。看来我的直觉是对的……”

https://www.cyberscoop.com/google-titan-security-key-2fa-anti-phishing/

(克雷布斯回复)

“BrianKrebs
“7月26日,2018年11点38分

“钓鱼是怎么回事?我在Twitter上对一个暗示此事的人说,这是在谷歌发布自己的密钥时发生的……我一直坐在这个故事上,直到这个星期,因为我有更大的故事要讲。但是继续读下去,读懂你想要的。”

https://krebsonsecurity.com/2018/07/google-security-keys中和员工网络钓鱼/comment-page-3/comment188滚球网站-470932

让我们听听安全专家的意见,这个物理提香密钥是“中和”钓鱼和恶意软件,还是仅仅解决帐户接管?谷歌的服务器是在为恶意软件而工作,还是在为提香密钥而工作?这是一篇适时的文章,帮助谷歌销售提香密钥,尽管掩盖了谷歌的其他安全措施?你觉得呢?

请原谅所有的打字错误和其他错误,我当时很着急。

马克·7月26日,2018年38点

我认为使用他们自己的软件(谷歌Authenticator)是更好的方法。在Android手机上使用它,然而,是一个问题,考虑到谷歌的Android安全性有多差。

Obijan·7月26日,2018年7:53下午

有人跟我解释为什么每个人都很害怕?

U2F是存在的,有据可查的标准
-它在容易验证用户身份和防止网络钓鱼攻击方面做得相当好
-它不能保护你免受恶意软件,地震,熊或酷刑
-Yubikey和其他一些厂商已经销售了一段时间的u2f兼容钥匙。大部分都没问题。
——谷歌,脸谱网,Dropbox,github和其他一些工具支持U2F登录
-现在谷歌也在销售U2F键,所有人都失去了理智?

Sed魂斗罗·7月26日,下午2018点35分35分

“把你所有的债务合并成一笔每月的低息贷款。”

把你所有的监视资本主义整合成一个简单的象征。

回声·7月26日,2018年下午10:59

在技术方面,我认为这些代币非常出色,直到我看了它们的价格,慢慢发现它们做了什么,没有做什么。现在我有更多的理由不买一个,而不是买一个。我会等到Shinzen生产出一款镶有施华洛世奇水晶魔法安全戒指+100的粉色金属戒指,并在EBay上有售。

所以,如果一些人购买了谷歌物理代币(或者从另一个供应商那里购买,因为“合规法”,谷歌会删除他们的社会工程最终用户要泄露的电话号码?国家安全局也是?以及其他机构,这些信息已经泄露给?如果不是的话,什么时候可以再罚几十亿欧元?

·7月27日,2018年17点

Greg Glockner和@everyone
记住,如果你的电脑被黑,yubikey和其他安全密钥无法帮助你,因为:
1-黑客可以在电脑插上后使用你的游戏机。
2-如果它有一个密码(用于数字签名),这并不重要,因为它可以被键盘记录。
3 .“需要触摸才能设置一次性密码”非常好用,因为攻击者不能仅仅因为插入了密钥就请求代码,否则,密钥与authenticator应用程序差别不大
4-i一般黑客可以窃取认证cookie,如果他有访问个人电脑

但这一切都不重要,因为关键是旨在防止帐户接管通过钓鱼,据我所知。
是的,第二个因素(totp)可以像密码一样被钓鱼(不与u2f工作),但是*如果*它被正确地实现,你不能使用代码(有效30秒)登录和禁用2fa(这也需要代码)

获得一个yubikey或authenticator应用程序或任何其他您信任的密钥,避免发短信,保持安全。

西塔拉姆·7月27日,2018年凌晨3:41

@greg glockner——u2f的最大区别在于,它的网站看起来与你想访问的网站相似,无法让U2F设备工作。在所有的密码中,浏览器向U2F报告的实际域名起到了一定作用。因此,“paypa1.com”(即数字“1”而不是小写的“l”)将在进程的某个阶段产生垃圾。

对不起,我已经很久没看了,我的记忆已经不是以前了。

U2F有一个假设,这很常见:豆腐,A.K.A“第一次使用时的信任”。U2F假设注册步骤没有受到影响;即。,您注册时处于安全的环境中。

西塔拉姆·7月27日,2018年3:46 AM

@马克

>我认为使用他们自己的软件(Google验证器)是一种更好的方法。

不是真的,原因很简单,这是因为你没有被“PayPa1.com”愚弄,认为它是“PayPal.com”(用一个愚蠢的例子)。U2F不是被那个愚弄的;参见我上面对Greg Glockner的回复。

