@mirko_anonim: Yubikey ochroni Cię przed:
- Phishingiem, czyli próbami nakłonienia Cię byś zalogował się na fałszywej stronie logowania. Gdy wejdziesz przez przypadek na wyPOk.pl zamiast na wyKOp.pl (albo ktoś Ci celowo podeśle takiego linka) i spróbujesz się zalogować danymi do wykopu, atakujący nie będzie w stanie się zalogować nimi do wykopu, ponieważ Twój yubikey, widząc że w przeglądarce wszedłeś na wyKOp.pl wygeneruje klucz który zadziała tylko dla wyKOp.pl.
- Atakami MITM (czyli man in the middle, ktoś stojący między Tobą a właściwą stroną do której się chcesz zalogować i podsł#!$%@?ący lub nawet modyfikujący ruch) ponieważ yubikey do działania wymaga szyfrowanego połączenia, a dodatkowo wygenerowany klucz jest łączony z konkretną sesją szyfrowania między Tobą a stroną. By atakujący mógł podsłuchiwać szyfrowaną łączność, musiałby po pierwsze posiadać certyfikat poświadczający, że jest domeną np. wykop.pl (co jest ciężkie do uzyskania, ale nie niemożliwe), ale też po drugie, musiałby otworzyć osobną sesję szyfrowania między Tobą a swoim komputerem oraz między swoim komputerem a wykopem. ID tych sesji będą się różnić, przez co serwer wykopu zauważy, że coś jest nie tak i odmówi dostępu do Twojego konta. Należy tu zaznaczyć, że ma to miejsce wyłącznie przy operacjach wymagających potwierdzenia yubikeyem, czyli w przypadku takiego wykopu byłoby to pewnie wyłącznie logowanie, ale już np w przypadku banku, może być to potwierdzenie przelewu
- Atakami na "zmęczenie" potwierdzeniami logowania - serwisy które wykorzystują do zabezpieczenia logowania potwierdzenie przez aplikację w telefonie są często podatne na "zmęczenie" użytkownika tymi powiadomieniami. Jeśli atakujący będzie wyjątkowo uporczywie próbował się logować na Twoje konto i wymuszał wyświetlenie się u Ciebie tego powiadomienia, mając tego dość możesz kliknąć potwierdzenie logowania, by mieć święty spokój. Yubikey nie potwierdza zdalnego logowania, jedynie to na Twoim komputerze. Musiałby być wpięty w komputer atakującego.
- Atakami na podejrzenie (lub wyłudzenie) kodu logowania - nic nie przepisujesz, więc nic nie da się podglądnąć. Tak samo jeśli ktoś podszywający się pod jakiś support poprosi Cię o kod, nie masz co tej osobie podać.
Jest jeszcze pewnie kilka kategorii ataków o których tutaj zapominam, jest jednak jedna przed którą yubikey chroni tylko częściowo lub nie chroni wcale (w zależnościPokaż całość

@Need: oprogramowanie musi wspierac takie uwierzytelnianie, banki w pl maja z tym problem

@Need: Zależy na co pozwala konkretna strona. Większość witryn prosi najpierw o hasło a dopiero potem o YubiKey.
Logowanie samym kluczem jest możliwe - ale niestety bardzo rzadkie.

W przypadku dodania YubiKeya do menadżera haseł - działa to tak, że po zalogowaniu hasłem głównym musisz jeszcze potwierdzić logowanie na niezaufanych urządzeniach (czyli, gdy logujesz się na nowym komputerze/przeglądarce).

@kolesio: podbij do IT w firmie, bo chyba najpierw admin środowiska musi to włączyć.

@mirko_anonim: w jakim sensie "warto"? Jest tanie, latwe do skonfigurowania
ja z Bitwardena korzystam chyba od 4-5 lat juz i bardzo chwalę

@mirko_anonim: hmmm ciekawe że się KeePass, a próbowałeś MacPass?

@9866666: z authenticatorami to nie tak łatwo. Na pewno MS nie pozwala tak łatwo sobie przerzucać danych. Musisz poza samym usunięciem apki także w samym już panelu MS zaznaczyć, że przestajesz używać starego.

@9866666: authenticatory musisz od nowa aktywować, to samo apki banków, karty od nowa dodać do Apple Pay.
poza tym kopia 1:1

@runnerrunner: z tego co ja wiem to wystarczy raz i masz to urządzenie zaufane (ale mogę się mylić/ różne serwisy mogą mieć różne wymagania)

@Amenotejiikara: w życiu nie używałem żadnej aplikacji do obsługi klucza. Dodałem go tylko do wybranych usług i tyle.

@Daenerys90: mam bezpłatnego protonmaila i maile dochodzą

@Amenotejiikara: Wszystko co opisujesz spełnia darmowy KeePass z bazą na pendrive lub dysku Google lub innej chmurze plikowej. Działa na komputerach oraz telefonach.

czy za taki własny serwer trzeba płacić? I czy jest to opcja w miarę przyjazna dla laika czy jednak jest wymagana jakaś wiedza?

@Amenotejiikara: Płacisz za sprzęt i za prąd. Jeszcze taka kwestia że dostawca Internetu musi zezwalać na przekierowanie portów i musisz załatwić sobie jakąś domenę, albo darmowy DuckDNS albo za grosze wykupić sobie na OVH. Ale to tak #!$%@?ąc bo możesz robić synchronizację po sieci LAN jeżeli nie musisz mieć dostępu do tej bazy danych z obcych urządzeń, co z resztą jest mądrzejsze. Ja takiego serwera nie mam, tylko lokalne synchro.

Czy na telefonie za każdym razem przy chęci skorzystania z aplikacji trzeba wpisać

Pokaż całość

@MercedesBenizPolska możesz coś więcej powiedzieć na ten temat? Różnice? Co w yubi ci nie pasowało?

@subox: Jako pierwszy wprowadził klucze bezpieczeństwa U2F O.K. Bank Spółdzielczy: https://u2f.okbank.pl/ (we współpracy z firmą I-BS.PL), a poinformował o tym wczoraj: https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f

Znalezisko: https://wykop.pl/link/7081549/o-k-bank-spoldzielczy-jako-pierwszy-oferuje-mozliwosc-logowania-z-u2f

@gomjeden @COVID-21 @Przegrywzyciowy0 @Zamaloczasunalogin

@dziobnij2: i na czym to polega?

@dziobnij2: jako pierwszy wprowadził klucze bezpieczeństwa U2F O.K. Bank Spółdzielczy: https://u2f.okbank.pl/ (we współpracy z firmą I-BS.PL), a poinformował o tym wczoraj: https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f

Znalezisko: https://wykop.pl/link/7081549/o-k-bank-spoldzielczy-jako-pierwszy-oferuje-mozliwosc-logowania-z-u2f

@haosik Lol

@404filenotfound: Kupiłeś już Yubikey? Ja miałbym namiar na kod z Cloudflare ( ͡° ͜ʖ ͡°)

@404filenotfound: Promki z cloudflare nie przebiję, ale jak jeszcze nie kupiłeś SecurityKeyów to znajdzie się dla Mirka rabat ( ͡° ͜ʖ ͡°)

@bubak: zamawiałem 20 października, do dzisiaj nie wyszło.

@Czapelek: a na facebook widzialem za 150 zl ( ͡° ͜ʖ ͡°)