Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Poradnik o kluczach sprzętowych na przykładzie YubiKey 5 NFC (2FA, U2F, FIDO2)

14 września 2021, 17:57 | Teksty | komentarze 42
Tagi: ,

Minęło już kilka miesięcy od „afery mailowej”, w wyniku której grupa UNC1151 uzyskała dostęp do kont e-mail polskich polityków, w tym do skrzynki pocztowej szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka.

Według ustaleń ABW oraz SKW główny wektor ataku na konto Dworczyka stanowił phishing:

Całej sytuacji można było jednak zapobiec dzięki kluczom sprzętowym, takim jak np. prezentowany w niniejszym poradniku YubiKey.

W poniższym tekście omówimy następujące zagadnienia:

  • Jak klucz sprzętowy zabezpiecza nas przed phishingiem?
  • Zakup i wybór odpowiedniego klucza YubiKey.
  • Zabezpieczanie kont za pomocą klucza na przykładzie Twittera (U2F).
  • Passwordless, czyli jak wykorzystać klucz do logowania bez potrzeby podawania loginu i hasła (FIDO2).
  • Generowanie kodów 2FA za pomocą aplikacji Yubico Authenticator.
  • Hasła statyczne. 
  • Inne zastosowania YubiKey, np. zabezpieczanie KeePassXC czy generowanie kluczy w Gpg4Win.
  • Klucze nie zastąpią logicznego myślenia, czyli ostrzeżenie przed złośliwym oprogramowaniem.

Warto dodać, że w opracowaniu zastosowano pewne uproszczenia, zaś sama teoria została sprowadzona do niezbędnego minimum, aby do korzystania z kluczy sprzętowych nie zniechęcić osób mniej zaawansowanych technicznie.

Dlaczego klucz sprzętowy jest lepszy niż standardowe kody SMS czy e-mail?

Odpowiedź na to pytanie okazuje się bardzo prosta – ponieważ kod z SMS-a czy e-maila może zostać wyłudzony w taki sam sposób, jak login i hasło. W tego typu sytuacji mogą zostać wykorzystane znane narzędzia do przeprowadzania ataków phishingowych, takie jak chociażby Modlishka czy Evilginx2

W przypadku zastosowania przez użytkownika klucza sprzętowego atak zakończy się fiaskiem przestępcy. Klucz nie będzie bowiem w stanie wykryć połączenia z fałszywą stroną, na którą moglibyśmy omyłkowo chcieć się zalogować.

Zakup i wybór odpowiedniego klucza YubiKey

Już na samym początku może pojawić się kwestia: jaki klucz wybrać? Z pomocą przychodzi nam prosty quiz, który znajduje się na oficjalnej stronie producenta opisywanych urządzeń:

Pierwsze pytanie dotyczy przeznaczenia klucza. My chcemy zabezpieczyć nasze konta osobiste, dlatego wybieramy opcję ​​I am an individual”:

Następnie musimy wybrać port, z którym będzie kompatybilny nasz klucz. W tym przypadku wybór padł na USB-A, ponieważ planujemy korzystać z klucza na własnym komputerze. Jeśli jesteście posiadaczami MacBooków, to odpowiednim wyborem będzie najprawdopodobniej USB-C lub Lightning:

Teraz musimy zdecydować, jak chcemy przechowywać klucz. Opcja pierwsza zakłada, że będzie on przez większość czasu podpięty do komputera (jego budowa umożliwia „schowanie” go w porcie urządzenia). My jednak wybieramy opcję „On your keychain”, czyli noszenie klucza na breloku:

Kolejne pytanie dotyczy komunikacji bliskiego zasięgu (NFC). Opcja ta umożliwia uwierzytelnianie na urządzeniach (telefon komórkowy lub inne urządzenie do odczytu NFC) bez fizycznego podłączania YubiKey. Zamiast tego będziemy musieli przyłożyć klucz do rogu smartfona. (Uwaga: w przypadku iOS’a komunikacja bliskiego zasięgu może być zastosowana w wersjach od iPhone’a 7 wzwyż;z kolei w przypadku Androida jest to zależne od danego modelu smartfona.) Wybieramy opcję umożliwiającą korzystanie z NFC:

Czwarte już pytanie dotyczy wspierania przez klucz bezpiecznego logowania się na nasze urządzenie (np. laptop z systemem Windows 10). Funkcja ta jest dostępna w kluczach YubiKey serii piątej:

Teraz należy rozstrzygnąć kwestię, jakie konta będziemy chcieli zabezpieczyć naszym kluczem. Dzięki temu uzyskamy odpowiedź, czy serwis XYZ oficjalnie wspiera YubiKey:

Ostatnie pytanie sugeruje nam zakup zapasowego urządzenia – na wypadek gdybyśmy zgubili nasz główny klucz. Jeśli tylko dodatkowe nakłady pieniężne nie stanowią problemu, gorąco zachęcamy do zakupu dwóch kluczy (głównego i zapasowego):

Oto jak prezentuje się wynik naszego quizu:

Powyższe klucze (YubiKey 5 NFC oraz YubiKey 5C NFC) są najlepszą opcją zabezpieczenia naszych kont. Zawierają one wsparcie zarówno dla U2F, FIDO2 (Passwordless), jak i 2FA (generowanie kodów w aplikacji). Istnieje również tańszy odpowiednik klucza YubiKey 5 NFC:

W przeciwieństwie do swojego „starszego brata” nie posiada on wsparcia dla generowania kodów 2FA, nie pozwala na przechowywanie haseł statycznych, cechuje się mniejszą odpornością na upadki oraz nie jest wodoodporny. 

Teraz pozostało nam jedynie zamówić wybrany przez nas klucz sprzętowy. Możemy to zrobić za pomocą oficjalnej strony producenta YubiKey:

Jednak jeśli mieszkacie w Polsce, to lepszym wyborem – zarówno pod względem ceny, jak i czasu dostawy – będzie zakup od resellera (np. ITCentris czy VOIP24sklep.pl):

W opisywanym przez nas przypadku wybór padł na klucz YubiKey 5 NFC. Prezentuje się on następująco:

Zabezpieczanie kont za pomocą klucza (U2F)

Gdy już zdobędziecie YubiKey, za jego pomocą możecie w bardzo prosty sposób zabezpieczyć swoje konta w większości popularnych serwisów, takich jak: Twitter, Instagram, Gmail, YouTube czy Microsoft. Spróbujmy więc zabezpieczyć konto twitterowe. W tym celu klikamy ikonę kółka z trzema kropkami (Ustawienia):

Teraz wybieramy opcję „Settings and privacy”:

Następnie najeżdżamy kursorem na opcję „Security and account access”, po czym klikamy w zakładkę „Security”:

W dalszej kolejności wybieramy opcję „Two-factor authentication”:

Na tym etapie musimy wybrać sposób weryfikacji dwuetapowej. W naszym wypadku będzie to „Security key”:

Po zaznaczeniu wyżej wspomnianej opcji otrzymamy następujący komunikat:

Twitter poprosi nas o podanie hasła do naszego konta. Gdy już to zrobimy, rozpocznie się procedura dodawania klucza:

Zostaniemy poproszeni o włożenie naszego urządzenia YubiKey do portu USB:

Klucz YubiKey umieszczony w porcie USB:

Po wykonaniu tej czynności będziemy musieli dotknąć klucza zabezpieczeń w odpowiednim miejscu:

Teraz pozostało nam jedynie nazwać nasz klucz. W opisywanym przypadku będzie to „sekurak-poradnik”:

I gotowe! Twitter wygenerował dla nas również specjalny kod – na wypadek gdybyśmy stracili dostęp do naszego klucza:

Teraz, oprócz wpisania loginu i hasła, będziemy musieli podpiąć nasz klucz sprzętowy i dotknąć go w odpowiednim miejscu:

  • podanie loginu i hasła podczas logowania się:
  • monit o dotknięcie klucza YubiKey:
  • dotykamy klucz YubiKey we wskazanym miejscu:

Oczywiście Twitter to tylko jeden z wielu serwisów, który wspiera klucze sprzętowe. Pełną listę można znaleźć tutaj:

Passwordless, czyli logowanie do konta Microsoft za pomocą klucza oraz PIN-u (FIDO2)

Jak można zauważyć, U2F ma jedną wadę – dalej jesteśmy zmuszeni do wpisywania loginu oraz hasła. Z pomocą przychodzi klucz bezpieczeństwa FIDO2, który umożliwia nam logowanie do ulubionego serwisu przy użyciu klucza oraz krótkiego PIN-u (zamiast loginu i hasła). Sprawdźmy, jak to wygląda na przykładzie konta Microsoft. W tym celu musimy zalogować się i przejść do zakładki „Security”:

Po wybraniu opcji „Advanced security options” musimy kliknąć przycisk „Add a new way to sign in or verify”:

Teraz będziemy musieli wybrać nową metodę uwierzytelniania. W naszym przypadku będzie to „Use a security key”:

Następnie musimy zdecydować, czy chcemy nasz klucz podpinać do portu USB, czy też wolimy skorzystać z formy bezprzewodowej w postaci NFC. W opisywanym przypadku (używanie klucza głównie na komputerze) wybieramy opcję „USB device”:

Po wykonaniu tej czynności pojawi się okno dialogowe związane z konfiguracją klucza, podobnie jak miało to miejsce w przypadku zabezpieczania naszego konta twitterowego:

Następnie zostaniemy poinformowani, że powyższy proces umożliwi nam logowanie Passwordless, czyli bez podawania loginu i hasła:

Teraz zostaniemy poproszeni o utworzenie nowego PIN-u, który zastąpi nam podawanie loginu oraz hasła:

Dalsza część procesu konfiguracji jest analogiczna do tego, co mogliśmy zaobserwować w przypadku ustawiania U2F na naszym koncie twitterowym:

  • monit o dotknięcie klucza:
  • dotykamy klucz YubiKey we wskazanym miejscu:
  • podajemy nazwę zapisanego klucza:

I gotowe! Teraz, aby zalogować się przy użyciu klucza, musimy kliknąć opcję „Zaloguj się za pomocą […] klucza zabezpieczeń”:

Następnie musimy dokonać wyboru poświadczenia:

Zostaniemy poproszeni o wpisanie wcześniej utworzonego przez nas kodu PIN:

Gdy już to zrobimy, pozostało nam jedynie dotknąć klucza:

  • monit o dotknięcie klucza YubiKey:
  • dotykamy klucz YubiKey we wskazanym miejscu:

Oto udało nam się zalogować na konto Microsoft przy użyciu YubiKey oraz kodu PIN:

Warto dodać, że rozwiązanie FIDO2 może być zastosowane również w przypadku Azure Active Directory:

Yubico Authenticator, czyli generowanie kodów 2FA

Jeśli dana strona nie wspiera U2F ani FIDO2, to świetnym rozwiązaniem będzie aplikacja Yubico Authenticator, która – podobnie jak chociażby Authy – pozwala na wygenerowanie kodów 2FA:

W przypadku aplikacji na iOS, aby móc wygenerować nowy kod, wystarczy przyłożyć klucz YubiKey 5 NFC do rogu smartfona, zaś w przypadku sprzętu z systemem Windows musimy umieścić urządzenie w porcie USB. Jedną z zalet takiego rozwiązania jest fakt, że – w przeciwieństwie do chociażby Authy – nasz kod może zostać wygenerowany jedynie przy użyciu klucza i znika on po 30 sekundach. Nawet przestępca, który będzie miał zdalny dostęp do naszego urządzenia (np. za pomocą złośliwego oprogramowania czy rozwiązań typu AnyDesk), nie będzie w stanie wygenerować w naszym imieniu kodu w Yubico Authenticator, gdyż wymagana jest fizyczna interakcja ze strony ofiary (włożenie klucza do portu USB lub zbliżenie go do rogu smartfona w przypadku NFC).

Hasła statyczne, czyli przechowywanie krytycznych haseł w kluczu

Użytkownicy menedżerów haseł (np. KeePassXC) lub narzędzi do szyfrowania dysku (np. VeraCrypt) z pewnością napotkali pewien problem – jak zadbać o bezpieczeństwo tego jednego, najważniejszego hasła? W opisywanej sytuacji musieliśmy podjąć decyzję – czy wybrać krótsze, a zarazem słabsze hasło, czy raczej stworzyć długie, skomplikowane zabezpieczenie, którego zapamiętanie jest bardzo trudne, wręcz niewykonalne. W przypadku drugiej opcji hasło można zapisać na przykład na kartce papieru. Rozwiązanie to jest jednak nieefektywne – kartka może zostać z łatwością zgubiona, zniszczona lub przez przypadek wyrzucona. Jak się jednak okazuje, nasz klucz jest w stanie przechowywać tego typu hasła – w tym celu musimy uprzednio pobrać i zainstalować narzędzie YubiKey Personalization Tool:

Tak prezentuje się interfejs graficzny aplikacji:

Jak można zauważyć, w prawym górnym rogu wyświetlony został napis „No YubiKey inserted”. Aby móc skonfigurować nasze statyczne hasła, musimy najpierw włożyć klucz do portu USB:

Gdy już to zrobimy, możemy przejść do zakładki „Static Password”:

Teraz wystarczy wybrać opcję „Scan Code”:

Zanim przejdziemy do wpisywania hasła, musimy wybrać układ klawiatury. W tym przypadku najlepszym wyborem będzie US Keyboard:

Teraz możemy podać dowolne 38-znakowe hasło, które chcemy przechowywać w kluczu:

Aby zapisać konfigurację, należy wybrać przycisk „Write Configuration”:

I gotowe! Teraz wystarczy dotknąć klucza w odpowiednim miejscu, a hasło zostanie automatycznie uzupełnione w zaznaczonej przez nas lokalizacji:

