Co to jest YubiKey? Jak zabezpieczyć się przed phishingiem?

Po co mi YubiKey? Jak się tego używa? Czy muszę coś instalować? Jaki klucz wybrać i czym różni się "klucz czarny" od "niebieskiego"? Ile kluczy muszę kupić i czy potrzebuję osobnego urządzenia do telefonu? Gdzie on działa i czy wspiera wiele stron/kont/serwisów?

KacperSzurek z dodany: 10.05.2022, 06:05:12

161
Odpowiedz

Komentarze (161)

najlepsze

menmikimen

10.05.2022, 12:03:36 via Wykop Mobilny (Android)

Jak wygląda proces jakbym miał 2 takie cosie, jeden by mi się zgubił/zepsuł i potrzebowałbym duplikat?

rafal366

10.05.2022, 12:10:13 via Wykop Mobilny (Android)

@menmikimen: podpinasz wszędzie 2 klucze. Jak zgubisz jeden, to odpinasz zgubiony i korzystasz z zapasowego, dokupując następny po czym go podpinasz i znowu masz 2

KacperSzurek

10.05.2022, 14:08:08

@menmikimen: Nie da się skopiować danych z jednego klucza na drugi ze względów bezpieczeństwa.
Musisz wszędzie dodać nowy klucz.

t.....i

konto usunięte 10.05.2022, 11:55:34

Szkoda, że na razie mało usług to wspiera. W usługach związanych z IT jest już całkiem nieźle, ale banki (przynajmniej polskie) jeszcze tego nie wspierają.

PustyCzlowiek

10.05.2022, 14:25:36

Menadżer haseł i klucz prywatny w formie pliku do domowych zastosowań w zupełności wystarczy. To bardziej rozwiązanie dla małych firm i osób, które często podróżują lub korzystają z różnych komputerów. Chyba, że to ma komuś dać spokój ducha, to może warto.

predicat

10.05.2022, 14:20:07 via iOS

Były po 40zl…

KacperSzurek

10.05.2022, 14:29:38

@predicat: Tak, ale dawno temu i to wersja bez NFC.

A.....o

konto usunięte 10.05.2022, 14:11:48

Warto dodać że sprzętowe portfele kryptowalut (np. Trezor) rówinież posiadają obsługę tego standardu, plus wygodny manager haseł do witryn nie wspierających FIDO

undsame

10.05.2022, 13:24:57

z tego co było mówione to yubikey > push bo przy push można komuś powiedzieć kody etc więc niewyobrażam sobie żebym dał sie tak podjeść. Bardziej bym się bał że ktoś wyrobi duplikat sim

m.....s

konto usunięte 10.05.2022, 17:26:33

Co do push - to nie tyle powiedzieć co po prostu przez przypadek/nieuwagę zaakceptować cudzą prośbę o zalogowanie.

@KacperSzurek: w pushu można zaimplementować dodatkowe zabezpieczenie w postaci wyświetlenia odpowiedniego kodu/frazy na ekranie komputera z komunikatem kliknij w ten kod w aplikacji, a w aplikacji na telefonie wyświetlić ten kod ale też wyświetlić kilka innych losowych. Zestaw Outlook.com + Microsoft Authentictor tak działa. Strona mówi "kliknij w liczbę 64 w telefonie",

KacperSzurek

10.05.2022, 17:32:24

@medevacs: Ale nadal masz szansę 1/3.
Ciekawostka - grupa DEV-0537 wykorzystywała właśnie tą technikę aby dostać się do firm. Tutaj raport od Microsoftu.

The actors behind DEV-0537 focused their social engineering efforts to gather knowledge about their target’s business operations. Such information includes intimate knowledge about employees, team structures, help desks, crisis response workflows, and supply chain relationships. Examples of these social engineering tactics include spamming a target user

A.....i

konto usunięte 10.05.2022, 12:32:37

Litości, dłuższego się nie dało?

KacperSzurek

10.05.2022, 14:05:11

@Acri: A ile według Ciebie powinien trwać taki materiał?
Jeśli nie masz czasu na oglądanie to tutaj jest skrót - w formie artykułu.
Przez 15 minut jest demo. Potem przez 40 minut odpowiadam na 40 najpopularniejszych pytań.
A na koniec przez 30 minut odpowiadam na pytania z czatu.

cesanne303

11.05.2022, 13:58:22

tutaj jest skrót - w formie artykułu.

@KacperSzurek: fajne. bardzo informatywne. dzieki. PS: na x-kom mozna kupic, choc pewnie niewiele osob na wykopie odwazyloby sie ich polecic ;)

yhbgrobdoivbvwamsv

10.05.2022, 12:13:47 via iOS

Nie mam dwóch godzin ale czy to dalej wymaga serwerów yubi do działania?

Makro1993

10.05.2022, 12:18:40 via iOS

@yhbgrobdoivbvwamsv: FIDO2 nigdy nie wymagało serwerów zewnętrznych do działania.

KacperSzurek

10.05.2022, 14:06:01

@yhbgrobdoivbvwamsv: Pamiętasz stare czasy Yubico OTP.
Teraz większość stron przerzuciła się na U2F/FIDO2 - a tutaj nie jest wymagany kontakt z serwerem producenta.

lofix

10.05.2022, 11:47:31

Yubikey + KeepassXC polecam do trzymania haseł...

czosnkowy_wyziew

10.05.2022, 21:31:10 via Wykop Mobilny (Android)

@git-reset-hard-head: KeePass ma do tego wtyczkę. Poza tym nie jestem przekonany czy to dobry pomysł trzymać loginy, hasła i kody 2FA w tej samej bazie. Wolę hasła w KeePassie na kompie, a kody generować w andOTP na telefonie.

AlKaczone

11.05.2022, 10:19:28

@lofix: szkoda tylko, że na macu nie wykrywa yubikeya

szlovak

10.05.2022, 12:58:23

-1

Patrzyłem to ustrojstwo i nie ma to podstawowej funkcji w niektórych czy podstawowych wersjach sprzętu jak zwykłe przechowywanie haseł. Podstawowa funkcja to uwierzytelnienie dwustopniowe czy jak to się nazywa. Nie do wszystkiego potrzeba takiego czegoś, a wręcz nie jest możliwe uruchomienie tego bo nie jest wspierane.

Co to jest YubiKey? Jak zabezpieczyć się przed phishingiem?

Hity

Funkcjonariusze pobili na stacji benzynowej mężczyznę z chorobą Parkinsona.

Bananowy syn właścicieli "Agmaz" chwali się jazdą +270km/h

Prezes Naczelnej Izby Lekarskiej odmawia ujawnienia zarobków.

Patologiczni policjanci zmyślili prawo i brutalnie je na mnie egzekwowali!

76 osób na jedno miejsce na dermatologię, 65 na endokrynologię

Powiązane tagi