16:11
22/12/2021

W ostatnich tygodniach, po tym jak zaproponowaliśmy że klucze U2F są idealnym prezentem pod choinkę, trafiło do nas dużo pytań. Odpowiedzi na najpopularniejsze znajdziecie na tym filmiku (z góry przepraszamy za miniaturkę i tytuł, ale są one elementem pewnego testu):

Film ładnie wystrzelił, jeśli chodzi o popularność (miniaturka z rozdziawioną gębą jednak czyni cuda) — jest 3x bardziej popularny niż “statystyczny” film publikowany na naszym kanale, a na swoim koncie mamy już jeden “milionowy“. Od momentu publikacji filmiku, zrealizowaliśmy kilkaset zamówień na klucze U2F, które można dostać w naszym sklepiku. Wygląda na to, że te święta będą dla niektórych naprawdę bezpieczne.

Jeśli chcesz kupić komuś klucz na prezent pod choinkę, to sugerujemy złożyć zamówienie dziś. To w zasadzie ostatnia szansa, aby paczka nadana jutro dotarła do Ciebie w piątek.

Poniżej, dla tych, którzy nie chcą oglądać, a wolą czytać, nie do końca zgodne z brzmieniem filmu podsumowanie zawartości. Ale filmik i tak polecamy obejrzeć, bo ma kilka humorystycznych wstawek, które przypadły widzom do gustu.

Dlaczego warto używać klucza U2F?

Tylko on jest w stanie w 100% zabezpieczyć Cię przed przejęciem Twoich kont w serwisach, które klucze U2F wspierają, np. GMailu, Facebooku, Twitterze, Onet, WP, Amazon AWS, Githubie, Dropbox, Microsfot i w wielu innych. Nawet jeśli się przypadkiem zagapisz i nie zorientujesz się, że wpisałeś swoje hasło na podstawionej przez oszustów stronie.

{Tu na filmiku pojawia się demo ataku phishingowego}

Do korzystania z klucza U2F zachęcamy na Niebezpieczniku od kilku lat, przedstawiając jako jedyne rozwiązanie, które całkowicie chroni przed negatywnymi skutkami ataków phishingowych dotyczących przejęć kont no i w konsekwencji wycieków danych.

Zazwyczaj podczas logowania musisz podać login i hasło. Ale jeśli nie zauważysz, że te dane wpisujesz na fałszywej stronie, no to prześlesz je do przestępców, którzy dzięki temu wejdą Ci na Twoje konto. Jeśli uważasz, że jesteś bezpieczny, bo korzystasz z dwuetapowego uwierzytelnienia w postaci kodu przesyłanego SMS-em lub generowanego przez aplikację taką jak Google Authenticator, no to teraz jest moment, w którym powinieneś się zmartwić. Przestępcy dalej mogą od Ciebie wyłudzić ten kod, tak samo jak robią to z hasłem. Po prostu zobaczysz prośbę o wpisanie kodu …no i go wpiszesz, tak jak wpisałeś hasło, bo przecież wydaje Ci się, że logujesz się na prawdziwej stronie.

{Tu na filmiku jest demo takiego ataku}

Jedyna forma dwuetapowego uwierzytelnienia, której nie da się wyłudzić, to właśnie klucz U2F. Nawet jeśli nie zauważysz, że jesteś na fałszywej stronie i użyjesz klucza U2F, to przestępca nie otrzyma informacji, jakich potrzebuje aby zalogować się na Twoje konto. To możliwe dzięki kryptografii asymetrycznej, ale szczegóły wykraczają poza ramy tego filmu. Póki co, wskazujemy je w formie linku w opisie filmiku, a kiedyś może nagramy dedykowany temu zagadnieniu materiał.

Dla zrozumienia jak to wszystko działa, wystarczy takie uproszczenie: wyobraź sobie, że klucz U2F ma zdecydowanie lepszy wzrok od Ciebie. Widzi to, co faktycznie znajduje się w pasku adresowym strony, na której się logujesz, nie da się go oszukać. Kiedy logujesz się na lewej stronie to klucz nie przekaże oszustowi niczego, co jest związane z prawdziwą stroną z którą go skojarzyłeś i tą pod którą oszust się podszywa.

Możesz więc być gapą. Możesz podać login, hasło, nawet użyć klucza — innymi słowy, możesz doznać chwilowego całkowitego zaćmienia umysłowego i dać się zphishować — a atakujący i tak nie pozyska informacji, które pozwolą mu przejąć Twoje konto.

Brzmi świetnie, prawda? Żeby jednak cieszyć się z takiej 100% ochrony przed phishingiem, klucz trzeba sobie wcześniej kupić i go skonfigurować.

Gdzie kupić klucz U2F?

Oczywiście, będzie nam bardzo miło, jeśli klucz kupisz sobie w naszym sklepie. Wspomożesz w ten sposób rozwój kanału Niebezpiecznika i produkcję filmików, przy pomocy których ostrzegamy Polaków przed różnymi zagrożeniami, takich jak ten i ten.

Ale przymusu nie ma. Klucz możesz też kupić bezpośrednio u producenta. Ważne, żebyś po prostu zaczął z niego korzystać i był pewien, że dostaniesz go od zaufanego sprzedawcy, w oryginalnym, nienaruszonym opakowaniu.

Jaki klucz U2F kupić?

Jest kilka rodzajów kluczy. Wszystkie tak samo dobrze ochronią Cię przed phishingiem, ale niektóre, droższe klucze, mają dodatkowe funkcje. Możesz się nimi logować do systemu operacyjnego i mogą też przechowywać Twoje klucze SSH i PGP.

{Tu na filmie prezentowane jest porównanie różnych modeli kluczy Yubikey / Yubico}

Kiedy już wybierzesz — najtańszy klucz podstawowy lub droższy, bardziej wypasiony — to musisz jeszcze wybrać wersję z odpowiednim złączem: standardowym USB, USBC, albo Lightningiem. Ale bez obaw. Jeśli masz urządzenia z różnymi portami, nie musisz kupować wielu kluczy, bo działają z przejściówkami.

{Tu na filmie Piotrek pokazuje z jakiego klucza korzysta na co dzień}

Kup co najmniej 2 klucze U2F…

Warto od razu kupić dwa klucze. Najlepiej ten, który najbardziej Ci pasuje pod katem funkcji, a dodatkowo jeden najtańszy, niebieski, jako zapas. Dlaczego to ważne? Bo do większości serwisów możesz podpiąć więcej niż jeden klucz i zdecydowanie warto to zrobić. Wtedy klucz podstawowy nosisz zawsze przy sobie, na przykład przypięty do kluczy domowych, a zapasowy trzymasz w bezpiecznym miejscu, np. domowym sejfie. Gdybyś kiedyś zgubił swój klucz podstawowy to zawsze będziesz mógł zalogować się do swoich kont kluczem zapasowym.

{Tu na filmie jest wstawka dla paranoików, o użyciu większej liczby kluczy}

Co zabezpieczyć kluczem U2F i jak go aktywować w danym serwisie?

Po prostu wejdź w opcję bezpieczeństwa na danym serwisie i tam dodaj klucz w odpowiednim miejscu. Klucze wspiera: GMail, Facebook, Twitter, Amazon AWS, Onet, WP, Dropbox, Github, Microsoft i wiele innych serwisów.