我同意Android安全。我的两个totp代码都在我的笔记本电脑上,我使用“oathtool”在需要的时候生成数字。

最后一点,关于“自己的软件”:谷歌认证器其实很烂;上次我看的时候,它没有单独的别针。与手机本身的锁码/密码/图案/任何东西分开)。由于GA只实现RFC 6238,你应该从众多选择中挑选一个。我使用“Android Token”;它有一个额外的密码,所以即使有人刷卡我的手机,他仍然有*一些*努力去获得密码。

Ismar·7月27日,2018年24点

我认为这是一个积极的发展,因为其中一个主要参与者采用了一个好的、经过测试的安全标准,而不是一些专有的实现。
它为U2F提供了巨大的新动力,并有助于建立更安全的系统
现在我可以像承诺的谷歌那样拥有我的免费安全令牌了吗?只是开玩笑,只是开玩笑

Bauke Jan杜马·7月27日,2018年5:37 AM

@Alejandro•7月26日,2018下午5点41分

不错的斯特拉曼:请问“哈默曼人”是什么?

线狗·7月27日,2018点6:13

很多人认为这是一个糟糕的解决方案因为它是由一家美国大公司谷歌生产的,此外,理论上,所有的安全都会受到损害。

这和密码是一个更好的解决方案,比短信和密码,短信和密码比单纯的密码要好。

弗兰克·7月27日,2018年上午6:14

完美的安全是可怕的。结果是,不可避免的是,在完善的政府或公司控制下。如果Facebook不希望你拥有一个帐户,如果他们不知道你是谁,物理令牌实现了这一点。你必须点它。它被发送到您的物理地址。每次从任何地方登录都是一样的。当政府制定法律时,作为这个过程的下一步,为了迫使企业将代币指纹交给他们,政府可以在网上确认任何人的身份。

自由言论将消失。说错话,你会失去所有的在线社交媒体账号。不再有联邦党人的文件。不再有异议。买一顶合适的帽子,上面写着正确的话,不管你同意与否,都要戴上它。完美的安全是制度恐怖主义。

亚历杭德罗·7月27日,2018年56点

@Bauke Jan杜马

回复:“祈祷告诉我们的是什么?”

难倒我了!

你可能错过了我评论结尾的“—”)。188滚球网站

然而,数字封建可能与"商业利益主导公共领域"有关在谷歌的案例中,神奇动物,苹果,MS等。数字公司通过用户的个人数据虚拟占有用户的趋势。我敢肯定,这些公司实际上是在接管我们过去认为的私人、公共空间和财产。

例如,使用谷歌Yubikey可能会使一个人成为Google的部落成员。

谷歌的奴隶。与此同时,部队为我们而战。

韦斯克鲁斯特·7月27日,2018年8:29我

也许我只是无知,但我不确定,当美国政府(可能是从美国进口加密设备的任何国家)长期使用谷歌的物理安全密钥时,谷歌到底有什么了不起的地方。

为你的账户增加一层安全保护是很好的。如果您信任的机器/终端被黑了,它仍然没有必要帮助您。如果谷歌担心的是外国情报机构,然后它可以相对容易地绕过一些好的老腐殖质。

我认为这只是一种营销策略。

如果我弄错了,请随时纠正我。
威哥

艾伦·7月27日,2018上午8:49

尤比科的信任的关键职位:

今天,谷歌发布了自己版本的安全密钥,虽然我们已经收到问题,如果我们是这部作品的一部分,这些设备不是由Yubico制造的。Yubico坚信,通过在美国和瑞典生产和编程我们的产品,为我们的客户带来安全和隐私方面的好处。谷歌的产品包括支持蓝牙(BLE)的钥匙。虽然Yubico之前已经开始开发BLE安全密钥,并为BLE U2F标准工作做出贡献,我们决定不推出该产品,因为它不符合我们的安全标准,可用性和耐用性。BLE不提供NFC和USB的安全保障级别,而且需要电池和配对,这会提供糟糕的用户体验。

