Używasz kodów 2FA generowanych przez aplikację na telefonie? Super. Ale warto pamiętać, że ta metoda nie jest odporna na phishing. #od0dopentestera Ale jak to? To proste. Te kody możesz podać na złośliwej stronie/podyktować przestępcy podszywającemu się przez telefon. Jak to wygląda w praktyce możesz zobaczyć w tym fragmencie filmu - gdzie moi widzowie logują się na wcześniej założone konto - bo wyświetlam im kod 2FA. Jakie jest rozwiązanie tego problemu? Klucze U2F/FIDO2. Na przykład YubiKey. Zebrałem kilka najpopularniejszych pytań powiązanych z tym tematem:
1. Co to jest YubiKey? To przedmiot przypominający pendrive, który możesz włożyć do portu USB w swoim komputerze/telefonie. 2. Po co mi to? Zabezpiecza on przed typowym phishingiem - na stronach, na których go używasz. 3️. Jak się tego używa? Zazwyczaj po zalogowaniu hasłem przeglądarka poprosi Cię o włożenie klucza do portu i dotknięcie guzika palcem. 4️. Czym to się różni od kodów 2FA generowanych w aplikacji na telefonie? Kod możesz podyktować komuś przez telefon/podać na złośliwej stronie. Danych z klucza U2F nie da się wyłudzić. Jeśli spróbujesz użyć go na fałszywej stronie to przestępca nie otrzyma informacji, których mógłby użyć do zalogowania się na Twoje konto. Nie jesteś mu ich w stanie wysłać/podać/podyktować. Potrzebny jest fizyczny dostęp do Twojego klucza 5️. Czy muszę coś instalować? Nie. 6️. Ile kluczy muszę kupić? Najlepiej 2. Jeden to backup - na wypadek kradzieży/zgubienia/zepsucia. 7. Jaki klucz mam kupić? Jeżeli nie wiesz co to SSH/GPG/Smart card/2FA - na 99% wystarczy ci "niebieski" Security Key NFC. 8. Są 2 wersje "niebieskiego" klucza. Czym się różnią? Portem USB. Jeden to USB C - drugi to USB A. Wybierz ten, który masz w komputerze/telefonie. 9️. Na ilu serwisach/kontach mogę go używać? Jeśli strony używają U2F -> nie ma limitu kont/serwisów. Dla FIDO2 -> 25 kont. 1️0. Czy jednym kluczem mogę się zalogować na wiele kont Gmail? Tak. 1️1. Czy jeden klucz mogę używać na wielu urządzeniach? Tak. 1️2. Czy klucz działa z przejściówkami? Z większością działa. 1️3. Gdzie mogę tego użyć? Google/Facebook/Twitter/WP/Microsoft/GitHub/Bitwarden 14. Czy jakiś bank to wspiera? Nie. 1️5. Co jeśli zgubię klucz? O ile przestępca nie zna Twojego hasła i kodu PIN -> nie będzie w stanie zalogować się na Twoje konto. 1️6. Czy to zadziała na moim komputerze/telefonie? Większość nowoczesnych przeglądarek wspiera klucze bezpieczeństwa.
Jeśli chcesz zobaczyć w praktyce różnice między 2FA a U2F to zobacz mój film na ten temat. Pokazuję tam jak można wyłudzić kody SMS/kody z aplikacji w stylu Google Authenticator/Authy. Równocześnie zobaczysz też, że nie da się tak wyłudzić danych z klucza YubiKey.
PS 2. To nie jest materiał sponsorowany. Jest wiele podobnych kluczy - ale YubiKey jest w Polsce "popularny" i można go kupić w kilku sklepach. Poza tym używam ich od dłuższego czasu i jestem zadowolony.