Jeśli jakiś z serwisów z którego korzystasz nie pozwala Ci podpiąć klucza U2F jako drugi składnik uwierzytelnienia, to wyślij właścicielowi serwisu link do tego filmiku. Bo naprawdę, w 2021 roku, każdy poważnie podchodzący do bezpieczeństwa serwis powinien oferować wsparcie dla kluczy U2F.

Mała uwaga: jeśli zależy Ci na najwyższym poziomie bezpieczeństwa, to po podpięciu klucza usuń z opcji danego serwisu pozostałe, słabsze formy dwuetapowego uwierzytelniania: czyli kody SMS. W przeciwnym razie, atakujący mogą wyłudzić od Ciebie taki kod, a potem wykorzystać do zalogowania się na Twoje konto. Serio, nie ufaj sobie, że wykryjesz taki atak, odepnij inne metody uwierzytelnienia niż klucz U2F.

{Tu na filmiku jest szersza wizualizacja i opis takiego ataku}

Czy klucze U2F działają ze smartfonami?

Tak, działają i w przeglądarce i w aplikacjach: o ile ich twórcy włączyli obsługę kluczy. Do niektórych Androidów klucz można podpiąć po USB, a do iPhona przez złącze Lightning, ale zazwyczaj wystarczy zbliżyć klucz do obudowy smartfona, bo większość kluczy wspiera komunikację po NFC.

Czy zawsze muszę nosić klucz U2F przy sobie?

Nie, ale lepiej tak :-) Klucz zawsze będzie wymagany podczas pierwszego logowania na nowym urządzeniu lub w świeżej przeglądarce. Ale jeśli przy logowaniu zaznaczysz opcję “zapamiętaj mnie” to większość serwisów nie będzie wymagała ponownego użycia klucza aż do momentu, kiedy oczywiście samodzielnie się z nich nie wylogujesz. Uwaga! Niektóre serwisy same wylogowują użytkowników po pewnym czasie, dlatego właśnie warto klucz mieć zawsze pod ręką.

A co, jeśli zgubię klucz U2F?

Nie martw się, nawet jeśli do tego dojdzie, to znalazca nie będzie w stanie przejąć Twoich kont bo, po pierwsze nie odczyta z klucza żadnych informacji, które ujawnią kto z z niego korzystał, a po drugie, sam klucz nie wystarczy aby się zalogować na Twoje konta. Znalazca potrzebuje przecież jeszcze Twojego hasła, którego przecież nie zna.

Mimo wszystko, jeśli zgubisz klucz, odpij go z każdego z serwisów, do których go podpiąłeś. Bo licho nie śpi.

{Tu na filmiku pojawia się się sejtan}

Czy klucz U2F chroni przed wszystkimi atakami?

Niestety nie. Klucz to nie jest święty gral {Tu na filmiku pojawia się wstawka, nie zgadniecie z kim}.

Klucz ochroni Cię tylko przed phishingiem, który polega na wyłudzeniu danych, jakich przestępcy potrzebują aby przejąć Twoje konta. Klucz nie uchroni Cię przed atakami, które z phishingiem nie mają nic wspólnego, takimi jak malware czy przed wyciekiem Twoich danych bezpośrednio z serwisu internetowego, jeśli ktoś z obsługi, mający odpowiednie uprawnienia, postanowi je wykraść i sprzedać w darknecie. Ale przed tym w zasadzie nic Cię nie uchroni i umówmy się, taki atak jest jednak mniej popularny niż phishing. To phishingami Polacy obrywają regularnie i praktycznie codziennie.

Do czego mogę jeszcze wykorzystać klucz U2F?

Do przechowywania kluczy SSH i PGP, czyli do logowania się na serwery oraz odczytywania zaszyfrowanej poczty i podpisywania dokumentów. Tu klucz U2F ma sporą zaletę bo ze względu na jego architekturę (tzw. secure element) przechowywanych na nim kluczy prywatnych nie da się wykraść, nawet jeśli używasz klucza U2F na zainfekowanym komputerze.

Dodatkowo, kluczem U2F możesz zabezpieczyć logowanie się do swojego systemu operacyjnego lub managera haseł. Ale nie zawsze jest to dobry pomysł. Jeśli jesteś ciekaw jak to wszystko skonfigurować, rzuć okiem w linki w opisie pod filmikiem.

Podsumowanie

Z klucza U2F warto korzystać, bo faktycznie, realnie podnosi Twoje bezpieczeństwo. Nawet jeśli masz słabszy dzień i dasz się podejść internetowym patałachom i oszustom, to nie przejmą oni Twojego konta.

Dlatego jeśli jeszcze nie masz klucza U2F, to warto go sobie sprawić. 160PLN to nie tak dużo, jeśli wziąć pod uwagę, że przejęcie skrzynki pocztowej albo kanału na YouTube czy konta na Facebooku zazwyczaj oznacza zdecydowanie większe straty, a czasem także niezłą dawkę stresu no i niekiedy sporo wstydu… Gdyby z klucza U2F korzystali polscy politycy, to nie czytalibyśmy teraz wykradzionych im maili…

Film kończy się zagadką, której nie da się opisać :)

Dodatkowe pytania z komentarzy pod filmikiem

Po publikacji filmiku, najczęściej zadawaliście te dwa pytania, które — wraz z odpowiedziami — publikujemy poniżej:

  1. Czy jakieś banki w Polsce wspierają klucze U2F
  2. Nie, żaden z polskich banków nie wspiera obecnie kluczy U2F. Ale… w bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi, pomijalnymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje klientowi: co/ile i do kogo się przelewa, a tu klucz U2F nie pomoże, bo nie ma możliwości pokazania użytkownikowi co w danej chwili “autoryzuje”.

    Dlatego właśnie klucz służy do uwierzytelnienia (w zasadzie tylko do tego), a nie autoryzacji. Ale to prawda, że implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić.

    Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które też maja secure element jak klucze U2F i tez można je zbliżać do czytników w telefonie (gorzej z podpięciem pod komputer). Póki co wydaje się jednak, że zbyt mało osób od banków domaga się takiej funkcji, aby opłacało się to wdrażać. Może to się zmieni. A może analiza ryzyka bankom wskazuje, że ze względu na opisane wyżej inne przeszkody dla atakującego, obsługa kluczy byłaby zbyt mało wartościowym, a kłopotliwym w obsłudze procesowej dodatkiem.

    W każdym razie, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)

  3. Czy mogę jednym kluczem zabezpieczyć dwa różne konta w tym samym serwisie
  4. Tak.

Końcówka tego postu to dobre miejsce, żeby jeszcze raz podlinkować miejsce, w którym możecie kupić klucz U2F. Nie tylko na prezent, ale jeśli zamówicie do czwartku, jest szansa, że dostaniecie przesyłkę przed startem wigilii.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

106 komentarzy

Dodaj komentarz
  1. “A co, jeśli zgubię klucz U2F?”
    W takim przypadku większym problemem niż to, że ktoś go zdobędzie, będzie to, że my go stracimy. Zabrakło tu informacji o tym jak “backupować” klucz.
    Poza tym klucz może się też po prostu zepsuć.