弗兰克·7月27日,2018年9:08我

“一旦所有主要浏览器都支持fido/u2f(目前只有Chrome浏览器支持u2f标准,在测试版中支持Firefox),我们将为这个mfa添加lastpass支持。他说:“这是一个很好的选择。”
https://lastpass.com/support.php?命令=showfaq&id=8126

翻译
(普通消费者选择)

amazon.com价格

50.00美元买一辆“Yubico Yubikey Neo-USB-A,NFC,双因素身份验证

$16.99飞天ePass NFC FIDO U2F安全密钥


hyperfido mini-u2f安全密钥$9.73
(我使用1作为电子邮件)


基于通用密钥的U2F设备需要花费大约5美元,以方便多设备的广泛使用和多密钥购买以及使用的可移植性。Yubico价格=利基市场和用途。IT安全失败了
浏览器供应商需要尽快采用和集成FIDO规范。

fido u2f可以嵌入设备或嵌入NFC身份验证吗?

克莱夫鲁滨孙·7月27日,2018年9:19我

@呼应,

我会等到Shinzen生产出一款镶有施华洛世奇水晶魔法安全戒指+100的粉色金属戒指,并在EBay上有售。

好吧,那是铃铛,但是那1600Hz的哨子呢,这样你就可以“打免费电话”了,就像他们对Captn解码环B-)

艾伦·7月27日,2018是我

@弗兰克

当前版本的Chrome完全支持U2F,Opera和Firefox。

是的,Yubikey Neo支持NFC和许多其他东西,售价50美元。它们经常打折。如果你买两个的话,我觉得每个都便宜30美元。一个基本的Yubico FIDO2 + U2F是20美元或者18美元一个,如果你买两个的话。

我认为Yubico可能是目前唯一一家销售FIDO2 U2F钥匙的公司,尽管我不确定FIDO2的新功能是否是我想要使用的。

克莱夫鲁滨孙·7月27日,2018年11:48我

@阿兰,

那些2600赫兹的哨声

这也许就是为什么这个“耳聋的老家伙”在耳鸣的哨声中再也听不到他们的声音了。

悍马·7月27日,2018年下午12:07

对于那些真正关心“哈伯马西安”一词的人来说,它指的是尤尔根·哈伯马西的政治理论。

https://en.wikipedia.org/wiki/J%C3%BCrgen_Habermas

在这个上下文中,我更狭义地使用“封建化”来建立品牌联系(在本例中是与谷歌),而不是像FIDO这样的开源软件。在一个次要的方面,为什么这确实发挥了“数字封建化”的作用,这是显而易见的,但我并没有特别援引这个更广泛的概念。

克莱夫鲁滨孙·7月27日,2018年12:14点

@,

当这些令牌连接到的计算机也连接到互联网或其他通信网络时,这些令牌中没有任何一个比“少女日记”标准更“安全”的了。

如上所述,如果您的计算机可以被其他人访问,在您对其上的任何安全设备或应用程序进行身份验证之后,然后攻击者至少可以通过对HCI设备驱动程序的“结束运行”攻击来访问明文接口。

@Nick P,我和其他人经常指出,这种不安全感至少在20世纪60年代就已经为人所知。更糟糕的是,对于应该验证的内容有明显的误解。通常人们会错误地验证一个通信通道,而不是跨通信通道的事务。

这是我谈论“能量间隙”两个设备的原因之一,以及在“离线”或“在线”模式下工作与通过数据二极管和类似的强仪表化和强制接口跨间隙传输信息之间的区别。

国内·7月27日,2018下午1时21分

人们不使用Docker吗?vm还是在谷歌远程工作?我通常使用带加密的VNC在虚拟机的远程桌面上进行工作。工作相关的网页在那里打开。yubikey在这种情况下不起作用,我相信,因为它需要一个直接的USB连接。

对于硬件解决方案,我宁愿用一把老式的遥控钥匙,然后输入一个代币。对于我的口味来说,yubikey做了太多“神奇/透明”的事情。

六万五千五百三十五·7月27日,2018下午1:53

@商业

“防止网络钓鱼攻击”——这是真的吗?一定要减轻一些负担。-商业

确切地。谷歌泰坦密钥只能减轻钓鱼攻击。它可以在账户接管方面起到很大的作用,但并不能阻止巧妙设计的恶意软件感染机器。谷歌的服务器可能有其他方法通过扫描来保护内部网络,过滤器,艾尔,等等。谷歌有巨大的资源保护自己的设备,但妈妈和爸爸的商店没有。

