#it #bezpieczenstwo #security daje też #programowanie bo dużo ludzi może kojarzyć tematy
Robię sobie taki audyt mojego #!$%@? zwanym hasłami, emailami i tak dalej.
Stwierdziłem, że muszę to poczyścić, bo mam parę kont jeszcze sparowanych z bardzo starym mailem sprzed 10+ lat, który człowiek zakładał jak był gówniakiem i w efekcie przychodzi na niego pełno krypto spamu i nie tylko, bo lata po różnych wyciekach, oczywiście na WP, bo jakżeby inaczej ( ͡° ͜ʖ
Robię sobie taki audyt mojego #!$%@? zwanym hasłami, emailami i tak dalej.
Stwierdziłem, że muszę to poczyścić, bo mam parę kont jeszcze sparowanych z bardzo starym mailem sprzed 10+ lat, który człowiek zakładał jak był gówniakiem i w efekcie przychodzi na niego pełno krypto spamu i nie tylko, bo lata po różnych wyciekach, oczywiście na WP, bo jakżeby inaczej ( ͡° ͜ʖ
@Need: oprogramowanie musi wspierac takie uwierzytelnianie, banki w pl maja z tym problem
@Need: Zależy na co pozwala konkretna strona. Większość witryn prosi najpierw o hasło a dopiero potem o YubiKey.
Logowanie samym kluczem jest możliwe - ale niestety bardzo rzadkie.
W przypadku dodania YubiKeya do menadżera haseł - działa to tak, że po zalogowaniu hasłem głównym musisz jeszcze potwierdzić logowanie na niezaufanych urządzeniach (czyli, gdy logujesz się na nowym komputerze/przeglądarce).
Logowanie samym kluczem jest możliwe - ale niestety bardzo rzadkie.
W przypadku dodania YubiKeya do menadżera haseł - działa to tak, że po zalogowaniu hasłem głównym musisz jeszcze potwierdzić logowanie na niezaufanych urządzeniach (czyli, gdy logujesz się na nowym komputerze/przeglądarce).
Witam techniczne Mirki!
Zastanawiam się nad zakupem #yubikey klucza #u2f. Chodzi mi przede wszystkim o najlepszy możliwy sposób zabezpieczenia się przed ewentualnym atakiem hakerskim. Stąd kieruję do was pytanie, czy zabezpieczenie kluczem jest lepsze niż popularne uwierzytelnieni dwuetapowe w przypadku wgrania złośliwego oprogramowania? Dla ścisłości dodam też, że używać sprzętów #apple, co podobno też ma wpływ na poziom bezpieczeństwa. Jestem w tym temacie "zielony" także proszę o porady! #informatyka #it #bezpieczenstwoit #hakerzy
─────────────
- Phishingiem, czyli próbami nakłonienia Cię byś zalogował się na fałszywej stronie logowania. Gdy wejdziesz przez przypadek na wyPOk.pl zamiast na wyKOp.pl (albo ktoś Ci celowo podeśle takiego linka) i spróbujesz się zalogować danymi do wykopu, atakujący nie będzie w stanie się zalogować nimi do wykopu, ponieważ Twój yubikey, widząc że w przeglądarce wszedłeś na wyKOp.pl wygeneruje klucz który zadziała tylko dla wyKOp.pl.
- Atakami MITM (czyli man in the middle, ktoś stojący między Tobą a właściwą stroną do której się chcesz zalogować i podsł#!$%@?ący lub nawet modyfikujący ruch) ponieważ yubikey do działania wymaga szyfrowanego połączenia, a dodatkowo wygenerowany klucz jest łączony z konkretną sesją szyfrowania między Tobą a stroną. By atakujący mógł podsłuchiwać szyfrowaną łączność, musiałby po pierwsze posiadać certyfikat poświadczający, że jest domeną np. wykop.pl (co jest ciężkie do uzyskania, ale nie niemożliwe), ale też po drugie, musiałby otworzyć osobną sesję szyfrowania między Tobą a swoim komputerem oraz między swoim komputerem a wykopem. ID tych sesji będą się różnić, przez co serwer wykopu zauważy, że coś jest nie tak i odmówi dostępu do Twojego konta. Należy tu zaznaczyć, że ma to miejsce wyłącznie przy operacjach wymagających potwierdzenia yubikeyem, czyli w przypadku takiego wykopu byłoby to pewnie wyłącznie logowanie, ale już np w przypadku banku, może być to potwierdzenie przelewu
- Atakami na "zmęczenie" potwierdzeniami logowania - serwisy które wykorzystują do zabezpieczenia logowania potwierdzenie przez aplikację w telefonie są często podatne na "zmęczenie" użytkownika tymi powiadomieniami. Jeśli atakujący będzie wyjątkowo uporczywie próbował się logować na Twoje konto i wymuszał wyświetlenie się u Ciebie tego powiadomienia, mając tego dość możesz kliknąć potwierdzenie logowania, by mieć święty spokój. Yubikey nie potwierdza zdalnego logowania, jedynie to na Twoim komputerze. Musiałby być wpięty w komputer atakującego.
- Atakami na podejrzenie (lub wyłudzenie) kodu logowania - nic nie przepisujesz, więc nic nie da się podglądnąć. Tak samo jeśli ktoś podszywający się pod jakiś support poprosi Cię o kod, nie masz co tej osobie podać.
Jest jeszcze pewnie kilka kategorii ataków o których tutaj zapominam, jest jednak jedna przed którą yubikey chroni tylko częściowo lub nie chroni wcale (w zależności