    • Informacja o tym, jak “backupować” klucz jest wcześniej. Trzeba kupić dodatkowy i podpiąć go do serwisu (jeśli serwis umożliwia podpięcie więcej niż jednego klucza albo jeśli serwis nie pozwala na podpięcie więcej niż jednego klucza, bazować na słabszym, fiszowalnym drugim składniku jako “backupie”). Klucz może się popsuć, ale nam na tysiące sprzedanych trafił się jeden. Fabrycznie trzaśnięty. Yubikeye są naprawdę solidnie zrobione. Można nawet prać (ale proszę nie traktować tego jako rekomendację ;)

    • Są też klucze pozwalające na wrzucenie… kluczy do U2F wygenerowanych samodzielnie, dzięki temu te same klucze można wrzucić do kilku fizycznych kluczy (zrobić klony). Są też klucze, które można backupować w całości i taki backup wgrać w inny klucz (backupy są szyfrowane, więc w obydwu egzemplarzach trzeba ustawić to samo hasło/klucz szyfrujące backup aby taka migracja przeszła). Na takie coś pozwalają na przykład klucze OnlyKey (klonowanie jest od ręki, natomiast aby wrzucić do urządzenia samodzielnie wygenerowane klucze U2F, to trzeba sobie tę opcję odblokować w aplikacji do zarządzania kluczem). Dodatkowo OnlyKeye mają sprzętowy generator losowy i klucze generują przy pierwszym podłączeniu do prądu (oraz po każdym “wipe reset”), więc są odporne na malicious manufacturer duplication (nawet producent nie wie jakie klucze są wygenerowane/używane klucze w jego urządzeniach, więc nie zrobi klona czy nie ma “listy wyprodukowanych kluczy”).

  2. “Niestety nie. Klucz to nie jest świety gral {Tu na filmiku pojawia się wstawka, nie zgadniecie z kim}. ”

    Zgaduję: Indiana Jones ;-)

    • Wiadomo, że z Królem Arturem i jaskółką europejską!

  3. Czy przed phishingiem nie uchroni w identyczny sposób manager haseł typu KeePass, skoro na stronie o innym adresie nie uzupełni haseł? Nawet jeżeli my nie zauważymy złego adresu?
    On też ma jak to było powiedziane w filmiku “lepszy wzrok”
    Pytam poważnie.

    • KeePass standardowo nie sprawdza URL-a a tytuł okna. Więc już pewnie wiesz, jak to obejść ;) W dodatku, jest jeszcze jeden problem: na testach phishingowych które robimy klientom (pracownicy mają nakaz stosowania managerów haseł) często zdarza się, że pracownik i tak hasło na podstawionej przez nas domenie wprowadzi. Jak pytamy później: ale jak to możliwe, przecież manager nie mógł Ci go uzupełnić! (inny niż KeePass, sprawdzający URL inaczej niż po tytule okna) to słyszymy: no bardzo chciałam/em zobaczyć (tu odniesienie do pretekstu phishingu) a ponieważ coś nie mogłem/am się zalogować, to ręcznie skopiowałam hasło z managera i poszło. Tak więc tak… Jak ktoś się pilnuje, to klucza nie potrzebuje. Ale zdarzyć się może przy wiarygodnym phishingu, że komuś się tylko wydaje, że jest z tych, co się pilnują.

    • To mnie bardzo zaskoczyło, zawsze byłem przekonany że to url jest podstawą wpisywania w KeePassie hasła.
      Na stronie pluginów znalazłem plugin o nazwie WebAutoType z opisem: “This plugin allows to execute auto-type based on the current web browser URL instead of the window title.”
      To by pasowało, do tego co napisałeś.

      Ale postanowiłem jeszcze coś sprawdzić. Otóż mam prywatnie postawioną usługę “chmury”, mam do niej zapisane kilka haseł w KP, normalnie loguję się przez zewnętrzną domenę.
      Wiec połączyłem się przez domenę, KP podpowiada wszystkie hasła. Następnie połączyłem się przez adres wewnętrzny IP, KP haseł nie podpowiada. Tytuł strony ten sam. Sprawdzone przed dodaniem tego Pluginu oraz po dodaniu, bez zmian.
      Nie wiem czy dobrze to sprawdziłem, może robię coś nie tak.
      Może w obecnej wersji KP sprawdza adres url? Przynajmniej ja wysnułem takie wnioski.
      Jestem noobem w tych kwestiach więc byłbym wdzięczny za pomoc, może jestem w błędzie.

      Oczywiście to nie załatwi kwestii, gdy ktoś sam przekopiuje hasła gdy KP ich nie podpowie.

    • EF, jeśli używasz KPXC z dodatkiem do przeglądarki, to może tak działać. KP jako osobny program nie ma możliwości odczytać adresu z przeglądarki (chyba że strona jest tak napisana, że ustawia tytuł strony na swój adres). Możesz sprawdzić w edycji auto-type – na rozwijanej licie masz tytuły okien, które widzi KP. Porównaj to co jest zapisane jako docelowe okno w KP z tym, co masz na liście kiedy łączysz się przez wewnętrzny adres.

    • Są pluginy które twierdzą że używają adresu, np:
      https://chrome.google.com/webstore/detail/keepasshelper-password-ma/
      “KeePassHelper” provides a toolbar button that opens a floating panel at top center part of the currently selected page to display all the matching passwords based on the page URL

    • Sprawdziłem Apple Keychain i sprawdza tylko i wyłącznie URL.

    • Jesli Keepass standardowo sprawdza tytuł okna a nie URL to używanie go w żaden sposób nie chroni przed phishingiem (o czym piszecie) bo właśnie domyślnie ludzie zakłądają ze sprawdza URL a nie tytuł okna , zatem moje pytania:
      – czy Bitwarden i KeepassXC sprawdzaja URL czy również tytuł okna ?
      – czy ta informacja jest gdzieś w dokumentacji Keepassa ?- (ja nie znalazłem niestety)
      – czemu nadal polecacie Keepassa jako dobry manager haseł – https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/

    • A doczytałeś do końca artykuł, który linkujesz?

    • Polecam do Firefoxa:
      https://addons.mozilla.org/pl/firefox/addon/keepass-helper-url-in-title
      Działa świetnie i nie ma problemu ze stronami o tym samym tytule
      A i zobaczcie kto jest autorem ;)

  4. A ja tam twardo uważam, że większość serwisów, które wspierają klucze U2F nie jest warta używania. Zwłaszcza, przy użyciu protokołów, które dają możliwość użycia klucza U2F w tych serwisach (czyli generalnie HTTP).

    • Rozwiniesz o co ci chodzi z HTTP? Konto Microsoft, Google lub Facebook, które są dla wielu osób narzędziami codziennej pracy lub które zawierają setki prywatnych danych, a które można zabezpieczyć kluczem chyba jednak są tego warte.