在我之前的帖子中,这句话被弄乱了:
“…Krebs的海报是正确的,博比陷阱电子邮件[my=>may]仍然感染电子邮件,这尤其适用于使用Titan密钥的小窗口商店。”-65535

@echo和frank

“我认为这些代币非常出色,直到我看了它们的价格,慢慢发现它们做了什么,没有做什么。现在我有更多的理由不买一个……”

是的,随着谷歌对其产品的支持,仍然存在许多兼容性问题。这一点在Krebs的安全评论部分中很常见。188滚球网站
“基于通用密钥的U2F设备需要花费大约5美元,以便于广泛使用和购买多个设备的多个密钥以及使用的可移植性。”—Frank

是的,这是一个公正的声明。有些人建议使用后置键,所以你必须使用键,其他人则认为丢失键时3个键是最好的选择。成本确实会影响收养率。

@我

格雷格·格洛克纳和@everyone
“请记住,如果您的电脑被黑客攻击,yubikey和其他安全密钥无法帮助您,因为:
1 .黑客可以在你的yubikey插入电脑时使用它
“2-如果它有一个密码(用于数字签名),这并不重要,因为它可以进行密钥记录……但所有这些都不重要,因为密钥的目的只是防止通过网络钓鱼进行帐户接管,据我所知。

你上次关于防止账户接管的声明似乎是有针对性的。这是google key的底线。来源,无论使用何种谷歌键,感染都很容易发生在您的机器上。

@西塔拉姆

“…U2F的一个假设,这很常见:豆腐,A.K.A“第一次使用时的信任”。U2F假设注册步骤没有受到影响;即。,注册时您处于安全的环境中。”

这是一个很好的观点。这把钥匙是由谷歌设计的,可能是亚洲制造的。这不是一个令人欣慰的想法,因为谷歌有“收集一切”的心态。

[和]

“如果您信任的机器/终端被黑客攻击,它仍然不一定能帮助您。如果谷歌担心的是外国情报机构,然后它可以相对容易地绕过一些好的老腐殖质。我认为这只是一种营销策略。

真实的。谷歌几乎从不错过在巩固实力的同时赚钱的机会。

爱德华

“把你所有的债务合并成一笔每月的低息贷款。”
“把你所有的监控资本主义整合成一个简单的象征。”

这很有趣,但可能是真的。当处理谷歌时,这个会加倍。他们喜欢收集一切——包括地点。

@弗兰克

“…在完美的政府或公司控制下。如果Facebook不希望你拥有一个帐户,如果他们不知道你是谁,物理令牌实现了这一点。你必须点它。它被发送到您的物理地址。每次从任何地方登录都是一样的。当政府制定法律时,作为这个过程的下一步,为了迫使企业将代币指纹交给他们,政府在网上识别任何人…说错话,你会失去所有的在线社交媒体账号。不再有联邦党人的文件。不再有异议。买一顶合适的帽子,上面写着正确的话,不管你同意与否,都要戴上它……”—弗兰克

我听到你。这是一个很好的观点。

@亚历杭德罗

“…数字封建主义可能与“商业利益主导公共领域”有关,而在谷歌的情况下,神奇动物,苹果,MS等。数字公司通过用户的个人数据虚拟占有用户的趋势。我敢肯定,公司实际上已经接管了我们过去认为的个人和公共空间和财产的大部分……例如,使用谷歌Yubikey可能会使一个人成为Google的部落成员。

谷歌就是这样。我可以很容易地看到这样一种情况:这把Google密钥提供了对竞争对手的整合能力。这可能是一个数据抓取游戏。

@艾伦

“Yubico's Key of Trust post:谷歌发布了自己版本的安全密钥,虽然我们已经收到问题,如果我们是这部作品的一部分,这些设备不是由Yubico公司制造的…Yubico公司之前开发了BLE安全密钥,并为BLE U2F标准工作做出贡献,我们决定不推出该产品,因为它不符合我们的安全标准,可用性和耐用性。BLE不提供NFC和USB的安全保障级别,而且需要电池和配对来提供糟糕的用户体验。

