Wiesz co to YubiKey i jak go używać? #od0dopentestera Standardowe kody 2FA nie chronią przed phishingiem. Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY. Dużo lepszym rozwiązaniem jest U2F. Brzmi skomplikowanie? A korzystanie z takiego klucza jest banalnie proste. Logujesz się do serwisu, wkładasz klucz do portu USB, dotykasz guzik i już – to wszystko. W materiale wyjaśniam różnicę pomiędzy 2FA a U2F oraz opowiadam jak działa FIDO2.
Podpowiadam także do czego można wykorzystać YubiKey 5 NFC: • Może on przechowywać hasło statyczne • Zalogujesz się nim do serwera przy użyciu SSH • Podpiszesz swoje commity GITa • Umożliwia generowanie kodów 2FA (z wykorzystaniem aplikacji Yubico Authenticator) • Lub wykorzystasz do szyfrowania poczty • A jeżeli używasz Gmaila – warto włączyć ochronę zaawansowaną
@KacperSzurek Tylko, że nikt nie mówi, że to Yubikey jest często bezużyteczne, bo jest na praktycznie każdej stronie luka bezpieczeństwa, poniżej dwa przykłady z popularnych stron: - GitHub - Yubikey podpięty, ale awaryjnie można po kodzie sms też się zalogować. A w aplikacji "GitHub Desktop" logując się na swoje konto autoryzacja jest ZAWSZE tylko po kodzie sms. - Facebook - jest autoryzacja po Yubikey, ale jak ktoś chce to kodem sms
Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY.
Jak komukolwiek przekazujesz kod 2FA, kto na dodatek zna twój login i hasło, to jesteś albo debilem, albo chcesz żeby się zalogował na twoje konto...
"PANI REDAKTUR, DAŁEM KLUCZE TEMU PANU KTÓRY ZNA MÓJ ADRES I WZIĄŁ I MI UKRAD ŻECZY Z DOMU"
@Acri: Login i hasło możesz (nieświadomie) podać na stronie phishingowej (która podszywa się pod prawdziwą witrynę). Następnie możesz zostac poproszony o kod 2FA (na dokładnie tej samej stronie należącej do przestępców). Jeśli to zrobisz - mogą użyć tych danych do zalogowania się na prawdziwej stronie.
Standardowe kody 2FA nie chronią przed phishingiem.
Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY.
Dużo lepszym rozwiązaniem jest U2F.
Brzmi skomplikowanie? A korzystanie z takiego klucza jest banalnie proste.
Logujesz się do serwisu, wkładasz klucz do portu USB, dotykasz guzik i już – to wszystko.
W materiale wyjaśniam różnicę pomiędzy 2FA a U2F oraz opowiadam jak działa FIDO2.
Podpowiadam także do czego można wykorzystać YubiKey 5 NFC:
• Może on przechowywać hasło statyczne
• Zalogujesz się nim do serwera przy użyciu SSH
• Podpiszesz swoje commity GITa
• Umożliwia generowanie kodów 2FA (z wykorzystaniem aplikacji Yubico Authenticator)
• Lub wykorzystasz do szyfrowania poczty
• A jeżeli używasz Gmaila – warto włączyć ochronę zaawansowaną
Subskrybuj kanał na YouTube
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Korzystasz z Discorda? Zapraszam do rozmów na naszym kanale.
Jeżeli chcesz być wołany - zaplusuj pierwszy komentarz.
#komputery #gruparatowaniapoziomu #ciekawostki #informatyka #nauka #swiat #technologia #zainteresowania #bezpieczenstwo #komputery #programowanie #programista15k
- GitHub - Yubikey podpięty, ale awaryjnie można po kodzie sms też się zalogować. A w aplikacji "GitHub Desktop" logując się na swoje konto autoryzacja jest ZAWSZE tylko po kodzie sms.
- Facebook - jest autoryzacja po Yubikey, ale jak ktoś chce to kodem sms
Jak komukolwiek przekazujesz kod 2FA, kto na dodatek zna twój login i hasło, to jesteś albo debilem, albo chcesz żeby się zalogował na twoje konto...
"PANI REDAKTUR, DAŁEM KLUCZE TEMU PANU KTÓRY ZNA MÓJ ADRES I WZIĄŁ I MI UKRAD ŻECZY Z DOMU"