    • U mnie na odwrot. Jesli nie widze w czyms powazniejszym wdrozonego U2F to taka strona dla mnie nie istnieje. Np. roznego rodzaju gieldy kryptowalut bez U2F to dla mnie farsa, oczywiscie wszystko przy jednoczesnym pitoleniu na glownej stronie (obowiazkowo duza czcionka i z uumiechnietym zdjeciem jakiejs cycatej konsultantki) jak to oni bardzo dbaja o bezpieczenstwo danych uzytkownikow. Pitolenie nic nie kosztuje, ale wdrozenie U2F jest juz cholernie kosztowne i wymaga duzej wiedzy.

    • Konta Google czy Microsoftu dostępne z przeglądarki są bezużyteczne. A dostęp inny (np. z przez synchronizację Androida, czy przez Xboxa, o dostępnie np. z klientów pocztowych nie wspominając) nie daje się zabezpieczyć U2F. A że niektórzy muszą z takich kont korzystać w pracy? Cóż mogę napisać – znajdźcie inną pracę. ;-P O Facebooku natomiast nawet nie chce mi się pisać, bo jego użyteczność jest ujemna.

    • Nie wiem jak Google, ale konta MS mozesz takze zabezieczac OTP (w tym na np. Androdzie).

  5. Wszystko święta prawda, tylko jest jeden mały, malutki problem. Cena. Wiadomo że dane, że utrata zawsze boli i to bardziej niż się wydaje, że lepiej zapobiegać niż leczyć – ale wydatek rzędu dwóch kluczy za 400zł jest chyba dla większości kwotą mocno zniechęcającą. I tak jak kiedyś nagrywarki DVD – jak kosztowały 1000zł to były traktowane jak drogie zabawki. Dopiero jak staniały do 100zł to trafiły pod strzechy.

    • To zalezy jak producent. Przereklamowane Yubico za ten kawalek plastiku faktycznie liczy sobie absurdalnie, ze nie wspomne o ich zamknietym kodzie i bezposrednich kontaktach z Googlem. Jednak na rynku jest co najmniej kilku sensownych producentow tych kluczy, ktorzy powaznie traktuja klienta: metalowa obudowa, kod typu opensource itd.

      Osobiscie polecam: Nitrokey, Hypersecu i OnlyKey. Rok temu Hypersecu Titanium kosztowal na polskim Amazonie 60 zl z przesylka wlacznie. Teraz oczywiscie ceny sa paskarskie ale to juz inna sprawa.

  6. Opisalibyście dokładniej trwałość fizyczną poszczególnych modeli. OK napisałeś Piotr że można prać (to ważny hint, przy okazji powiem że niektóre karty płatnicze też można użyć po praniu i miałem okazję to sprawdzić), ale mi chodzi o trwałość styków i NFC. Generalnie nie za bardzo udaje mi się chronić rzeczy przed oddziaływaniem mechanicznym a czasem chemicznym. To znaczy jakiś czas pilnuję a potem okazuje się że tylko myślałem że pilnuję ;-) Odporność przedmiotów jest dla mnie bardzo ważna ;-)

    • Wrzucę jutro lepsze zdjecie klucza noszonego z kluczami w kieszeni/plecaku od ~5 lat. To dokładnie ten niebieski, jest na filmie dopięty do pęku kluczy (na potrzeby sesji inne klucze zostały odpięte, został jeden). Poobijany, porysowany, działa. Plastik jest naprawdę dobrej jakości. Styki też.

    • @Piotr Konieczny – no i gdzie ten klucz i jego zdjęcie???

    • @Piotr Konieczny – i gdzie to zdjęcie klucza?

  7. “A co, jeśli zgubię klucz U2F?”

    Fajnie jak masz backup :) A co jak nie mam? Czy to oznacza że już nigdy się nie zaloguję?

    • No a jak? Przecież nie chciałbyś żeby przestępca mógł zalogować się bez klucza!
      Praktycznie każda usługa wyraźnie sugeruje, żeby np. zapisać sobie kod awaryjny.

    • Do wielu usług możesz sobie jeszcze wydrukować kody jednorazowe lub inne paperkeye do umieszczenia w sejfie. Raczej podstawą przy 2FA/MFA jest nie polegać tylko na jednej opcji ;-)

  8. Szkoda, że banki w Polsce tego nie wspierają. Jakby nie to bym zakupił ten klucz dużo wcześniej, bo mi brakowało tego czegoś co by mnie ostatecznie przekonało do zakupu klucza.

  9. Po zalogowaniu do googla czy banku widzę swój awatar czy wybrany przez siebie obrazek. Banalny sposób na sprawdzenie czy wchodzę na oryginalną stronę…

    • Ale całkowicie nieskuteczny.

    • 1. A co jeśli zgubię klucz Yubikey 5 na którym mam SSH i PGP a jako backup kupiłem tańszy, niebieski Security Key?

      2. Z jakimi menadżerami haseł na Androidzie współpracuje niebieski klucz i jak sprawdzić, czy będzie działać na moim modelu telefonu?

    • Jeśli złodziej dobrze napisał podrobioną stronę, to po wpisaniu przez ciebie loginu ustawi na niej ten sam obrazek, który zobaczy u siebie na prawdziwej stronie banku, kiedy wpisze twój login (albo zrobi to automat, żebyś nie zauważył zbytniego opóźnienia). No i zonk :)

  10. Myślę, że warto dodać, że poza ochroną przed phisingiem klucze u2f umożliwiają aktywację ochrony zaawansowanej google, a to daje nam dodatkowe korzyści jak blokada instalacji aplikacji z nieznanych źródeł (nawet jak się zaznaczy w uprawnieniach zgodę na instalację aplikacji z zewnętrznego źródła to wywali błąd, że ochrona zaawansowana to zablokowała) co daje sporą szansę na to, że nieświadomy użyszkodnik nie zainstaluje sobie jakiegoś trojana bankowego czy innego syfu. Dodatkowo wymusza skanowanie aplikacji przez google protect. Oczywiście nadal można pobrać syf ze sklepu play, ale przy instalacji “mniej bezpiecznej” aplikacji mamy kolejny komunikat, że ochrona zaawansowana radzi nie instalować danej aplikacji.

    Jeśli chodzi o cenę takiego klucza to jest dość wysoka, ale tak na prawdę można kupić 2 klucze (jak ktoś się uprze to i 1 wystarczy, bo drugim kluczem może być smartfon) i używać ich może cała rodzina. Każdy do swojego konta. Każdy też swój smartfon z androidem może zarejestrować jako klucz bezpieczeństwa i później praktycznie wcale nie trzeba używać fizycznych kluczy. (logowanie przebiega inaczej niż standardowe potwierdzenie w google, bo urządzenia muszą połączyć się przez bluetooth, wiec dalej jesteśmy chronieni przed phisingiem). W ten sposób właśnie korzystamy i fizyczne klucze są tylko na awaryjne sytuacje jak zmiana smartfona na inny :)

    PS: Przy sposobie ze smartofnem jako klucz jak na jakimś urządzeniu nie ma bluetooth to jest możliwość logowania przez podanie kodu, tu jak dla mnie +jeśli chodzi o wygodę, ale ogromny

    Ogromna szkoda, że żaden bank tego nie oferuję chętnie bym taki klucz podpiął do konta jako kolejny składnik wymagany do logowania. Do potwierdzenia w aplikacji też by się nadał – ustawić że od danej kwoty wymagana dodatkowa autoryzacja kluczem i w aplikacji mobilnej banku wyświetliła by się informacja tak jak obecnie co potwierdzamy wraz z prośba o wpisanie kodu PIN + DODATKOWO przyłożenie klucza nfc do smartfona. W takiej sytuacji nawet jak damy się namówić na instalacje trojana czy damy zdalny dostęp do telefonu żadnej sporej kwoty z konta by się skradziono. No chyba, że ktoś by się dał namówić i przyłożył jeszcze klucz do smartfona.