这是一个很好的观点。我更相信Yubico而不是谷歌,因为上面的原因和谷歌试图收集几乎每个人的每一条信息的事实。

韦斯克鲁斯特·7月27日,2018下午2时26分

@65535及其他

只是为了补充所说的话,我个人认为这可能会对普通人的安全产生危险的负面影响,即使忽略了所有关于后门和数据获取的担忧。

为什么?因为它给人一种比实际价值更大的安全感。不太有知识或怀疑的人将看到“没有成功的钓鱼!”对网络安全感到骄傲,哎呦——乔的商业服务器现在充满了密码和其他恶意软件。授予,我认为它仍然比1FA好,但是,再一次,如果你有比特洛伊本身更多的特洛伊木马,它不会保护你。

威哥

AJWM·7月27日,2018年下午3:37 p.m

米切尔@Carl“赛”

>“硬件安全密钥实质上更难妥协,因为他们不能在生产后更新他们的固件"

当然,这意味着它还没有更新固件制造。

如何独立验证物理密钥?你对谷歌有多信任,或者他们的制造商是谁?(这不仅仅是信任管理层的问题,以及他们的安全实践。)

六万五千五百三十五·7月27日,2018年3:43点

@ WeskerTheLurker

“我个人认为,这可能会对普通人的安全感产生危险的负面影响……它给人一种虚假的安全感,这种安全感大于它的实际价值。”不太有知识或怀疑的人将看到“没有成功的钓鱼!”对网络安全感到骄傲,哇哦-乔的商业服务器现在充斥着密码矿工和其他恶意软件…”

这是一个我没有提到的好观点。有时候,保持警惕,也就是所谓的“偏执狂”,要比对那些不能真正保护你或夸大其实际和可用安全性的新玩具感到幸福要好得多。我看到这类事情的同时,实际上评估“安全专家”谁没有真正的安全在自己的网站,机器或安全培训。一些“安全专家”不过是江湖骗子在兜售骗人的东西。

克莱夫鲁滨孙·7月27日,2018年49点

@阿兰,

我同情,又一个吹口哨的老家伙。

你被指控“选择性失聪”了吗?

那些接近我的人,尤其是那些“同类中的女性”已经直接暗示了我听不到她们的声音对我有什么好处,因此可能会受到影响…

你可能会耐心地解释说,他们的高频声音更接近我脑海中的口哨声,大脑很难自动判断“辍学”,但有时会出错,不给我任何好处。你通常会得到“我知道你会说这是我的错”这样的回答……或者更糟。

我得出的结论是,在“两性之战”中,最有用的不是顽固,或者勇敢,但是一对舰队的脚[0];-)

但真正的敌人当然是“知己知彼”,这是一种熟悉,使你能够提前知道他们一半以上的时间将要说什么。因此,就像拿破仑一样,你建立了一个“预先准备好的反应”库[2]。当然,有时会出现可怕的错误。因此,随着快速的脚步,需要一个人洞穴与良好的隔音墙,一排书可以给你;—)金宝搏博彩公司

[0]当然,如果你读过“战争的艺术”,你会知道最明智的建议是“如果你必须战斗,选择最有利于你成功的时间和地点“作为一个攻击者,作为一名防守者,“以一种挫败你的敌人的方式移动,以获得地点和时间的优势”。因此,在你的技能集中增加一个“醉汉散步”的动作:)

[1]当然不是“熟悉滋生轻视”,但你可能会听到你的“女主人”说,当它确实出了可怕的错误:-S

[2]中国英语学习网众所周知,拿破仑有“完全音盲和喜欢唱歌”的坏毛病,他说:“陪审团还没有确定他是否在其他方面有听力缺陷。一些历史学家认为他的股票问题和答案,只是一种天才的方式,试图影响闲聊的普通接触。

克莱夫鲁滨孙·7月27日,2018年9:47 PM

@carl'sai'米切尔,

硬件安全密钥实际上更难妥协,因为他们不能让他们的固件在制造后更新(至少对于体面的)。

虽然这在一段时间以前是正确的,但在闪存和电子连接(如USB使用“令牌”/“密钥”)不再是这样。

如果你在这个博客上回顾的足够远,您应该找到我@Nick P和其他人之间关于银行身份验证令牌的对话。

简而言之,二十多年来,我一直在警告当“侧通道设备”直接连接到主通信通道设备时,它们将不再是“安全设备”。

比如说,在20世纪90年代,一个白痴在思考如何使短信息变得可靠,从而使其成为银行等机构的“旁道”时,很长一段时间以来,我一直在思考如何正确地“通过人”扩展身份验证路径。

