apple苹果上周震撼了登录世界,提供了一种新的单点登录(或SSO)工具,旨在收集和共享尽可能少的数据。这是Facebook和谷歌的故意镜头,它目前运营着两个主要的SSO服务。但是,尽管谷歌对隐藏起来的隐私刺激措施并不满意,但该公司的登录主管却惊讶地发现有一个新的按钮可以与之竞争。虽然登录按钮相对简单,但它们更能抵御网络钓鱼等常见攻击,使其比普通密码更强大 - 前提是您信任网络提供它们。
随着Google扩展自己的Android双因素系统,我与产品管理总监Mark Risher讨论了为什么Apple的新登录按钮可能不像看起来那么可怕。
为清楚起见,对这次访谈进行了轻微编辑。
很难指出所有这些不同的登录工具的好处,但它确实感觉事情正在变得更好?根据我的个人经验,我几乎没有像五年前那样经常要求输入密码。
是的,而且方式更好。通常使用密码,他们会推荐大写字母和符号以及所有这些,大多数人认为这是他们应该做的最好的事情,以提高他们的安全性。但它实际上与网络钓鱼无关,不会影响密码泄露,也不会影响密码重用。我们认为减少那里的密码总数就更为重要。一旦开始联合帐户,这意味着您可能仍然拥有一些密码,但是您刚刚尝试的一些新服务不需要一个专门负责安全性的750人工程团队。它不需要构建自己的密码数据库,然后处理所有责任和随之而来的所有风险。
“我们认为减少密码总数更为重要”
你还处理谷歌的SSO工具,该工具上周在WWDC上获得了苹果公司的竞争。部分原因似乎是Apple的SSO系统将收集更少的数据并更多地尊重隐私。你觉得这是一个公平的批评吗?
我将责备我们没有真正阐明当您按下“使用Google登录”按钮时会发生什么。很多人都不理解,有些竞争对手把它拖到了错误的方向。也许你点击那个按钮,它通知你所有的朋友你刚刚签署了一些令人尴尬的网站。因此,让某人在那里重新振兴这个空间,并明确这意味着什么以及发生了什么,这真的是有益的。
但是在发布中有一堆暗示,表明其中只有一个是纯粹的,其余的都是腐败的,显然我不喜欢这样。我们只记录身份验证的时刻。它不用于任何类型的重新定位。它不用于任何类型的广告。它没有在任何地方分发。它部分存在于用户控制之下,以便他们可以返回并查看发生了什么。我们有一个页面,我们的安全检查的一部分,说“这里是所有连接的应用程序,你可以去打破这种连接。”这个当前的产品,我还没有看到它将如何构建,但它听起来像他们将记录那一刻,然后也记录该公司发送的每封电子邮件,这听起来更具侵略性。但我们会看到细节如何运作。
老实说,我认为这项技术对互联网会更好,并会让人们更安全。即使他们在登录网站时点击我们的竞争对手按钮,这仍然比输入定制的用户名和密码更好,或者更常见的是,回收用户名和密码。
这种登录的基本前提是您可以登录Google(或Apple或Facebook),然后将该登录扩展到其他所有内容。但这种模式仍然有意义吗?为什么不为不同的服务提供不同级别的安全性而不是将所有鸡蛋放在一个篮子里?
“我们更加自以为是,因为我们的用户要求我们更加自以为是”
您的部分前提是我拥有高安全性和低安全性的服务。但问题在于,事情不会停留在低安全性的存储桶中。我们随着时间的推移而发展当我在2006年第一次注册Facebook时,我没有任何有用的东西。如今,它更重要。有多少人回去升级?这很罕见。另一个问题是我们看到很多很多这样的横向攻击,有人不会直接去你的银行,他们会追踪你的朋友或你的助手,然后他们使用该帐户向他们发送令人信服的消息,要求他们电汇或要求你的秘密问题的答案,然后他们可以去回到网站。因此,您保留松散保护的这些帐户越多,您对此的暴露程度就越高。
人们常常反对联邦模式,说我们把所有的鸡蛋放在一个篮子里。它有点像舌头,但我认为这是错误的比喻。更好的比喻可能是银行。有两种方法可以存储你的一百美元:你可以把它分散在房子周围,每个抽屉里放一美元,有些放在你床垫下面。或者你可以把它放在银行里,这是一个篮子,但它是一个由12英寸厚的钢门保护的篮子。这似乎是更好的选择!
去年,你还遇到了一些关于Titan Security Key的安全问题。一些安全专家担心,在中国制造的任何钥匙都可能存在脆弱性。您对供应链干扰有多担心?
“苹果的一些影射有点烦人”
它绝对是威胁模型的一部分。这是我们设计的东西,一直到协议。我认为,由于一些原因,对泰坦钥匙的一些反应是不必要的危言耸听。一个是,这些担忧一直是我们心态的一部分。所以我们说,不管人们在哪个国家,我们都不会信任别人。这就是芯片密封的原因。该芯片有一个可用的证明。该芯片不可现场升级。事实上,这就是为什么我们只是做了所有这些替换,因为在设计上,我们不能推出代码来改变它。我不认为这是人们应该关注的真正威胁的原因有很多。
在过去的几年里,人们对技术隐私的看法发生了重大转变 - 不再少信任公司,而是在所有这些数据公开,分享和分享之后,意识到所有不同的方式都会变得糟糕。以不同的方式结合。你是如何回应的?
我们真的经历了范式转变。我们曾经说过,这是你的数据,我们只是让你做出决定,然后就是你。现在我们更加自以为是,因为我们的用户要求我们更加自以为是。您可以在安全检查中看到该清单,现在实际上可以根据您自己的模式为您提供一组个性化的建议。它曾经说你有16种不同的设备,比如看看是否有任何可疑之处。用户说“不,你为什么不告诉我什么看起来很可疑?”现在我们说,“你有16个设备。这四个我们在90天内没见过。你确定你没有把它交给朋友而忘记退出,或者你知道,在eBay上卖掉它吗?“有这种微妙的平衡:你怎么唠叨一个恰到好处的人,
苹果登录存在这种担忧,即使它是一个积极的产品,他们也太过苛刻地强迫开发者。你可以对你所谈论的很多Google项目说同样的话。你是否担心过于努力地推动用户?
我担心。这是玩世不恭的问题。玩世不恭是人们不相信你的动机。你说,“这是一款让你更安全的产品”,人们说,“嘿,你打算用它做什么?”我认为这是一个生态系统问题。我们有一个竞争对手正在收集电话号码作为安全挑战,但据称还使用它们来构建广告重新定位的图表。这对整个生态系统都有害,因为它让人们不相信我们。
我们试图设置一个非常高的标准。我们继续寻找可以重新聚焦并重新审核我们的最佳实践并继续提高标准的地方。但在某种程度上,这是一个生态系统问题。市场中最糟糕的行为是每个人都看到的行为。从我们的角度来看,这就是为什么来自Apple的一些暗示有点烦人的原因。因为我们正努力让自己达到高标准。
一个pple苹果上周震撼了登录世界,提供了一种新的单点登录(或SSO)工具,旨在收集和共享尽可能少的数据。这是Facebook和谷歌的故意镜头,它目前运营着两个主要的SSO服务。但是,尽管谷歌对隐藏起来的隐私刺激措施并不满意,但该公司的登录主管却惊讶地发现有一个新的按钮可以与之竞争。虽然登录按钮相对简单,但它们更能抵御网络钓鱼等常见攻击,使其比普通密码更强大 - 前提是您信任网络提供它们。
随着Google扩展自己的Android双因素系统,我与产品管理总监Mark Risher讨论了为什么Apple的新登录按钮可能不像看起来那么可怕。
为清楚起见,对这次访谈进行了轻微编辑。
很难指出所有这些不同的登录工具的好处,但它确实感觉事情正在变得更好?根据我的个人经验,我几乎没有像五年前那样经常要求输入密码。
是的,而且方式更好。通常使用密码,他们会推荐大写字母和符号以及所有这些,大多数人认为这是他们应该做的最好的事情,以提高他们的安全性。但它实际上与网络钓鱼无关,不会影响密码泄露,也不会影响密码重用。我们认为减少那里的密码总数就更为重要。一旦开始联合帐户,这意味着您可能仍然拥有一些密码,但是您刚刚尝试的一些新服务不需要一个专门负责安全性的750人工程团队。它不需要构建自己的密码数据库,然后处理所有责任和随之而来的所有风险。
“我们认为减少密码总数更为重要”
你还处理谷歌的SSO工具,该工具上周在WWDC上获得了苹果公司的竞争。部分原因似乎是Apple的SSO系统将收集更少的数据并更多地尊重隐私。你觉得这是一个公平的批评吗?
我将责备我们没有真正阐明当您按下“使用Google登录”按钮时会发生什么。很多人都不理解,有些竞争对手把它拖到了错误的方向。也许你点击那个按钮,它通知你所有的朋友你刚刚签署了一些令人尴尬的网站。因此,让某人在那里重新振兴这个空间,并明确这意味着什么以及发生了什么,这真的是有益的。
但是在发布中有一堆暗示,表明其中只有一个是纯粹的,其余的都是腐败的,显然我不喜欢这样。我们只记录身份验证的时刻。它不用于任何类型的重新定位。它不用于任何类型的广告。它没有在任何地方分发。它部分存在于用户控制之下,以便他们可以返回并查看发生了什么。我们有一个页面,我们的安全检查的一部分,说“这里是所有连接的应用程序,你可以去打破这种连接。”这个当前的产品,我还没有看到它将如何构建,但它听起来像他们将记录那一刻,然后也记录该公司发送的每封电子邮件,这听起来更具侵略性。但我们会看到细节如何运作。
老实说,我认为这项技术对互联网会更好,并会让人们更安全。即使他们在登录网站时点击我们的竞争对手按钮,这仍然比输入定制的用户名和密码更好,或者更常见的是,回收用户名和密码。
这种登录的基本前提是您可以登录Google(或Apple或Facebook),然后将该登录扩展到其他所有内容。但这种模式仍然有意义吗?为什么不为不同的服务提供不同级别的安全性而不是将所有鸡蛋放在一个篮子里?
“我们更加自以为是,因为我们的用户要求我们更加自以为是”
您的部分前提是我拥有高安全性和低安全性的服务。但问题在于,事情不会停留在低安全性的存储桶中。我们随着时间的推移而发展当我在2006年第一次注册Facebook时,我没有任何有用的东西。如今,它更重要。有多少人回去升级?这很罕见。另一个问题是我们看到很多很多这样的横向攻击,有人不会直接去你的银行,他们会追踪你的朋友或你的助手,然后他们使用该帐户向他们发送令人信服的消息,要求他们电汇或要求你的秘密问题的答案,然后他们可以去回到网站。因此,您保留松散保护的这些帐户越多,您对此的暴露程度就越高。
人们常常反对联邦模式,说我们把所有的鸡蛋放在一个篮子里。它有点像舌头,但我认为这是错误的比喻。更好的比喻可能是银行。有两种方法可以存储你的一百美元:你可以把它分散在房子周围,每个抽屉里放一美元,有些放在你床垫下面。或者你可以把它放在银行里,这是一个篮子,但它是一个由12英寸厚的钢门保护的篮子。这似乎是更好的选择!
去年,你还遇到了一些关于Titan Security Key的安全问题。一些安全专家担心,在中国制造的任何钥匙都可能存在脆弱性。您对供应链干扰有多担心?
“苹果的一些影射有点烦人”
它绝对是威胁模型的一部分。这是我们设计的东西,一直到协议。我认为,由于一些原因,对泰坦钥匙的一些反应是不必要的危言耸听。一个是,这些担忧一直是我们心态的一部分。所以我们说,不管人们在哪个国家,我们都不会信任别人。这就是芯片密封的原因。该芯片有一个可用的证明。该芯片不可现场升级。事实上,这就是为什么我们只是做了所有这些替换,因为在设计上,我们不能推出代码来改变它。我不认为这是人们应该关注的真正威胁的原因有很多。
在过去的几年里,人们对技术隐私的看法发生了重大转变 - 不再少信任公司,而是在所有这些数据公开,分享和分享之后,意识到所有不同的方式都会变得糟糕。以不同的方式结合。你是如何回应的?
我们真的经历了范式转变。我们曾经说过,这是你的数据,我们只是让你做出决定,然后就是你。现在我们更加自以为是,因为我们的用户要求我们更加自以为是。您可以在安全检查中看到该清单,现在实际上可以根据您自己的模式为您提供一组个性化的建议。它曾经说你有16种不同的设备,比如看看是否有任何可疑之处。用户说“不,你为什么不告诉我什么看起来很可疑?”现在我们说,“你有16个设备。这四个我们在90天内没见过。你确定你没有把它交给朋友而忘记退出,或者你知道,在eBay上卖掉它吗?“有这种微妙的平衡:你怎么唠叨一个恰到好处的人,
苹果登录存在这种担忧,即使它是一个积极的产品,他们也太过苛刻地强迫开发者。你可以对你所谈论的很多Google项目说同样的话。你是否担心过于努力地推动用户?
我担心。这是玩世不恭的问题。玩世不恭是人们不相信你的动机。你说,“这是一款让你更安全的产品”,人们说,“嘿,你打算用它做什么?”我认为这是一个生态系统问题。我们有一个竞争对手正在收集电话号码作为安全挑战,但据称还使用它们来构建广告重新定位的图表。这对整个生态系统都有害,因为它让人们不相信我们。
我们试图设置一个非常高的标准。我们继续寻找可以重新聚焦并重新审核我们的最佳实践并继续提高标准的地方。但在某种程度上,这是一个生态系统问题。市场中最糟糕的行为是每个人都看到的行为。从我们的角度来看,这就是为什么来自Apple的一些暗示有点烦人的原因。因为我们正努力让自己达到高标准。
免责声明:本文由用户上传,如有侵权请联系删除!