  11. Jak na koncie microsoft dodać klucz U2f, tak aby żadne dane nie zostały zapisane na kluczu (tzn. żeby dalej było normalnie wymagane hasło podczas logowania) ?

    Co do wp/o2/onet to niby u2f obsługują, ale już w takim thunderbirdzie z tego nie skorzystamy, więc pozostają jakieś mniej bezpieczne hasła jednorazowe. Tutaj gmail jest wzorem, bo w thunderbird nie trzeba żadnego hasła wpisywać tylko otwiera się strona google, na niej wpisuję się normalnie hasło, a następnie dotyka klucza u2f.

    Z kolei facebook niby u2f wspiera, ale nie na każdym urządzeniu, więc tak na prawdę i tak trzeba mieć “słabszą” metodę ustawioną jako dodatkową. Np messenger lite nie obsługuje klucza (a przynajmniej mnie zawsze prosi o jednorazowy kod i nie ma opcji z kluczem)

  12. Nie ma obsługi rożnych usług z gov pl ani polskich banków więc ani to przymus ani to mus. A chmurowego, youtubowego, firmowego życia nie prowadzę więc to nie dla mnie :(

    • Jeśli nie da się do nich zalogować z pominięciem sso przez Google to tak.

    • Największy ból to brak wsparcia U2F w bankach… absolutnie karygodne, tym bardziej, że każdy bank wymaga 2FA z wykorzystaniem SMS, co woła o pomstę do nieba.

      Panie Piotrze, może przydałyby się jakieś coroczne wywiady z bankami na ten temat, zawsze to jakaś presja prasy :P

  13. Czy korzystanie z klucza zwiększa bezpieczeństwo „zaloguj za pomocą Google/Facebook/Microsoft” właściwie pytanie powinno brzmieć. Zakładając że moje konto na googlu (dla przykładu) mam chronione kluczem, to wybieranie „zaloguj za pomocą konta Google” w jakiś istotny sposób zwiększa moje bezpieczeństwo w serwisach które to umożliwiają a nie umożliwiają stosowanie klucza u2f.

  14. Trochę martwi mnie ta immamentna fizyczność i nieskalowalność tego rozwiązania.

    Gubię rzeczy. Pasjami. Wyobrażam sobie, że warto mieć 2-3 klucze. Jeden przy sobie, drugi w domu, trzeci gdzieś bezpiecznie zdeponowany może.

    Ale problem jest przy zakładaniu nowego konta, które chcę zabezpieczyć. Muszę manualnie przeiterować się trzema fizycznymi kluczami przez każde nowe konto.

    A wydaje mi się, że skoro klucze są konfigurowalne, mogą przechowywać klucze ssh iTd, to mogłyby pozwolić na używanie “pęku kluczy” – “dodaj jeden, by działały wszystkie”.

    Jest taka możliwość, choćby teoretycznie wg standardu?

    • Z tego co pamiętam klucze można duplikować nadpisując oryginalne (wpisane przez producenta), np. w przypadku Yubikeyów można z commandline pyknąć komendę:
      https://docs.yubico.com/software/yubikey/tools/ykman/OTP_Commands.html#ykman-otp-chalresp-options-1-2-key
      Co prawda sprawi to że nie będą one znane serwerom walidującym producenta (trzeba im potem ewentualnie wysłać). Nie jest to problem jednak, bo zwykle konta wiąże się bezpośrednio s kluczem i tyle.

      Super rozwiązanie to na jednym slocie klucza ustawić jakiś static password, a na drugim slocie challenge-response.

      Jest jeszcze legacy tool “Yubikey Personalization Tool”, działa jeszcze z obecnymi kluczami. Miał spoko interfejs i batch-mode do programowania wielu kluczy po kolei (https://www.yubico.com/support/download/yubikey-personalization-tools/), sam nim nawet klepałem swoje. Taki zaawansowany Yubikey Manager (a co za tym idzie mniej zrozumiały).

      Co do pytania o konfigurowalność i przechowywanie kluczy, niestety tak “na pałę” to nie będzie działało, każdy soft indywidualnie musi wspierać obsługę klucza, to po pierwsze, a po drugie to sam klucz nie działa jak “pęk kluczy”, a raczej konkretne rozwiązanie które jest zastosowane na danym slocie.

      Klucz fizyczny z założenia ma tylko i wyłącznie weryfikować prawdziwość (aka obecność faktycznego użytkownika), dlatego z definicji jest write-only, np. w przypadku OTP. (przy static password to kompletnie się mija z celem, bo po użyciu wypluwa plain text).

      Klucz ma być bezpieczny i zapewniać wiarygodność, elastyczność w rozumieniu skalowalności rozwiązania prowadziłaby do niepotrzebnych dziur którym owe urządzenie ma zapobiegać właśnie.

  15. Co myślicie o kupowaniu używanych kluczy? Są jakiekolwiek argumenty przeciw poza tym, że ktoś mógł fizycznie umieścić w nim jakiegoś backdoora?

    • Ja kupiłem używkę. Zdezynfekowałem i umyłem “Ludwikiem”. Używam – działa jak nowy.

  16. Nie da mi to teraz spokoju przez całe święta, dlaczego wyblurowaliście 3 paznokcie na samym początku filmu? xD nawiązanie do japońskiego porno ? :p

  17. Dlaczego Piotr ma ciągle tą siwiejacą brodę – wygląda jak dziadek!

    • Bo lubię :)

    • W Wigilię Piotr będzie dorabiał jako Święty Mikołaj. Sztuczna broda to zbyt poważna inwestycja więc pozostaje naturalny zarost. Wszystko przez to, że interes kiepsko idzie ;-)

  18. Uzywam U2F i nigdy, przenigdy nie wynosze go z domu. Uzywam go tylko i wylacznie tam, gdzie wymagany jest wysoki poziom bezpieczenstwa, podobie jak do banku uzywam tylko i wylacznie tokena sprzetowego.

    Przy okazji: kpina jest, ze do dzis, wlasciwie w roku 2022, zadna polska rzadowa instytucja nie wdrozyla 2FA opartego na kluczach U2F lub FIOD2. Znow wyraznie widac, ze tak naprawde, bezpieczenstwo nikogo nie obchdzi, to tylko medialne bicie piany na zasadzie: przeciez ostrzegalismy ale jednoczesnie NICZEGO nie zrobilismy, aby podniesc poziom bezpieczenstwa – bo to kosztuje, a bicie piany jest za darmo. To jest robienie glupich z ludzi.

  19. Pytanie do redaktora :
    Co w momencie kiedy padniemy atakowi na serwer DNS , wtedy kiedy wpiszę adres poprawny strony a strona przeniesie mnie do strony która nie będzie prawdziwą stroną czy u2f też mnie wtedy uchroni?