密码制作者·7月28日,2018年1:23 AM

软件和硬件产品的后门太多了,我想知道怎么会有人相信这些设备。当我说“这些设备”时,我指的是所有的设备。怎么会有人说和呢证明他们是“安全”?我甚至不会把这些东西塞到家里的电脑里。制造者是谷歌…哦,真的?谷歌帮助我保护我的数据?!难道我们不希望苹果也提供安全密钥吗?PS:我不相信任何厂家,也不会用这样的钥匙。

回声·7月28日,2018年1:36时我

@Clive

我发现一些行业倾向于把人类作为一个对象游戏和现在的人机界面行业是两个。有别人。如果我记得我把这个人看作叙事机制中包容的一部分,更接近于电影文化社会体验,被HCI和营销所劫持,这已演变成用户体验(UX),再次将人类置于一个物体的位置,正如第一次大规模HCI研究完成时,在尿布中的时尚人士将“平面设计”投射到世界上的趋势所示。

我怀疑性别歧视、年龄歧视和无知在某种程度上是混合在一起的,这可能意味着这个话题值得与一位体面的心理学家和社会学家讨论。我知道有一种内在的对技术社会系统的忽视,或者不把它们当回事,但是技术不能与之分离。推理模式可能是一个问题。

没有人对逃跑计188滚球网站划2发表评论。我怀疑是因为没有人注意到并且错过了关于安全系统的对话。它包括绘制系统图和随机化,有人在里面或外面帮忙。真的很深。

我认为这可能归结为知道什么时候按下“关闭”开关。

一个非常好的人·7月31日,2018年3:29 AM

1.这是站起来的例行程序吗?这里我们讨论的是谷歌。前面越大,后面越大。
2.这个魔戒还能做什么?除了它的功能?它还能分析什么?
3.你为什么要依赖谷歌产品——在一定程度上,你在经济上承诺自己被锁定在使用谷歌产品的范围内?

天气·7月31日,2018年3:34 AM

不,这不是玩笑,它已经5-7岁了,所以我的记忆无法全部回忆起来,但无论如何....

和平头目·8月1日,2018点:下午7点18分

我喜欢重温一下铁匠的艺术。
这对我来说是一门高雅的艺术和科学。

它允许最终重新摆脱电子奴隶制。
但它只对那些寻求它的人开放。
与此同时,数十亿人的生命正被赶进数字奴隶(电子奴隶不是我心目中的好时机)。

物理学有真正的效用。太多建立在电子(和/或原子分裂的存在威胁)基础上的所谓文明,与人类时代或任何其他形式的更古老的生物学相比,并没有被证明是可靠的。

墙必须是墙。
因此,当一堵墙就是一堵墙,它确实是一堵墙。

总之,它只是墙上的另一尊佛像。
墙是什么?

奴役原子分裂(或结合!)的威胁不是我的好时机。
与此同时,愚蠢的学者认为他们可以通过制造微型黑洞或从其他行星(OID)带回太空微生物来解决我们的问题。

不知道,我们真的不需要更多的病毒,细菌,寄生虫,也不是有毒化学品或化合物。

火星共发射不能解决任何地球问题,这会使他们更糟。
肯定的是,与物理令牌没有直接关系,但是,如果我们能把所有的网络罪犯、毒害贵族和毒害技术官僚们转移到另一个星球上,并把他们干掉就好了。那将是一个很好的“气隙”。可惜的是,在研究互联生活的真实性时,我们有了深刻的认识,破坏剥削者的社会病理倾向。

回到说谎者和离群者的话题,进行更多的研究。
结合好节目(来自Radiolabs,NPR);以牙还牙;先做个好人;在数学和社会学上对事故有足够的容忍度,通信错误,对观察结果的误解,和跨文化混淆。

我真的相信安全科学的未来不在计算机科学之内。
感谢Bruce Schne188滚球网站ier Collective多年前让我们中的一些人在考虑这些重要想法时稍微领先一步。谢谢你帮助我们赶上了一点,这样我们就不会完全陷入困境。当我们不被自己的名声所取代时,我们最终可以把一些东西还给文明。

留下评论188滚球网站

允许的HTML: · · · ·

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM有弹性.