wystarczy, że apka na telefon prosi o odcisk palca/skan tęczówki do potwierdzenia danej operacji, zamiast zabawy w jakieś kody. To wygodniejsze, bo telefon każdy już ma, nie trzeba kolejnych elektrośmieci produkować
@ToksycznySocjopata: nie zgodze sie. W pracy mamy kolo 8 srodowisk developerskich, 3 testowe. Kazdorazowe logowanie sie na ktores, to wyciaganie telefonu, szukanie google authenticator i przepisywanie kodu, z YubiKey wystarczy dotknac Yubikey i zalogowane. Teoretycznie nic nie zyskuje, ale
@KacperSzurek: I to jest właśnie dla mnie najdziwniejsze, ostatnio przebywam za granicą i ciągle muszę zmieniać karty sim bo bank nie wyśle przelewu bez kodu SMS. Klucz U2F rozwiązałby ten problem ale najwidoczniej dla banków to zbyt trudne ( ͡°ʖ̯͡°)
wyciaganie telefonu, szukanie google authenticator i przepisywanie kodu
@janusz-lece: no ale mi nie chodzi o to, tylko o takie rozwiązanie jak jest często w apkach bankowych. Wyskakuje ci push na telefonie, klikasz w nie, przykładasz palec i koniec. To zajmuje z 3 sekundy, bez żadnych kodów
@Ilirian: dual sim ułatwi Ci życie, ale co do zasady się zgadzam.
@umtali: też się bałem o to, ale w sumie są rzeczy, których pilnuje się bardziej niż innych: portfel, klucze. Dlatego trzymam z kluczami. Najpierw użyłem do zabezpieczenia haseł w Password Safe. Ustawiłem jedno czy dwa często używane hasła na
@tptak: aws pozwala na dodanie yubi lub otp, nie da się obu, aws cli wspiera tylko otp, z tego powodu w jednym z najważniejszych miejsc muszę mieć telefon z aplikacją.
@KacperSzurek: po którymś tam filmie kupiłem, mam i używam razem z BitWarden które przypadło mi do gustu. Do ideału brakuje mi wsparcia ze strony banków i w zasadzie jako norma na różnych stronach.
@KacperSzurek: Załóżmy, że loguję się przy pomocy tego wynalazku na jedno konto google. Następnie idę w inne miejsce, siadam do innego komputera i loguję się na drugie konto. Czy informacje wysyłane przez tego dynksa pozwalają googlowi na rozpoznanie że z obu kont korzysta ten sam użytkownik? Albo ogólniej: jak to działa, tzn. co to odbiera i co wysyła?
@Kolczaneiro: Teraz znalazłem i jednak działa to trochę inaczej. Yubikey zachowuje się jak klawiatura i po wciśnięciu przycisku generuje hasło, które jest wysyłane do i porównywane w yubicloud.
Ale jak to? To proste. Te kody możesz podać na złośliwej stronie/podyktować przestępcy podszywającemu się przez telefon.
Jak to wygląda w praktyce możesz zobaczyć w tym fragmencie filmu - gdzie moi widzowie logują się na wcześniej założone konto - bo wyświetlam im kod 2FA.
Jakie jest rozwiązanie tego problemu? Klucze U2F/FIDO2. Na przykład YubiKey.
Zebrałem kilka najpopularniejszych pytań powiązanych z tym tematem:
1. Co to jest YubiKey?
To przedmiot przypominający pendrive, który możesz włożyć do portu USB w swoim komputerze/telefonie.
2. Po co mi to?
Zabezpiecza on przed typowym phishingiem - na stronach, na których go używasz.
3️. Jak się tego używa?
Zazwyczaj po zalogowaniu hasłem przeglądarka poprosi Cię o włożenie klucza do portu i dotknięcie guzika palcem.
4️. Czym to się różni od kodów 2FA generowanych w aplikacji na telefonie?
Kod możesz podyktować komuś przez telefon/podać na złośliwej stronie.
Danych z klucza U2F nie da się wyłudzić.
Jeśli spróbujesz użyć go na fałszywej stronie to przestępca nie otrzyma informacji, których mógłby użyć do zalogowania się na Twoje konto.
Nie jesteś mu ich w stanie wysłać/podać/podyktować.
Potrzebny jest fizyczny dostęp do Twojego klucza
5️. Czy muszę coś instalować?
Nie.
6️. Ile kluczy muszę kupić?
Najlepiej 2. Jeden to backup - na wypadek kradzieży/zgubienia/zepsucia.
7. Jaki klucz mam kupić?
Jeżeli nie wiesz co to SSH/GPG/Smart card/2FA - na 99% wystarczy ci "niebieski" Security Key NFC.
8. Są 2 wersje "niebieskiego" klucza. Czym się różnią?
Portem USB. Jeden to USB C - drugi to USB A.
Wybierz ten, który masz w komputerze/telefonie.
9️. Na ilu serwisach/kontach mogę go używać?
Jeśli strony używają U2F -> nie ma limitu kont/serwisów.
Dla FIDO2 -> 25 kont.
1️0. Czy jednym kluczem mogę się zalogować na wiele kont Gmail?
Tak.
1️1. Czy jeden klucz mogę używać na wielu urządzeniach?
Tak.
1️2. Czy klucz działa z przejściówkami?
Z większością działa.
1️3. Gdzie mogę tego użyć?
Google/Facebook/Twitter/WP/Microsoft/GitHub/Bitwarden
14. Czy jakiś bank to wspiera?
Nie.
1️5. Co jeśli zgubię klucz?
O ile przestępca nie zna Twojego hasła i kodu PIN -> nie będzie w stanie zalogować się na Twoje konto.
1️6. Czy to zadziała na moim komputerze/telefonie?
Większość nowoczesnych przeglądarek wspiera klucze bezpieczeństwa.
Więcej odpowiedzi na najpopularniejsze pytania znajdziesz na mojej stronie.
Zebrałem tam ponad 40 pytań, które często pojawiają się w kontekście kluczy YubiKey.
Dodatkowo możesz tam pobrać poradnik PDF - Jak dodać klucz do konta Google/Microsoft/Facebook.
Jeśli chcesz zobaczyć w praktyce różnice między 2FA a U2F to zobacz mój film na ten temat.
Pokazuję tam jak można wyłudzić kody SMS/kody z aplikacji w stylu Google Authenticator/Authy.
Równocześnie zobaczysz też, że nie da się tak wyłudzić danych z klucza YubiKey.
Masz inne pytanie? Zadaj je - spróbuję pomóc ;)
PS Jeśli uważasz, że ten film jest przydatny - możesz go wykopać.
Interesujesz się bezpieczeństwem - sprawdź mój newsletter.
PS 2. To nie jest materiał sponsorowany. Jest wiele podobnych kluczy - ale YubiKey jest w Polsce "popularny" i można go kupić w kilku sklepach. Poza tym używam ich od dłuższego czasu i jestem zadowolony.
#technologia #security #bezpieczenstwo #gruparatowaniapoziomu #ciekawostki #swiat #nauka #programowanie #it #yubikey #u2f
@ToksycznySocjopata: nie zgodze sie. W pracy mamy kolo 8 srodowisk developerskich, 3 testowe. Kazdorazowe logowanie sie na ktores, to wyciaganie telefonu, szukanie google authenticator i przepisywanie kodu, z YubiKey wystarczy dotknac Yubikey i zalogowane. Teoretycznie nic nie zyskuje, ale
@KacperSzurek: I to jest właśnie dla mnie najdziwniejsze, ostatnio przebywam za granicą i ciągle muszę zmieniać karty sim bo bank nie wyśle przelewu bez kodu SMS. Klucz U2F rozwiązałby ten problem ale najwidoczniej dla banków to zbyt trudne ( ͡° ʖ̯ ͡°)
@janusz-lece: no ale mi nie chodzi o to, tylko o takie rozwiązanie jak jest często w apkach bankowych. Wyskakuje ci push na telefonie, klikasz w nie, przykładasz palec i koniec. To zajmuje z 3 sekundy, bez żadnych kodów
@Ilirian: dual sim ułatwi Ci życie, ale co do zasady się zgadzam.
@umtali: też się bałem o to, ale w sumie są rzeczy, których pilnuje się bardziej niż innych: portfel, klucze. Dlatego trzymam z kluczami. Najpierw użyłem do zabezpieczenia haseł w Password Safe. Ustawiłem jedno czy dwa często używane hasła na
@Kolczaneiro: Nie wie, po prostu nie wysyła klucza 2fa tej stronie j to wystarczy.
Pewnie taki google dostaje odpowiedź od klucza typu "autoryzacja przebiegła pomyślnie" i tyle, co z taką informacja może zrobić wyłudzający? Nic.
@Gruby_Wujo @KacperSzurek zbyt mocny użytkownik, usunął Grubego Wuja razem z kontem...
Albo ogólniej: jak to działa, tzn. co to odbiera i co wysyła?
komentarz wyjaśniający w prosty sposób jak to działa: https://security.stackexchange.com/a/99829
+ sposób generowania