    • Myślę, że jeżeli zostanie podmieniony/przekonfigurowany DNS to i tak komunikacja pomiędzy kluczem a serwerem, do którego miałeś pla się zalogować nie wypali. W przypadku podmiany DNS i sprytnego sklonowania strony docelowej padniesz ofiarą phishingu, ale w momencie ręcznego wpisywania OTP lub prawdopodobnie (bo nie sprawdzałem) KeePassXC z wtyczką np. do Chrome wpisze klucz OTP. Czyli podasz atakującemu klucz, który przez 30 sekund (chociaż często 1 min) będzie aktywny.
      Reasumując, w mojej opinii klucz 2FA Yubi nie da się zrobić w konia :) Jednakże chętnie poczytam inne opinie, bo faktycznie jest to świetne pytanie Marku. No i podmiana DNS nie jest zjawiskiem oklejonym od rzeczywistości a nawet dość popularnym :)

    • A to dość stary numer z tym DNS, swego czasu była afera z przejmowaniem pewnych routerów które miały otwarty interfejs WAN, automatyczny skrypt właśnie logował się i zmieniał DNSy. Potem pamiętam był też numer z logowaniem od strony LAN uruchamiając sprytny javascript na www zakładając że użytkownik nie zmienił hasła domyślnego…

  20. Co jeśli mam jeden klucz i go zgubię? Dostanę się do serwisów?

  21. Z tego co udało mi się wyczytać to ma je Milenium, ale niestety tylko dla przedsiębiorstw. Chociaż nie dziwię się, bo owszem zapewnia on spore bezpieczeństwo to jednak jest niewygodny, bo trzeba go mieć przy sobie aby cokolwiek autoryzować :/ Klucz u2f jak się przypnie np. do kluczy czy włoży do portfela to tego problemu nie ma, bo wtedy taki klucz ma się zawsze przy sobie.
    Chociaż jak na konto na jakieś oszczędności, z którego nie wykonujemy często płatności to taki token sprzętowy to świetna sprawa by była, znacznie mniejsza szansa by była na utratę środków z tak zabezpieczonego konta. Albo dla osób które z bankowości korzystają tylko w domu, wtedy taki token ma sens.

  22. WP to żenada. Ostatnio pisałem do ich supportu żeby zrobić test – jak łatwo będzie komuś z zewnątrz przejąć moje konto. I zadali mi pytania o datę rejestracji konta – podałem w przybliżeniu rok. Okej – to pytanie może być trudne, ale można im napisać że “nie pamiętam” i pewno też puszczą dalej. Potem było pytanie, czy miałem chociaż raz aktywne konto płatne czy nie – wiadomo, że 99% nie ma płatnego konta. Trzecie pytanie było o adres IP logowania, który WP dołącza do każdego wysyłanego maila (przynajmniej tak było do niedawna). Wyłączyli zupełnie weryfikację dwuetapową. Stąd powiedziałem im wprost, że jeśli nie można zastrzec takiej opcji resetowania 2FA/U2F – to niech się wypchają i poszedłem na Gmaila. Niby jest weryfikacja dwuetapowa, ale jeśli ktoś chce to i tak się dostanie. Nie weryfikują niczym – nawet nie można sobie ustalić specjalnego hasła bez którego podania nie ma opcji resetu hasła/wyłączenia weryfikacji dwuetapowej. Ogólnie nie polecam tej poczty jeśli zależy nam na bezpieczeństwie. Gmail / Tutanota / Proton / Outlook – z tej czwórki korzystałem i polecam każde. Główne konto mam na Gmailu i nikt nigdy mi się nie włamał. Na WP już tak spokojnie spać nie mógłbym iść, bo wiadomo – ich support resetuje weryfikację jak leci – po odpowiedzi na kilka prostych pytań, do których odpowiedzi można znaleźć zapewne w internecie w wielu wyciekach. Żenada.

  23. Pytanie: Czy klucze chronią również przed zalogowaniem się przy użyciu podstawionej maszyny, że spreparowanymi certyfikatami Root CA (man-in-the-middle)?
    Na marginesie to jest często spotykane w korporacjach które podsłuchują w ten sposób pracowników korzystających np z FB.

    • Zacytuje kogos, kto w tym siedzi:

      “I share your global feeling about U2F being a good job even if it is an half-done job. :) Note: I am working as a security architect inside a small company (FIDO Alliance member) with its own U2F certified products.

      Regarding expiring TLS ChannelID support, it is supposed -eventually- to evolve into Token Binding support (updated specifications, same goal). https://datatracker.ietf.org/doc/draft-ietf-tokbind-https/ Yes, it is not easy to implement TlS Channel ID on the server side (BoringSSL library can help) and yes it is only supported by Chrome on the client side and yes, it can be downgraded… BUT the good thing is that if you are thinking about using U2F on your own server/service, it can still be done and you can enforce it. Better than nothing while it is true that on many global services (gmail, facebook…), TLS Channel ID protection is simply deactivated.

      Regarding the key pinning debate and why the server authentication part is relying on good/bad old SSL server certificate, the original decision is probably a mixed result of technical difficulties and “political” positioning. U2F (and UAF) already attacks established Certificate Authorities on the client side… Note : these are anonymous client key pairs but associated attestation/production certificates can be signed by FIDO Alliance private keys (becoming its own Certificate Authority…).

      Dealing with mutual authentication would require larger memory too… I don’t care, but it can be a problem for some solutions providers.

      Whatever the initial real reason, it is not done and as far as I know, this kind of feature is not planned for future U2F releases… and not planned either for WebAuthN (kind of U2F/UAF successor).

      But it doesn’t mean U2F can’t be adapted to support enhanced mutual authentication feature… I am working on it with few other fools: Welcome to our madness :)”

      Podsumowujac: sprawa rozbija sie o implementacje, czyli znow o pieniadze.

  24. Czy jeśli użyje się jednego klucza do dwóch kont, to serwis może określić po kluczu, że oba te konta należą do tej samej osoby?

    • Teoretycznie nie, dlatego tak wazny jest otwarty kod zrodlowy klucza, bo jesli cos tam jest zaszyte… I dlatego Yubico tak czesto znajduje sie na czarnej liscie.

  25. Czy jest jakieś techniczne ograniczenie standardu dla tego typu kluczy, że nie można go wdrożyć np. w smartfonach z połączeniem BT? Zdaje się, że Google oferuje coś podobnego, ale tylko dla swoich usług (nie mylić z Authenticatorem). Czy nie da się tego rozszerzyć niskim kosztem? A może chodzi o lobby producentów kluczy?