Hasło wpisane w notatniku (nowy plik w aplikacji Notepad++):

Jeśli potrzebujemy dłuższego i bardziej skomplikowanego hasła, warto wybrać opcję „Advanced” w zakładce „Static Password”: 

Tym razem maksymalna długość naszego hasła wynosi 64 znaki. Aby je wygenerować, wystarczy kliknąć trzy przyciski o nazwie „Generate”:

By zapisać wyniki naszych działań, należy wybrać widżet „Write Configuration”:

Inne zastosowania urządzenia YubiKey

Warto wiedzieć, że klucz YubiKey może zostać wykorzystany również jako dodatkowe zabezpieczenie naszej bazy haseł KeePassXC:

Oprócz tego urządzenie YubiKey można użyć do generowania i przechowywania kluczy z oprogramowania Gpg4Win, służących np. do podpisywania i szyfrowania. Musimy przejść pod opcję „Karta inteligentna”, a następnie „Utwórz nowe klucze”

Zostaniemy poproszeni o podanie nazwy, adresu e-mail oraz o wybranie algorytmu szyfrowania:

Następnie Kleopatra poprosi nas o podanie PIN-u: 

Jego domyślna wartość to 123456, zaś PIN administratora to 12345678. Możemy je bez większego problemu zmienić – wystarczy kliknąć przycisk „Zmień PIN administratora”:

Następnie należy podać nowy PIN:

Ostatnim etapem tworzenia kluczy będzie wpisanie wybranego przez nas hasła – i gotowe! Tak prezentują się wygenerowane przez nas klucze:

Jeśli chcemy upewnić się, że YubiKey zawiera nasze klucze, wystarczy wpisać polecenie „gpg –card-edit”:

Gdybyśmy wpisali to samo polecenie przed wygenerowaniem kluczy w Gpg4Win, to wartość kluczy wynosiłaby „none”:

Spróbujmy, w celach demonstracyjnych, podpisać plik o nazwie „test.txt”.  W tym celu wybieramy przycisk „Podpisz/zaszyfruj” w aplikacji Gpg4Win:

Teraz musimy wskazać plik, który chcemy podpisać. W tym przypadku będzie to plik „test.txt”:

Aby podpisać plik, wystarczy wybrać opcję „Podpisz / zaszyfruj pliki”:

W procesie podpisywania zostaniemy poproszeni o włożenie karty (tj. klucza YubiKey) do portu USB oraz podanie kodu PIN:

  • monit o włożenie karty:
  • monit o podanie kodu PIN:

Jeśli nie uda nam się wykonać tego polecenia, proces podpisywania zostanie anulowany:

Analogicznie sprawa wygląda w przypadku odszyfrowywania i sprawdzania plików – w tej sytuacji również musimy włożyć klucz YubiKey do portu USB oraz wpisać poprawny kod PIN:

  • wybranie opcji „Odszyfruj/sprawdź…”
  • wybranie pliku do odszyfrowania:
  • monit o podanie kodu PIN do klucza YubiKey:
  • odszyfrowanie pliku po podaniu poprawnego kodu PIN:

Klucze sprzętowe nie zastąpią logicznego myślenia

Mimo licznych zalet opisywanych urządzeń należy pamiętać, że nie zastąpią one logicznego myślenia. Wprawdzie klucz YubiKey znacznie utrudnia ataki phishingowe, jednak phishing to atak socjotechniczny. Innymi słowy – podstępem skłaniamy ofiarę, aby samodzielnie przekazała nam swoje dane uwierzytelniające. Jeśli więc przestępca ma świadomość, że użytkownik korzysta z klucza sprzętowego, może próbować go zachęcić do pobrania złośliwego oprogramowania. Co prawda wymagana jest interakcja ze strony właściciela sprzętu (logowanie i włożenie klucza do portu USB), jednak dla odpowiednio zdeterminowanego atakującego taki stan rzeczy nie będzie większym problemem. 

Podsumowanie

Jak widać, klucze sprzętowe, takie jak np. YubiKey, w łatwy i szybki sposób pomagają zabezpieczyć konto przed phishingiem. Dzięki opcji „static password” możemy na nim również przechowywać hasła do krytycznych aplikacji, takich jak np. VeraCrypt czy KeePassXC. Jednocześnie warto mieć na uwadze fakt, że klucze sprzętowe nie są lekarstwem na wszystkie „cyberdolegliwości” – atakujący może podstępem skłonić nas do pobrania i uruchomienia złośliwego oprogramowania, które będzie stanowić dla przestępcy swoistą furtkę do naszych poufnych danych.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    > lepszym wyborem (…) będzie zakup od resellera

    A najlepszym będzie poproszenie znajomego studenta, żeby zorganizował dla nas 20% zniżki w sklepie Yubi. ;)

    Odpowiedz
    • Aneta

      Co? ja jestem studentką, mamy zniżki? xd

      Odpowiedz
  2. Jarek

    Static password – rozumiem, że przy zgubieniu klucza SP będzie możliwy do odczytania na każdym komputerze?

    Odpowiedz
    • asdsad

      Dokładnie.
      Ale jeśli to komp stacjonarny (przywiązany łańcuchem do grzejnika), z kluczem nano na stałe w porcie, to zawsze jest to lepsze rozwiązanie niż hasła.txt na pulpicie.

      Odpowiedz
    • Rosol

      Hasło statyczne jest ujawniane w kluczu Yubikey jawnie.
      Ale co za problem takie hasło „posolić”?
      Tzn: takie hasło będzie się składać z dwóch części:
      – jawnej i trudnej do zapamiętania, która jest przechowywana na kluczu Yubikey
      – niejawnej, która jest w naszej głowie i nie jest trudna
      Czyli hasło:
      svdlarhg9q84foqfq4thv45ygkw5gwugrwlrgj2958g + AlaMaKota3!9
      daje nam naprawdę solidne hasło i chroni dane przed wyciekiem.

      Odpowiedz
      • Jarek

        Trzymanie dłuższej części hasła pod slotem w Yubikey to też słaby pomysł. Jak stracisz klucz to hakerowi zostaje złamanie tych kilku znaków które trzymasz w głowie bo cały pierdyliar reszty ma na kluczu, więc tym sposobem obniżłeś bezpieczeństwo master password do kilku znaków (w scenariuszu utraty klucza).

        Odpowiedz
  3. a

    „Spare key” jak zapasowe klucze do mieszkania… słabo porównują. Klucze do mieszkania to mogą leżeć i zawsze są „aktualne”.

    Zapasowy klucz sprzętowy to ogólnie idea – w sporej części – porażka.

    Żeby to miało sens to ten klucz powinien być w miejscu bezpiecznym… ale wtedy jak go dodawać do serwisów z których korzystamy skoro jesteśmy w domu, w pracy, na wyjeździe, u klienta i tam rejestrujemy się na jakimś serwisie/usłudze.

    Wychodzi na to, że klucz zapasowy trzeba mieć też przy sobie.

    I koło się zamyka.

    Można by powiedzieć – raz na jakiś czas do miejsca bezpiecznego i tam dodajemy klucz do n serwisów w których w ostatnich tygodniach się zarejestrowaliśmy. Tyle, że to się zwyczajnie nie sprawdza w praktyce i trzeba by w to miejsce ciągle jeździć (a nie co parę tygodni) i tak dalej.

    Odpowiedz
    • midway

      Z osobistych doświadczeń, to na początku dodałem klucze do serwisów, gdzie mam konta i potem już prawie nie ruszałem klucza zapasowego. Rzadko zakładam gdzieś nowe konto, a jeszcze rzadziej nowe konto w serwisie, który wspiera klucze u2f. Chociaż jeśli musiałbym to robić często, to wtedy byłoby to uciążliwe.

      Odpowiedz
    • Nie musisz nigdzie jeździć, wystarczy trzymać w bezpiecznym miejscu byś nie zgubił, np. w sejfie w domu, a jak nie masz sejfu, to w różowej skarpecie na dnie szafki ze skarpetami…

      Masz go po prostu trzymać w „bezpiecznym” miejscu, czyli takim, do którego masz pewność, że jak zgubisz primary key, to z łatwością się dostaniesz do zapasowego.

      Drugiego klucza możesz też używać w całkowicie inny sposób. Przykładowo możesz trzymać bazę kdbx z kodami zapasowymi z serwisów, gdzie praktycznie każdy serwis takie kody generuje i zabezpieczyć ją właśnie tym kluczem. Gdy zgubisz pierwszy klucz, to drugim otwierasz bazę i logujesz się zapasowym kodem. Możliwości jest dużo, ogranicza nas tylko nasza głowa.

      Odpowiedz
      • Olo

        Przemo nie zrozumiałeś. Nic ci nie da leżący klucz. On musi zawierać dane. A aby zawierał dane musisz go dodawać do serwisów. Sprawdza się u kogoś kto ma kilka podstawowych – doda raz i faktycznie klucz może sobie leżeć. Ale ktoś, kto potrafi miesięcznie uzyskiwać n różnych kont w różnych firmach, to zasadniczo musi mieć zapasowy też przy sobie, aby go ciągle uaktualniać.

        Odpowiedz
    • Juras

      No cóż, wszystko ma swoje plusy dodatnie i plusy ujemne ;) Ale czy do zakładania bieżących kont na wyjeździe nie można używać metod stosowanych standardowo, a opcję klucza i zapasu dodać po powrocie do miejsca stałej dyslokacji?

      Odpowiedz
  4. asdsad

    Czemu:
    > [Security Key] cechuje się mniejszą odpornością na upadki oraz nie jest wodoodporny.
    ??? Przecież to tylko inny kolor. Myłem wodą i Ludwikiem i… działa.

    Czego mi brakuje w artykule?

    1. Informacji odnośnie zastosowań w polskich realiach. Czyli: Facebook. Oraz (uwaga, uwaga!) poczta.onet.pl – tak, wprowadzili. Ale działa tak sobie, bo można dodać tylko jeden klucz.

    2. Informacji że używając klucza do KeePassa, należy mieć wiele kluczy (główny + zapasowe).

    3. Informacji, że klucz można… zresetować. Czyli mamy go ustawionego w 50 serwisach + zapisujemy w nim hasło z menadżera, ale jeśli nieopatrznie klikniemy „reset” w Personalizaton Tool (albo nawet w samym Windows 10), to tracimy dostęp, jeśli nie mamy rezerwy w postaci drugiego klucza albo innego drugiego składnika.

    4. Informacji czy jest coś tańszego. Dla przeciętnego zjadacza chleba, zakup to jest jednak kupa forsy (nawet jeśli chronimy miliony). Choćby można dodać, że nie ma co się bać kupowania używek – nie są zbyt awaryjne.

    Ale i tak artykuł na plus.

    Odpowiedz
    • zxcvb

      Ja się niestety muszę zgodzić, że przy całym moim entuzjaźmie do kluczy u2f, o ile ktoś nie jest jakąś szczególnie prominentną osobą narażoną na ataki lub power userem, to na dzień dzisiejszy jest to trochę droga zabawka.

      Ad 1. Najwiekszą bolączką jest to, że żaden polski bank nie wspiera U2F i prędko nie spodziewam się tutaj zmiany. Automatycznie więc o ile ktoś nie ma jakiejś chmury na AWS czy chce przechowywać klucze ssh, to zakup nie jest już tak atrakcyjny, wystarczy zwykłe 2 składnikowe.

      Ad 2. Tutaj znowu, z tego co pamiętam to hasło do keepassa i tak trzeba wpisać, więc jedynie dodatkowe zabezpieczenie bez wygody.

      Ad 4. Są tańsze klucze, jak ktoś chce przycebulić to mogę polecić firmę Feitian. Niestety coś za coś, YubiKey po prostu działa i ma w miarę dopracowany soft, z pozostałymi trzeba się nie rzadko pomęczyć, a i tak czegoś może nie być. To raczej opcja dla power usera, dla Kowalskiego tylko YubiKey.

      Odpowiedz
      • Jacek36

        Podpisuję się obiema rękami pod tym co napisałeś. Nawet Feitian jest zbyt drogi dla zwykłego użytkownika. Jedynie masowa implementacja U2F przez banki może zmienić sytuację.

        Odpowiedz
      • bank&bank

        „Najwiekszą bolączką jest to, że żaden polski bank nie wspiera U2F i prędko nie spodziewam się tutaj zmiany.”

        Żaden bank na świecie nie używa kluczy U2F i raczej żaden się na to nie zdecyduje.
        Klucz U2F nie umożliwia potwierdzenia/sprawdzenia kwoty przelewu oraz rachunku beneficjenta (w UE wymaga tego PSD2) co powoduje, że klient byłby narażony na ataki podmieniające kwotę i numer rachunku.

        Odpowiedz
        • Andrzej

          Ale utrudnia sam proces logowania, co w przypadku wielu atakow i tak wystarczy. Podmiana numeru konta to jeden typ ataku, przechwycenie loginu i hasla (+ew. SMS swap) to inny typ ataku. Nikt nie kaze zamienic metod wymaganych w PSD2, ale mozna dolozyc dla chetnych dodatkowy stopien weryfikacji.

          Odpowiedz
        • Apud

          ING wprowadziło lub na dniach wprowadzi wsparcie dla U2F, więc chyba jednak da się zrobić to zgodnie z PSD2?

          Odpowiedz
          • Czesław

            ING ani nie wprowadziło ani na dniach nie wprowadzi – dopiero na przełomie II i III kwartału.
            Natomiast wiem, że wcześniej (na dniach) nastąpi to w innych bankach.

          • Piotr

            Nie, nie da się zgodnie z PSD2, dlatego klucze U2F nie zastąpią tokenów czy haseł jednorazowych, będą dodatkowym elementem do tego, co już jest (będą tylko zabezpieczeniem przed phishingiem).

      • emil

        PKO bp już wspiera. Już zachęcają mnie do kupienia klucza.

        Odpowiedz
    • Adam

      Czyli używek nie trzeba się bać, bo i tak można zweryfikować na stronie Yubico czy klucz jest legit tak? Bo trochę się zastanawiałem, czy ktoś może nie mógł grzebać w samym kluczu, no ale to może trochę już popadanie w paranoję 🙃

      Odpowiedz
  5. Jan

    Pytanie: Czy te klucze mogą być emulowane?

    Odpowiedz
    • Janusz

      Tak, bylo rozszerzenie do przegladarki Krypton, ale juz nie jest rozwijane. Plus do tego rozszerzenia apka mobilna. Najpierw apka trzeba bylo zeskanowac kod QR z rozszerzenia i wtedy „klucz” byl powiazaniy z konkretnym komputerem i przegladarka. Wchodzilo sie na strone, klikalo dodaj klucz, w apce wyskakiwalo powiadomienie czy chce sie aktywowac U2F dla tego serwisu, klikalo sie „Approve” i na koncie serwisu dodawal sie klucz. Potem jak sie logowales do serwisu to w apce wyskakiwala prosba o potwierdzenie, a serwis myslal, ze to sprzetowa klucz U2F. Ostatnio jednak jak chcialem zabezpieczyc kolejne konto Google to cos juz nie dzialalo. Google nie widzial, ze potwierdzilem w apce dodanie klucza. Jakby rozszerzenie juz nie dzialalo prawidlowo. Ale mam 2 niebieskie klucze Yubico, wiec uzywam rozwiazania sprzetowego.

      https://chrome.google.com/webstore/detail/krypton-authenticator/madlgmccpddkhohkdobabokeecnjonhl

      Odpowiedz
      • Mario

        Jest też WioKey Authenticator, działa podobnie jak Krypton.
        Używam sprzętowy i w telefonie WioKey.

        Odpowiedz
  6. Cron

    Mam klucze Yubikey od 4 lat. Po tym czasie stwierdzam, że to _dla mnie_ mało przydatny gadżety. Nie mam konta na FB ani żadnym serwisie społecznościowym, w bankach klucze nie są obsługiwane, w KeePass i tak muszę wpisywać moje 20+znakowe hasło. Ostatecznie klucza uzywam do gmaila i przechowuję w nim część statycznyego hasła do KeePassa (tak aby nie całe hasło było w kluczu).

    Odpowiedz
    • wqqw

      a jak z logowaniem i OTP hasła jednorazowe do konta na komputerze?
      fajnie było by jak by portknocking działał. Napisz czy działa np. na solaricie albo jakims BSD czy s360

      Odpowiedz
  7. Pit

    Czy możecie pomóc w temacie rejestrowania na gmail kluczy YubiKey 5C NFC w Safari?

    Nie mogę dodać klucza zapasowego.

    Odpowiedz
    • asdsad

      A ja mogę dodać.
      Ale nie pisz jaki błąd się pojawia, może ktoś się domyśli.

      Odpowiedz
  8. werw23

    z tego co piszecie to nie przyda mi sie ten klucz do ssh, gpg i jakiegos prostego programu w terminalu?

    jest wiele alternatyw, które sa dużo lepsze. Pozwalaja zabezpieczyc komputer, logowanie i co najważniejsze sa otwarte a nie posiadajace potencjalne backdory najprostszy https://tomu.im/somu.html (mozna tez uzyc fpga czy nawet tomu) ale jest też kilka projektow na hackaday

    Odpowiedz
  9. Rosol

    Autor trochę spłycił temat Yubico Authenticator.
    Kody są przechowywany na kluczy Yubikey i odczytywane za pomocą aplikacji Yubico Authenticator.
    Dodatkowym zabezpieczeniem przez odczytaniem takich kodów jest ich fizyczne dotknięcie.
    Dodatkowo, kod jest wtedy kopiowany do schowka i można go wkleić w odpowiednie miejsce.

    Odpowiedz
  10. FFuser

    Po co się tak męczyć i płacić?
    Wystarczy użyć Firefoksa z wbudowanym managerem haseł.
    Oczywiście trzeba mieć tą wiedzę/świadomość, że gdy nie jest wyświetlane właściwe dla strony login i hasło, to właśnie jesteśmy na fałszywej stronie.

    Odpowiedz
  11. Baśka

    Klucz rewelacja, szkoda tylko że polskie banki nie obsługują żadnych kluczy bezpieczństwa.

    Odpowiedz
  12. Witam, polecam klucz YubiKey 5C NFC lecz niestety nieraz ciężko wyegzekwować od dostawców implementacji tego rozwiązania. Pozdrawiam Informatyk Elbląg

    Odpowiedz
  13. Patryk

    No dobra a co w sytuacji jak ktoś nam ukradnie taki klucz? Co jeżeli złamie pin do klucza? Czy w takiej sytuacji nie dostanie się do naszych dostępów?

    Odpowiedz
    • pamiętaj, że jest jeszcze hasło, sam klucz nie daje dostępu do konta :)

      można też unieważnić dostęp danym kluczem do konta.

      Odpowiedz
  14. BOA

    Bank of America jest chyba pierwszym bankiem, który wdrożył klucze bezpieczeństwa U2F, ale ich użytkownicy nie są zadowoleni.
    Klucz został wdrożony z myślą o osobach, które nie mają dostępu do kodów sms. W każdym momencie można wybrać autoryzację za pomocą kodów sms.
    Idealne wdrożenie w bankowości to logowanie wymagające klucza bezpieczeństwa i autoryzacja przelewów za pomocą kodów sms lub aplikacji mobilnej. W ten sposób użytkownik ma 100% ochrony przed phishingiem oraz możliwość sprawdzenia oraz potwierdzenia kwoty przelewu i jego beneficjenta, czyli ochronę przed atakami wykorzystującymi web injection do zmiany parametrów przelewu.

    USB Security Key – USB – Extra security for higher-value transfers
    https://www.bankofamerica.com/security-center/online-mobile-banking-privacy/usb-security-key/

    Bank of America hardware key implementation is basically crap.
    https://www.reddit.com/r/yubikey/comments/v1x2sp/bank_of_america_hardware_key_implementation_is/

    How to setup Idem Key for Bank of America
    https://www.youtube.com/watch?v=u5JLYN7H6-M

    Odpowiedz
  15. Patryk

    Mam pytanie odnosnie tych kluczy. Jak w pelni wykorzystac ich potencjal. Czy potrzebuje tego czarnego? Generalnie chce pozmieniac wszelkie hasla w serwisach na niemozliwe do zapamietania i uzywac Bitwardena + klucz U2F. Tylko nie chce nigdzie uzywac zadnego hasla aby ochronic sie przed keyloggerami. Czy ten niebieski rowniez pozwala na uzywanie wylacznie PINu w celu logowania? Jeszcze jedno troche zbaczajac z tematu ale w jaki sposob menadżer hasel wypelnia pole? Robi kopiuj wklej? Czy jest mozliwosc podejrzenia co wpisuje menadzer hasel w polu haslo?

    Odpowiedz
  16. Mariusz

    Z hasłem statycznym jest taki problem, że wystarczy chwila nieuwagi, focus ustawiony nie na te pole tekstowe co trzeba i hasło wpisuje się nam tam, gdzie nie trzeba. Jak dodać do tego znak entera na końcu hasła, to mamy przypadkowy wyciek np. przez wyszukiwarkę Google :D.

    Odpowiedz
  17. Patryk

    Zastanawiam się czy jest opcja wymuszenia klucza w przypadku logowania do Microsoft (e.g. Outlook).

    Po skonfigurowaniu klucza w Outlooku dalej mogę się zalogować hasłem i kodem z aplikacji Authenticator. Wyglada mi na to ze w tym przypadku klucz nie dodaje nic oprócz wygody, ze mogę włożyć klucz zamiast Authenticator.

    Odpowiedz
  18. Mistrz

    Nie wiem jak jest dokładnie z Outlook ale ogólnie żeby używanie klucza miało sens trzeba usunąć inne metody, i najlepiej mieć dwa klucze

    Odpowiedz
  19. Zdziwiony

    Czy ktoś umie mi wyjaśnić, dlaczego włączenie Advanced Protection Programu na Gmailu ogranicza liczbę kluczy sprzętowych do dwóch?

    Odpowiedz
  20. ArO

    gmail, google, microsft to akronimy telemetri, inwiligacji, i współpracy z 3 literowymi agencjami, cold boot, najpierw sprawdzcie kod windowsa ile ma backdorów, dziwne nie dziwne że systemy zamknięte nie przechodzą audtu wojskowego. Joanna Rutkowska no tak jak ja w wieku 14 lat z basica do assemblera stosuje zasadę ograniczonego zaufania do wszystkiego, no i wymyśliła nklawy, intel, linux tails, mogą działać na skompromitowanym sprzęcie i sofcie, no ale … hm, trzeba znać basha , pythona, elektronkę cyfrową, w skrócie , 140 IQ ma 5%osób,
    AI już ma ponad 160, ale z talentem łatwo popaść w utopię ;-)

    Odpowiedz

Odpowiedz