Piekło zamarzło, Yubikey’e zhackowane – tak moglibyśmy opisać wczorajszy komunikat wydany przez Yubico, czyli producenta najpopularniejszych na świecie fizycznych kluczy bezpieczeństwa. Moglibyśmy, ale pomimo że jest w tym nieco prawdy, to nie ma powodu do paniki, przynajmniej dla większości użytkowników popularnych yubikey’ów. Dlaczego nie ma? Zacznijmy od teorii. Badacze z…
Czytaj dalej »
Bank od dłuższego czasu pracował nad wprowadzeniem tego mechanizmu dwuczynnikowego logowania do bankowości elektronicznej: Obecnie wszystko wskazuje na to, że prace dobiegają końca i w okolicach Q2/Q3 2023 roku całość będzie gotowa. Bank w ten sposób odpowiedział na pytanie serwisu Cashless: Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego…
Czytaj dalej »
Minęło już kilka miesięcy od „afery mailowej”, w wyniku której grupa UNC1151 uzyskała dostęp do kont e-mail polskich polityków, w tym do skrzynki pocztowej szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Według ustaleń ABW oraz SKW główny wektor ataku na konto Dworczyka stanowił phishing: Całej sytuacji można było jednak zapobiec…
Czytaj dalej »
Jeśli ktoś jeszcze nie miał styczności z U2F – polecam nadrobić zaległości. W skrócie – takie dwuczynnikowe uwierzytelnienie jest z jednej strony prostsze, z drugiej bezpieczniejsze od pewnych innych rozwiązań (np. Google Authenticatora): aby się uwierzytelnić nie potrzebujemy przepisywać kodu (który można ukraść), wystarczy tylko fizycznie kliknąć przycisk na odpowiednim…
Czytaj dalej »
Najpierw Google, Dropox czy Github, a teraz wreszcie Facebook umożliwia wsparcie dla kluczy zgodnych ze standardem U2F: Using your security key is much like using a key to unlock a door. After entering your password, you can tap your physical security key instead of entering a special security code W skrócie: posiadając…
Czytaj dalej »
Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…
Czytaj dalej »