  26. Szkoda, że podstawą przyciągania uwagi do tematu staje się jak najgłupsza mina w zdjęciu do filmu na Youtube :( To chyba wpływ nastoletnich steamerów

  27. Ciekawe.. że banki nie chcą wspierać zabezpieczeń autoryzacji… że operatorzy gsm nie chcą wyłączyć linków w smsach… że w Łebie naładowali bankomat kasą, po sezonie a później ktoś rozwalił bankomat… same przypadki

  28. Właśnie dostałem pod choinkę taki klucz.

    Jestem mocno rozczarowany – dla mnie całkowicie bezużyteczny i upierdliwy w użytkowaniu.
    1. trzeba cały czas go mieć przy sobie, pracuję na wielu komputerach więc muszę go mieć zawsze przy sobie – dodatkowo blokuje port USB – nie zawsze jest wolny port, a może się zdarzyć że trzeba będzie użyć na sprzęcie gdzie poty USB są zablokowane
    2. nie działa z bankami
    3. Mam klucz NFC ale akurat w 6 telefonami jakimi się posługujemy (w domu i w firnie) z żadnych nie współpracuje (moze akurat ma jakąś wade), a ja głównie potrzebuję do poczty na urządzeniach mobilnych więc najbardziej wskazane by było korzystanie z tego klucza przy urządzeniach mobilnych
    4. nie działa z krytycznymi portalami których używam (głównie Protonmail – resztę pomijam)

    Wsparcie ze strony yubico – nie istnieje. Próbowałem się czegoś dowiedzieć wysyłając maila ,ale zero odzewu z ich strony.

    Podsumowując – idzie do “śmietnika” bo Niebezpiecznik nie przyjmuje zwrotów (może lepiej było kupić w innym sklepie)

    I co dziwne, chciałem sprezentować to w dziale informatyki – żaden z informatyków nie był zainteresowany.
    Może jak ktoś pracuje tylko na jednym jedynym urządzeniu to będzie się sprawdzać, ale polecam przemyśleć ergonomię użytkowania tego zabezpieczenia.

    Moja żona jak patrzyła jak się męczę z konfiguracją to sama powiedziała abym to wyrzucił i wybrał sobie inny prezent.

    A jeszcze trzeba telewizor zmusić aby jakoś działał z usługami wymagającymi logowania się. Ciekawe czy się to uda.

    • Nie mam pojecia co dostales pod chinke, ale nie jest to klucz U2F lub tez nie potrafisz z niego krzystac. Juz sam fakt, z “blokuje port USB” jest komiczny, przeciez te klucze wkladasz tylko na chwile autoryzacji i pozniej musisz wyciagnac, aby przeladowaly sie (chyba, ze jest fizyczny przycisk).

      Co do Protonmail to mylisz kolejnosc: to nie klucze nie dzialaja z Protonmail, lecz Protonmail nie dziala z kluczami – takie niby “bezpieczenstwo” dla frajerow. Np. Fastmail ma pelne wsparcie U2F.

      Podsumowujac, przyznaj sie, nie masz najmniejszgo pojecia u kluczach U2F, prawda?

    • No może się nie znam, jestem prostym człowiekiem.
      Ale na woreczku jest napisane “Niebezpiecznik” a na kluczu UBIKEY NFC kolor niebieski.
      Szukałem na dostarczonej instrukcji – a zaraz – nie ma żadnej instrukcji.
      Więc tak, przyznaję, nie wiem jak używać. Niech tak będzie.
      Po podłączeniu do portu USB otrzymuję komunikat – port USB zablokowany przez administratora systemu. Skontaktuj się z działem IT.

      Jeśli chodzi o blokowanie – no tak – wsadziłem klucz do USB i kurde nie mogę podpiąć myszki w to samo miejsce :-). To znaczy “blokuje port USB.
      Pewnie większość nie ma takich problemów, szkoda że mi się przytrafił.

    • @maveric Wybacz facet, ale nie masz pojecia o czym piszesz. Co ma blokada portow USB przez admina domeny do kluczy U2F? I przy okazji: nie wiem co chcesz zrobic z jednym kluczem, np. nawet w Google go nie aktywujesz, wymagane sa minimum dwa.

  29. Proste pytania, może głupie, ale chciałbym się upewnić przed zakupem:
    Czy jak kupię dwa klucze, da się zrobić tak, żeby jeden był moim głównym, a drugi zapasowym, a u żony odwrotnie? Albo żeby ten sam klucz był dla mnie i dla niej głównym, a drugi zapasowym. A czy jak kupię trzy klucze, to czy możemy mieć osobne główne i wspólny zapasowy?
    Bardzo dziękuję za odpowiedzi!

  30. Nie wszędzie da się dodać drugi klucz, np. konto Onet pozwala na użycie tylko jednego.

  31. Czy klucze U2F działają ze smartfonami?

    Tak, działają i w przeglądarce i w aplikacjach: o ile ich twórcy włączyli obsługę kluczy. Do niektórych Androidów klucz można podpiąć po USB, a do iPhona przez złącze Lightning, ale zazwyczaj wystarczy zbliżyć klucz do obudowy smartfona, bo większość kluczy wspiera komunikację po NFC.

    To obsługują czy nie ?

    Ryan (Yubico)

    Dec 28, 2021, 7:23 PM GMT+1

    Thank you for contacting Yubico support.

    Unfortunately, our (blue) Security Keys are not compatible with Yubico Authenticator, because they lack the OATH applet that our YubiKeys have, which is where the authenticator code “secrets” get stored.

    In case it helps, please see our comparison chart that shows which features our blue Security Keys have.

    Have a lovely day and please let me know if I can be of further assistance, thank you!

    Best,

    Ryan | Customer Support Specialist

    • Ale dlaczego do tematu obsługi kluczy U2F podpinasz wątek z Yubico Authenticator?

  32. Manager haseł, menedżer itp. Ale jak baaardzo mi się marzy taki fizyczny jeden(drugi zapas) „pęk kluczy” od banków, po maile a autoryzacje odciskiem palca i to bez wciskania w port usb tylko NFC. Takie fizyczne klucze mają duży potencjał do wykorzystania.. np szyfrowanie załączników (RODO)czy tam urzędowe papiery.

  33. […] …nie zaszkodzi ustawić dwuetapowe uwierzytelnienie gdzie tylko jest to możliwe, aby atakujący po pozyskaniu samych haseł w wyniku infekcji prostym “stealerem” nie był w stanie dostać się na żadne z kont (a najlepiej by to dwuetapowe uwierzytelnienie to był klucz U2F). […]

  34. Czy pozostawienie przeglądarki zaufanej, gdzie nie wymagany jest klucz przy kolejnym logowaniu to dobry pomysł?

  35. Na czym polega różnica pomiędzy Yubikey C NFC a Yubikey 5C NFC ?

  36. Nie jest prawdą, że onet wspiera te klucze. Kupiłam i od kilku dobrych miesięcy zgłaszam onetowi, że nie mogę zabezpieczyć konta tym kluczem. Niby coś próbowali robić, ale po trzeciej próbie zamilkli, a konta dalej się nie da zabezpieczyć.

  37. Klucze kupiłem już dawno, ale obejrzałem filmik i zgodnie z radą Piotra postanowiłem pousuwać inne, słabsze sposoby zabezpieczania kont.

    Na pierwszy ogień poszło konto Microsoft – i tu od razu zonk: mianowicie można oczywiście dodać klucz (kilka kluczy chyba też), ale nie można wyłączyć potwierdzania kodami wysyłanymi mailem lub SMSem – mogę co najwyżej zmienić numer telefonu i adres mailowy. Co więcej przy logowaniu, Microsoft domyśnie podpowiada użycie kodu z maila lub z SMSa, żeby użyć klucza trzeba trochę poklikać.

    Więc cały misterny plan bierze w łeb – co z tego, że mam klucz (lub nawet kilka kluczy), jeśli nie da się wyeliminować najsłabszego ogniwa.

    Co robić?Jak żyć? No chyba, że ogarnęła mnie jakaś pomroczność i po prostu nie widzę opcji, jak te maile i SMSy z kodami wyłączyć.

  38. Słuchajcie czy możecie mi wytłumaczyć dlaczego polskie banki nie chcą wprowadzić kluczy bezpieczeństwa. Czy nasze banki mają jakiś interes w tym, żeby nas okradano.

    • ING niby coś tam robi: https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/U2F/m-p/33517

      Ale pewnie nieprędko to wprowadzą.

      Może niebezpiecznik mógłby bezpośrednio poprosić o komentarz poszczególne banki czy i kiedy wprowadzą klucze U2F ?

    • Dostałem wiadomość od ING:
      28 maja 2023 r. zmieniamy nasz Regulamin świadczenia usług Systemu bankowości internetowej ING Banku Śląskiego S.A. (dalej: regulamin). Wprowadzamy zmiany, aby usprawnić nasze produkty i dostosować się do regulacji prawnych.

      Na czym między innymi polegają zmiany w regulaminie:

      wprowadzamy dwuetapowe logowanie do Systemu bankowości internetowej. Będą Państwo mogli używać klucza sprzętowego, aby potwierdzać swoją tożsamość,

      Więc coś zmierza w dobrym kierunku.

  39. Napisałem prośbę do Allegro żeby też dodali możliwość używania kluczy U2F.

    Więcej tutaj: https://spolecznosc.allegro.pl/t5/zg%C5%82o%C5%9B-sw%C3%B3j-pomys%C5%82/zabezpieczenie-konta-allegro-kluczem-u2f/idi-p/306215

  40. […] zwraca, że nasi cyberżołnierze mają masę różnego sprzętu. Deszyfratory, HSM-y, Maltego, klucze U2F (brawo!), a także prawie każdy możliwy program antywirusowy na […]

  41. Czy można dodać do klucza certyfikat ezla żeby podpisywać dokumenty np w gabinet.gov.pl? Ktoś coś wie?

  42. Szkoda, że nie ma zestawów – np. 2 albo 3 klony tego samego klucza. Bardzo by to ułatwiło życie i nie trzeba by było bawić się w dodawanie kilku różnych.

  43. Witam
    Pytanko jak się ma klucz U2F w stosunku do systemu biometrycznego (odcisk palca) w MacBook Pro na M1 który aby podpowiedzieć hasło z pęku kluczy wymaga dodatkowo odcisku palca, czy też w iOS podobnie odcisk palca czy skan twarzy?
    Pozdrawiam

  44. Cześć,
    A jak to jest z tym kluczem w przypadku, gdy podłączymy go do zainfekowanego komputera? Nie jest w stanie zrobić kopii binarnej tego klucza, żeby stworzyć drugi taki identyczny?

    • Nie, część pamięci jest typu Write Only i wykonanie kopii klucza jest niewykonalne.

  45. A na ile (nie)bezpieczne jest używanie klucza kupionego np. na popularnym portalu aukcyjnym? Czasem są mega promocje i jeden czy drugi „Janusz” kupi więcej i potem odsprzedaje. Ale czy fabrycznie zapakowany klucz YubiKey kupiony w ten sposób może być jakkolwiek niebezpieczny? Yubico chwali się, że nie da się nawet firmware zaktualizować na takim, właśnie ze względów bezpieczeństwa.
    Więc pytanie czy istnieje jakieś ryzyko, że z kluczem będzie coś nie tak?

  46. Jak skonfigurować klienta pocztowego Thunderbird do ozywania klucza U2F?

  47. Zacząłem mieć wątpliwości czy to takie fajne.
    Na Onet poczcie dodałem klucz.
    Teraz, po jakiś czasie próbuje się tam zalogować, i co , i nic, dostaję komunikat że ten klucz nie jest zarejestrowany z tym serwisem.
    To porażka jakaś jest.
    Dodam że można tam było zarejestrować tylko jeden klucz.
    Teraz pewnie czeka mnie droga przez mękę żeby odzyskać dostęp do konta.

  48. Hej, potrzebuje potwierdzenie odnośnie działania kluczy – klucz chciałbym używać do kilku urządzeń i do kilku kont na tej samej stronie (np Google, Facebook, YouTube itd) – klucz nie jest przypisany tylko do jednego użytkownika?

  49. Czy mogę mieć we własnym Facebooku oraz na Instagramie włączoną opcje przywracania oraz resetowania konta na Gmailu?
    Czy jest jakaś metoda, aby mieć włączoną opcję resetowania oraz przywracania konta Facebooka oraz Instagrama za pomocą resetu konta dzięki gmailowi bez obawy wykradzionych danych z gmaila na moim koncie?
    Po co należy podać własny URL w komentarzu jak jest możliwości napisania własnego emaila?

  50. Czesc,

    Czy znacie moze metode usuniecia uwierzytelnienia za pomoca aplikacji na innym urzadzeniu ? Np. youtub byta czy to Ty sie laczysz …

    Pozdrawiam

  51. Kupiłem 2 klucze…ale szczerze…przejrzałem wszystkie serwisy z których korzystam i okazało się, że mogłem go wykorzystać do facebooka, google i do konta Microsoft. Nikt inny nie wspiera takiego cuda więc jest to dla mnie przerażające, że do tej pory nie jest to powszechne. Niestety nieco niedokładnie opisaliście w którymś filmiku że można logować się do Windowsa…no nie do końca – zabrakło informacji że tylko jeśli posiada się konto lokalne… korzystam z konta microsoft przez co klucz jest bezużyteczny przy logowaniu :(

    Fajny pomysł ale generalnie nie mam do czego go używać. :(

  52. Cześć

    mam pytanie dot. używania klucza U2F w sytuacji kiedy chcę odbierać pocztę ( konkretnie onet ) w aplikacji MS Outlook na komputerze oraz aplikacji GMAIL na Android. Po dodaniu klucza sprzętowego nie mogę pobierać poczty. Co w tej sytuacji ?

    Z góry dzięki za pomoc.

  53. Wystarczy zachować lekką czujność, a przede wszystkim nie używać windowsów i nie będą potrzebne żadne cuda.

  54. Zaktualizujcie proszę artykuł – ING już oferuje zabezpieczenie konta kluczem U2F (https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo/klucze-zabezpieczen-u2f)

  55. Co z sytuacją gdzie na jednym urządzeniu (komputerze) jest kilka kont użytkowników Windows oraz oczywiście każdy ma swojego gmaila i logowanie do innych serwisów.

    1. Czy wtedy można mieć na stałe wpięte np. 2 klucze w porty USB?
    2. Czy faktycznie wystarczy dokonać autoryzacji na komputerze tylko raz, a potem każdy wypina swój klucz i tyle..?

  56. Czy do konta google można dodać dwa klucze? Jeden główny i drugi w razie np. zgubienia tego pierwszego?

  57. Czy klucz ma ograniczenie ilościowe do ilu portali można go dodać?

Odpowiadasz na komentarz Dominik Mierzwa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: