Zdecydowanie najlepszy i wyczerpujący materiał szkoleniowy dotyczący obsługi YubiKey w całym necie. Materiały w pdfie rewelacyjne, pięknie przygotowane. Dzięki serdeczne!
1:17:45 wpisywanie hasła na pilocie da się jeszcze przeboleć. Mnie krew zalewała, jak na drukarce hasło do wifi wpisywałem. Litery zmieniało się tylko góra/dół/ok lecąc po kolei alfabet i znaki specjalne. I w dodatku musiałem się pomylić przy pierwszym podejściu
1:16:05 zapomnieć linii papilarnych się nie da, ale da się zetrzeć. Po mocniejszym treningu na ściance wspinaczkowej często przez kilka (zazwyczaj 1-5) dni nie mogę odblokować telefonu za pomocą palca. Ot taka ciekawostka
Mam YubiKey 5 NFC i stosuje go do KeePassXC, logowania sie do MX Linuxa i troche w internecie oraz go generowania statycznego dlugiego hasla + moje haslo do archiwizacji plikow. Takze uzywam w VeraCryp-cie. Ogolnie tam gdzie najbardziej go potrzebuje to brak uslug bo w Banku nie ma zrobionej zadnej implementacji pod tym wzgledem. Obecnie najwieksze zastosowanie to generowanie statycznego hasla + moje haslo. Co do zabezpieczen to praktycznie malo kto korzysta z tego typu zabezpieczen a swiadomosc ludzi jest mizerna. Osoby decyzyjne na wysokich stanowiskach bagatelizuja bezpieczenstwo i z oszczednosci finansowych nie inwestuja w klucze sprzetowe. Programisci ktorzy maja sily i srodki nie maja mozliwosci zastosowania konkretnych rozwiazan programowych bo prezesi maja to gdzies, Stad jest jak jest ;)
korzystają korzystają. tyle że yubikey jest mało funkcjonalne a nikt normalny pracy sobie nie utrudnia jak może się równie skutecznie inaczej zabezpieczyć. olałem ta zabawkę na rzecz znacznie lepszej smartcard
Klawo jak ch...era ! Egon. A na powaznie, sposob podania i przeprowadzenia przez temat - wzorcowy. Dobry przyklad dla innych, jak "opowiadac" o waznych rzeczach. Piąteczka Kacper !
U siebie w firmie tak zabezpieczyłem komputery, podczas logowania do systemu każdy pracownik ma przypisany klucz, bez niego się nie zaloguje, tak jak inny nie wejdzie na konto jeśli nawet zna hasło, ale bez klucza nie da rady
Na atronie x kom aktualnie w komentarzach ktoś podał info, ze producent zmienił kolory. Niebieskie są obecnie również czarne. Trzeba czytac opisy i nie myśleć ze kupuje się droższy w promocji.
Ciekawostkę można dodać taka iż "yubi" to japońskie słowo na palec czy palce. Nie wiem czy cokolwiek to wnosi ale od razu rzuciło mi się to w oczy. Palco klucz. W sumie ma sens bo przeciez trzeba tego klucza dotknąć a robimy to najczęściej palcem.
*19:34* ale w tym momencie tak czy inaczej zatwierdzając hasło, strona phishingowa otrzyma login i hasło, z tym, że nie pozna ani kodu zabezpieczeń, ani żadnych kluczy szufrujących.
Bezpośrednio po rozpakowaniu dodałem dwa klucze do konta Gmail, nie było przy tym pytania o PIN do klucza, jak jest w przykładzie w poradniku. Takie pytanie w moim przypadku padło dopiero jak dodawałem klucz do konta Microsoft. W przypadku Microsoftu jest mechanizm FIDO2, który wymaga kodu PIN, a z tego co wiem przy koncie Gmail U2F, które nie wymaga PIN'u.
*15:18* ciekawe co tak na prawdę odbywa się przy rejestracji, czy jakiś private_key jest wysyłany z fizycznego klucza yubi do serwera i ten przechowuje ten klucz do uwierzytelniania podczas logowania i czy można samemu sobie stworzyć taki klucz fizyczny na zwykłym pendrive i wygenerować klucze RSA i podać jakoś serwerowi taki klucz publiczny?
Za mną chodziło to już od jakiegoś czasu ale ostatecznie jak WP wprowadziło (pewnie przez aferę z dostępem do poczty polityka) tę opcję to sobie zakupiłem ten klucz. Nie wiem czy to dział ale chyba WP wprowadziło opcję, że telefon po bluetooth może robić za klucz fizyczny zamiast korzystać z yubikeya. Co do FB i zapasowych kodów to są one tam dostępne dla klucza. Odnoście zapamiętywania w przeglądarce aby przy logowaniu nie wołać o klucz to po wyczyszczeniu przeglądarki przy kolejny logowaniu trzeba ponownie zaznaczać tę opcję. Ale po co autoryzować przelewy kluczem? Na początek wystarczy aby można było wykorzystywać to do logowania, bo aktualnie przestępcy potrzebują zalogować się do czyjegoś konta. Jak to im się zabierze to przelewy będą bezpieczne, bo nie wykonają żadnego działania na koncie aby wyłudzać jeszcze kody/potwierdzenia przelewu :)
Ten klucz jest potrzebny wyłącznie wtedy jeśli cokolwiek zabezpiecza, ale pytanie ... co on ma zabezpieczać jeśli praktycznie żaden portal w PL go nie wspiera... Dodatkowo zmuszanie nas klientów do tego żebyśmy to my prosili portale o wdrażanie niszowego rozwiązania - niech producenci sprzętu o to zadbają. Dziękuję i nie widzę sensu posiadania.
Kacper, może ty pomożesz bo mi się już pomysły skończyły. Kupiłem 2 klucze Security Key C NFC. Po pomyślnym dodaniu klucza do gieldy binance za pomocą tabletu z androidem( tablet nowy zaktualizowany), i po wylogowaniu się, nie mogłem zalogowac sie spowrotem na tym tablecie. Ani przez stronę binance ani przez aplikację. Działał jednak bez problemu kiedy postanowiłem zalogowac sie na laptopie z Windowsem.Probowalem logowania na innych przeglądarkach, próbowałem też polaczyc maila proton i zawsze to samo. Na tablecie którym dodawałem klucze po wylogowaniu nie działał. Wyskakiwała informacja ze przekroczono limit czasu lub operacja niedozwoloną i weź tu bądź mądry. Może ty coś doradzisz .dzięki z góry i pozdrawiam.
Cześć Kacper. twój od niedawna (już stały) widz :).. ja mam osobiscie wrazenie (po obejrzeniu naprawde chyba 25 filmow i artykółów nt kluczy sprzetowych) że jest to świetne narzedzie dla administratorow i informatykow programistow i pracownikow sektora IT czy firm outsourcingowych, dla polityków i ważnych osob gdzie maja naprawde ultra wrażliwe dane.. .. natomiast dla 99% pozostałych osób w tym przewrażliwionych ludzi dbających o swoje dane jest to po prostu gadzet. który mam wrazenie ze jest po prostu zbedny. Pozostałe typy zabezpieczen 2FA są wg. mnie osobiście zupelnie wystarczajace dla 99% społeczeństwa. co jak co dla nas gadżeciarzy to i tak must have ;). ps. weryfikacja telefoniczna np przez pracownika banku dla mnie to ściema jak wgl. mozna stwierdzac czyjas tozsamosc przez telefon.. absurd. co wiecej jaka mamy pewnosc ze dzwoni do nas faktycznie pracownik banku..
*1:20:00* żadne poważne instytucje nie wdrażały tego, bo nie wiadomo im było jak to działa, na początku yubi wymieniło się technologią z Google i udawali Greka. Ja nadal nie wiem jak to działa i nie kupie tego dopóki się nie dowiem. Oglądam już chyba z 5-ty filmik o U2F i nikt nie potrafi powiedzieć jak to działa czy w pendrivie jest prv key jakiś RSA i druga strona na zaimplementowanie przetrzymywanie klucza publicznego czy co🤷🏻
Siemanko , mam pytanie czy klucz U2F na Yubico zawsze pozostaje taki sam, czy jednak jest opcja jego modyfikacji? Póki co używam klucza jako 2Fa so logowania w serwisach i jest dodany do +20 serwisów . Mam tez yubico auth 2Fa i o to sie nie martwię bo mam backupy qrcode . Chce stworzyc hasło statyczne w jednym z slotów i boje sie ze mogę coś nadpisać i stracę dostęp u2f przez nadpisanie np. Drugie pytanie czy u2f jest na jednym ze 2 slotów ?
Czy mogę korzystać z klucza zamiast używać menadżera haseł? Czy te dwie rzeczy muszą być połączone? Jeśli nie to co lepiej wybrać, klucz czy menadżer? Pewnie najlepszą opcją będzie to i to jednak co warto wybrać najpierw?
W przyszłości - może będzie to możliwe. Na ten moment mało serwisów wspiera klucze. Więc używanie menadżera to dalej konieczność. Bo większość serwisów po prostu wymaga hasła.
mam problem z tym kluczem ponieważ dodałem go do swojej poczty na Onecie. Proces dodawania przeszedł bez problemu jednak przy próbie ponownego zalogowania i podłączeniu klucza wyświetla informacje ze dane uwierzytelnienia dla tego konta nie istnieją. Co robić w tej sytuacji?
Magnes nie zepsuje klucza on dział podobnie jak karta wejść wyjść, jest antena cewka indukuje się w niej prąd zbiera się w kondensatorze i stamtąd do procesora tam szybka akcja i odpowiedz na zapytanie przez tą samą antenę wychodzi w przypadku NFS a usb to zasilanie z zewnątrz wszystko to fizyka banały
Czy dobrze to zrozumiałem. Tan klucz nie posiada wbudowanej pamięci i dla każdej strony na którą się logujemy generuje on klucz autoryzacyjny (generatorem pseudolosowym) na podstawie URL czy jakiejś części URL (URL jest seedem). Co jeśli jakaś strona / firma / usługa zmienia swoją nazwę i za tym idzie zmiana adresu domeny? Czy po takiej zmianie ten klucz dla tych samych danych logowania co na poprzednim adresie wygeneruje już inny klucz autoryzacyjny? Czy będzie to oznaczało że już się nie zalogujemy na to konto? Jeśli nie, to na jakiej podstawie generowany jest klucz autoryzacyjny, bo w takim razie seed na podstawie którego jest on generowany musi jakoś być przenoszony razem z całą infrastrukturą danej strony.
@@KacperSzurek Dzięki, wiele wyjaśnia ten film :) Ale z tego wynika, że gdy dana strona obsługuje U2F, to jeśli zmieniła by swój adres, to wtedy nowy adres zostanie uznany jako strona phishingowa i nie zalogujemy się naszym kluczem na "stare" konto, tylko w jakiś sposób trzeba by kombinować z odzyskiwaniem dostępu i dopiero wtedy jeszcze raz dodać ten klucz do konta z już nowego adresu.
@@grzenio_l Z tego co wiem dokładnie tak by było. Ale umówmy się: strony nie zmieniają adresów co 2 dni. A nawet jeśli jakaś strona zmienia - to dalej ma dostęp do "starej domeny" i przez okres przejściowy może umożliwić użytkownikom logowanie przez stary adres.
@@KacperSzurek niestety tu jest problem, ja kupiłem dla siebie i drugiej osoby w sumie 5 kluczy z czego 2 OpenSK (jako zapasowe) i jenen micro. więc przesyłka niebyła bolesna. do tego mam portfe fizyczny krypto i wychodzi że do każdego konta mam przypisane 4 urządzenia i do tego Fido U2F jest podparte seed-em wiec nawet po utracie wszystkiego mam jak się dostać do większości kont.
Chyba nie rozumiem co pokazuje tabelka z 29.00. Wers z opera 'all' na czerwono to wers apek obsługujących logowanie z kluczem? Poprzez nfc również (idąc za przykładem z filmu, jak ktoś powiedział, że Brave tej opcji już nie ma)? Czyli opera nie wspiera go w ogóle?
Cześć. Mam 2 pytania: 1. Czy kody zapasowe to kody generowane do wydrukowania przy każdym nowym portalu na którym zastosuje uwierzytelnianie przez klucz? Czy jest to bardziej coś przypisanego do klucza, które mogę wydrukować w razie jego fizycznego zniszczenia? 2. Aplikacja Yubico Authenticator i Tool Menager nie wykrywają mojego klucza (niebieskiego)- nie wiem co robić? Pozdrawiam!
Czy moglby mi Pan wyjasnic jedną zasade? Otoz kupilem owy klucz, zabezpieczylem konto kryptograficzne mowa tu o gieldzie krypto. Zabezpieczylem konto na komputerze i dziala bardzo ladnie, jak to jest mozliwe ze podczas logowania sie w aplikacji na telefonie tego nie potrzebuje, a gdy loguje sie na komputerze juz tak? czy to normalne, bo jesli tak, to co to za ochrona? z NFC tez sie bawilem i wcale nie mialem przy sobie tego klucza by zostal wykryty, byl na samym koncu dosc sporego mieszkania. Dziekuje wielkie, oraz filmik cholernie rzeczowy, leci sub.
Jest kilka opcji. 1. Giełda ma jakiś wyjątek i nie potrzeba kluczy przy logowaniu na telefonie. 2. Bardziej prawdopodobne - Twój telefon jest już zaufany więc giełda nie pyta o klucz - bo logujesz się na znanym urządzeniu. To bardzo popularne rozwiązanie. Strony często pytają o klucz tylko za pierwszym razem, gdy logujemy się na nowym komputerze/przeglądarce.
Czy można za pomocą jednego klucza Yubikey bezpiecznie się logować do PC i Laptopa ?? Mam kupione 2 sztuki i chciałbym za pomocą jednego bezpiecznie logować się do PC ale też do laptopa, którego często używam a drugą sztukę zostawić jako backup. Jeśli jest to możliwe to jak to zrobić ? Pozdrawiam :)
@@KacperSzurek Czyli na PC w tym programie w miejscu Challenge/Response Secret zaznaczam Generate new... a później na Laptopie w tym samym miejscu klikam Use existing secret... ???
Przecież jak taki dziennik lub bank wprowadziło ta opcje to nie musi fundować wszystkim kluczy to tak jak apki banku oferują logowanie faceid i bank nie funduje wszystkim iphona żeby mogliście logować wystarczy to jako opcjonalna opcje logowania tak jak np kody do weryfikacji itd
Samemu zakupiłem dwa klucze U2F NFC czarne USB A i jutro będą w paczkomacie. Odrazu po wyjęciu będzie zabezpieczenie Facebooka, google, Twittera, Gmail i allegro.
Jako odpowiedź do tego komentarza również dodałem pytanie, pierwszy komentarz o usuwaniu został, a odpowiedź na niego z pytaniem z automatu została usunięta. Czy tu są jakieś zakazane kluczowe słowa czy o co chodzi?
@@KacperSzurek To prawda ręcznie skopiować się oczywiście da. Jeśli jednak w wypełnianiu haseł chcielibyśmy wyręczać oprogramowanie, które zainstalowaliśmy po to żeby nas chroniło, to bez sensu byłoby jego używanie.
@@KacperSzurek Mam powyłączane ręcznie niepotrzebne usługi, plus różne inne modyfikacje i dlatego pytam. Z tego co kojarzę to były tam jakieś karty inteligentne i chyba jakieś klucze. Te usługi nie są związane z yubikey?
@@KacperSzurek Na telefonie wydajnością i wygodą jest lepszy od Firefoxa, ale na komputerze już jest porównywalne. Jednak to Google który może śledzić wyniki wyszukiwania i dane ze stron internetowych które korzystają z jego. Polecam wtyczki jak np. privacy badger i ublock, by zredukować to co Google o tobie wie. Mnie to zawsze przerażało jak np. w allegro szukałem czegoś i przez następny miesiąc w każdej reklamie na każdej stronie to się pokazywało Często używam VPN i mnie denerwuję jak wyświetlają się wyniki wyszukiwania np. po niemiecku a w opcjach nie można zmienić kraju (bez konta) i pez udostępniania lokalizacji. A w duckduckgo mogę wybrać region wyszukiwania na Polskie i po problemie. Firefox domyślnie jest nastawiony na prywatność jak zmiana DNSu na cloudflare i blokowanie złośliwych skryptów. W chrome trzeba ręcznie przeklinać i pozmieniać, by cieszyć się większą prywatnością.
KLUCZE BEZPIECZEŃSTWA WSPIERA Bank Pekao SA - od 14.11.2024 roku. Więc informacje w materiale nieprecyzyjne. Bank prosi tylko o to, aby klient kupił klucze :)
@@KacperSzurek w płatnej wersji nie współpracuje niestety. Czarny klucz paruje się bez problemu a niebieski nie. Support bitwarden odpisał mi :The Yubico Security Key does not support Yubico OTP...
@@pawekowalski648 Działa na 100%. Wybierasz nie tą metodę co potrzeba. Gdy jesteś w oknie dodawanie 2FA na stronie Bitwardena to wybierz "FIDO U2F Security Key" a nie "YubiKey OTP Security Key".
@@KacperSzurek zgadza się, dziękuję za podpowiedź! Niebieski działa. Niestety nie mogę w rozszerzeniu bitwarden (brave) wlączyć autoryzacji kluczem. Przy logowaniu przez stronę jest ok.
Zaczynam wątpić w sensowność bitwarden skoro nie można powiązać kluczy z wtyczkami do przeglądarek. Jeśli ktoś mógłby coś podpowiedzieć to byłbym wdzięczny za pomoc.
@Kacper Szurek Mnie to nie przekonuje. Do firmy spoko, ale do domu bez sensu wywalone pieniądze, bo kto Ci się włamie i po co niby - nie opłaca się to. Ja już ponad 18 lat mam internet w domu i nigdy mi się nie zdarzyło aby ktoś się włamał do komputera czy gdzieś na konto.
@@KacperSzurek Chyba prędzej raczej firmy, nie osoby prywatne. Co niby takiemu prywaciarzowi mieliby zabrać - zdjęcia z wakacji? Instalki pirackiego oprogramowania? Nie sądze aby coś bardziej interesującego znaleźć, dlatego uważam że lepiej im się w firmy opłaci celować i tam już takie klucze jak najbardziej mają sens, aby ot choćby pracownik nie miał dostępu do danych do innego pracownika których wglądu nie jest upoważniony.. Na konto wejść i tak nie wejdą, bo przecież banki tez mają swoje zabezpieczenia i zaryzykuję stwierdzeniem, że zdecydowana większośc jak nie wszystkie mają autoryzację za pomocą SMS, tak więc właściciel ma szansę zareagować i konto zablokować widząc że przyszedł kod a się nie logował.
@PiotrK2022 Ja z internetu korzystam od dawien dawna .Też tak myślałem jak ty ,ale to do teraz .Mamy 2024 rok na przełomie sierpnia i początek września włamano mi się dwa razy na konto FB mimo silnych haseł ( tak myślałem) przejęto też moją pocztę . Pocztę odzyskałem mam dwuetapowe logowanie .Lecz mój adres poszedł w świat i od 1września do 6 września próbowano włamać mi się na pocztę 12 razy .Włamywano mi się ze USA ,Rosji ,Chin i tak dalej .Więc nigdy nie mów nigdy .Pozdrawiam
@@63buli Jak się instaluje pirackie oprogramowanie czy łazi po pornosach i nie wiadomo czym, ew. kl;ika w co popadnie to tak jest... Co do lokalizacji, nie patrz na to, na 99% to nie jest realna lokalizacja bad actora, a lokalizacja VPN . proxy za pośrednictwem którego dokonał włamania, lub ew. inny przejęty komputer. Nikt nie jest takim idioą, a w każdym razie nie doświadczeni hakerzy, aby włamanie dokonywać z własnego IP, bo doskonale o tym wiedzą, że dla policji to żadna filozofia delikwenta w tym momencie zlokalizować, tak więc w tym momencie generalnie to od razu można pakować manetki i spieprzać za granicę, bo nie kwestia czy, a kiedy policja przyjedzie z nakazem..
@@63buli Poza tym to nie jest tak, że jak włamali się to od rtazu Twój komputer został skhakowany. Równie dobrze mogło dojść do włania do serwerów administratora poczty i po prostu wyciągnęli bazę danyuch z serwera i odhashowali hasła, bo hasła są właśnie przechowywane w bazie danych w postaci zaszyfrowanej, tak więc w wypadku uzyskania dostępu do bazy danych , nie ma z tym problemu,u przy dzisiejszych możliwościach GPU zdobyć hasło i zalogować się jak do siebie.
Ja jestem zażenowany tym, że banki nadal nie chcą tego standardu zabezpieczenia konta bankowego wprowadzić... A są przecież klucze U2F Fips NFC od tego producenta.
@@TheGrzes1966 Ma już ING a PKOBP napisało, że wdraża. Tyle, że z ING na web działa a na aplikacji mobilnej jest brak danych. Po wyłączeniu klucza z aplikacji dane się pojawiają. Czy inne banki mają - tego nie wiem.
W mojej opinii, te klucze nie mają większego sensu obecnie, może kiedyś, jeśli będzie to standardem (na co się absolutnie nie zanosi). Kupowanie tak drogich kluczy, tylko dla kilku witryn jest bezsensowne. YubiKey Authenticator do generowania kodów działa ok, ale jest mega upierdliwy i znacznie lepiej radzi sobie w tej dziedzinie aplikacja Aegis, wystarczy wyeksportować dane na jakiś pendrive i mamy gotowy backup, nie trzeba użerać się z kluczami. Przerost formy nad treścią, nic więcej.
Żaden z moich Yubikey nigdy nie prosi o dotknięcie, pomimo że oba zostały poprawnie dodane do konta Google na Chromebooku w programie rozszerzonej ochrony.
Zdecydowanie najlepszy i wyczerpujący materiał szkoleniowy dotyczący obsługi YubiKey w całym necie. Materiały w pdfie rewelacyjne, pięknie przygotowane. Dzięki serdeczne!
1:17:45 wpisywanie hasła na pilocie da się jeszcze przeboleć. Mnie krew zalewała, jak na drukarce hasło do wifi wpisywałem. Litery zmieniało się tylko góra/dół/ok lecąc po kolei alfabet i znaki specjalne. I w dodatku musiałem się pomylić przy pierwszym podejściu
1:16:05 zapomnieć linii papilarnych się nie da, ale da się zetrzeć. Po mocniejszym treningu na ściance wspinaczkowej często przez kilka (zazwyczaj 1-5) dni nie mogę odblokować telefonu za pomocą palca. Ot taka ciekawostka
Zaskakujące- spodziewałbym się prędzej po długim remoncie i pracy z różnymi materiałami chemicznymi, pyłami itd. ciekawe!
Wystarczy skaleczyć się w palec i do zagojenia nic nie zrobisz
Dlatego warto mieć gdzieś ukryty sekretny palec i w razie draki go wyciągasz i jesteś zalogowany do wszystkich urządzeń i serwisów 😏
superglue.
Twarz tez masz "zdartą" ? Bez obrazy, sprobuj tego logowania :)))
Profeska jak zawsze, świetlaną przyszłość wróżę. Dzięki i pozdrawiam
Start 6:35
Nie, dzięki, to dobra nuta, posłucham.
Mam YubiKey 5 NFC i stosuje go do KeePassXC, logowania sie do MX Linuxa i troche w internecie oraz go generowania statycznego dlugiego hasla + moje haslo do archiwizacji plikow. Takze uzywam w VeraCryp-cie. Ogolnie tam gdzie najbardziej go potrzebuje to brak uslug bo w Banku nie ma zrobionej zadnej implementacji pod tym wzgledem. Obecnie najwieksze zastosowanie to generowanie statycznego hasla + moje haslo. Co do zabezpieczen to praktycznie malo kto korzysta z tego typu zabezpieczen a swiadomosc ludzi jest mizerna. Osoby decyzyjne na wysokich stanowiskach bagatelizuja bezpieczenstwo i z oszczednosci finansowych nie inwestuja w klucze sprzetowe. Programisci ktorzy maja sily i srodki nie maja mozliwosci zastosowania konkretnych rozwiazan programowych bo prezesi maja to gdzies, Stad jest jak jest ;)
korzystają korzystają. tyle że yubikey jest mało funkcjonalne a nikt normalny pracy sobie nie utrudnia jak może się równie skutecznie inaczej zabezpieczyć. olałem ta zabawkę na rzecz znacznie lepszej smartcard
Fajne tematy Pan porusza. Ja dzięki Panu skorzystałem z promocji 4 maja - dziękuję:).
Klawo jak ch...era ! Egon. A na powaznie, sposob podania i przeprowadzenia przez temat - wzorcowy. Dobry przyklad dla innych, jak "opowiadac" o waznych rzeczach. Piąteczka Kacper !
U siebie w firmie tak zabezpieczyłem komputery, podczas logowania do systemu każdy pracownik ma przypisany klucz, bez niego się nie zaloguje, tak jak inny nie wejdzie na konto jeśli nawet zna hasło, ale bez klucza nie da rady
Przekonałeś mnie, w końcu się zmobilizuje i kupię :)
czy klucz trzeba jakoś aktywować (piny,kody), czy po wyjęciu z opakowania jest gotowy do użycia?
Bardzo fajna implementacja tego na stronie, musze cos takiego u siebie zrobic. Założyłem sobie nawet u ciebie konto korzystając z mojego klucza ;)
Na atronie x kom aktualnie w komentarzach ktoś podał info, ze producent zmienił kolory. Niebieskie są obecnie również czarne. Trzeba czytac opisy i nie myśleć ze kupuje się droższy w promocji.
Ciekawostkę można dodać taka iż "yubi" to japońskie słowo na palec czy palce. Nie wiem czy cokolwiek to wnosi ale od razu rzuciło mi się to w oczy. Palco klucz. W sumie ma sens bo przeciez trzeba tego klucza dotknąć a robimy to najczęściej palcem.
Fajne! Dzięki za komentarz.
a czy możesz pokazać kod open source jak wyglada autoryzacja przez u2f w kodzie
Tutaj jest to ładnie rozpisane dla programistów: webauthn.guide/
Łapka w ciemno poszła. A teraz oglądamy :)
Jest Kacper - nie ma netflixa. 😁
*19:34* ale w tym momencie tak czy inaczej zatwierdzając hasło, strona phishingowa otrzyma login i hasło, z tym, że nie pozna ani kodu zabezpieczeń, ani żadnych kluczy szufrujących.
Bezpośrednio po rozpakowaniu dodałem dwa klucze do konta Gmail, nie było przy tym pytania o PIN do klucza,
jak jest w przykładzie w poradniku.
Takie pytanie w moim przypadku padło dopiero jak dodawałem klucz do konta Microsoft.
W przypadku Microsoftu jest mechanizm FIDO2, który wymaga kodu PIN,
a z tego co wiem przy koncie Gmail U2F, które nie wymaga PIN'u.
A czy Google wysyła uzytkownikom klucze, czy tylko daje możliwość ich używania? To w kontekście logowania do banku.
*15:18* ciekawe co tak na prawdę odbywa się przy rejestracji, czy jakiś private_key jest wysyłany z fizycznego klucza yubi do serwera i ten przechowuje ten klucz do uwierzytelniania podczas logowania i czy można samemu sobie stworzyć taki klucz fizyczny na zwykłym pendrive i wygenerować klucze RSA i podać jakoś serwerowi taki klucz publiczny?
*18:35* a skąd niby przeglądarka ma wiedzieć na jakiej ma być stronie skoro wszedłeś na strone phishingową?
Za mną chodziło to już od jakiegoś czasu ale ostatecznie jak WP wprowadziło (pewnie przez aferę z dostępem do poczty polityka) tę opcję to sobie zakupiłem ten klucz.
Nie wiem czy to dział ale chyba WP wprowadziło opcję, że telefon po bluetooth może robić za klucz fizyczny zamiast korzystać z yubikeya.
Co do FB i zapasowych kodów to są one tam dostępne dla klucza.
Odnoście zapamiętywania w przeglądarce aby przy logowaniu nie wołać o klucz to po wyczyszczeniu przeglądarki przy kolejny logowaniu trzeba ponownie zaznaczać tę opcję.
Ale po co autoryzować przelewy kluczem? Na początek wystarczy aby można było wykorzystywać to do logowania, bo aktualnie przestępcy potrzebują zalogować się do czyjegoś konta. Jak to im się zabierze to przelewy będą bezpieczne, bo nie wykonają żadnego działania na koncie aby wyłudzać jeszcze kody/potwierdzenia przelewu :)
Ten klucz jest potrzebny wyłącznie wtedy jeśli cokolwiek zabezpiecza, ale pytanie ... co on ma zabezpieczać jeśli praktycznie żaden portal w PL go nie wspiera...
Dodatkowo zmuszanie nas klientów do tego żebyśmy to my prosili portale o wdrażanie niszowego rozwiązania - niech producenci sprzętu o to zadbają.
Dziękuję i nie widzę sensu posiadania.
Kacper, może ty pomożesz bo mi się już pomysły skończyły. Kupiłem 2 klucze Security Key C NFC. Po pomyślnym dodaniu klucza do gieldy binance za pomocą tabletu z androidem( tablet nowy zaktualizowany), i po wylogowaniu się, nie mogłem zalogowac sie spowrotem na tym tablecie. Ani przez stronę binance ani przez aplikację. Działał jednak bez problemu kiedy postanowiłem zalogowac sie na laptopie z Windowsem.Probowalem logowania na innych przeglądarkach, próbowałem też polaczyc maila proton i zawsze to samo. Na tablecie którym dodawałem klucze po wylogowaniu nie działał. Wyskakiwała informacja ze przekroczono limit czasu lub operacja niedozwoloną i weź tu bądź mądry. Może ty coś doradzisz .dzięki z góry i pozdrawiam.
*1:14:48* dlaczego inny temat i nie ma co porównywać?
To może być bardzo podobny temat.
Jak mają się w Google kody aplikacji do ochrony zaawansowanej? Można używać jednego i drugiego?
Jaka jest różnica między kluczem U2F NFC vs U2F Fips NFC?
Cześć Kacper. twój od niedawna (już stały) widz :).. ja mam osobiscie wrazenie (po obejrzeniu naprawde chyba 25 filmow i artykółów nt kluczy sprzetowych) że jest to świetne narzedzie dla administratorow i informatykow programistow i pracownikow sektora IT czy firm outsourcingowych, dla polityków i ważnych osob gdzie maja naprawde ultra wrażliwe dane.. .. natomiast dla 99% pozostałych osób w tym przewrażliwionych ludzi dbających o swoje dane jest to po prostu gadzet. który mam wrazenie ze jest po prostu zbedny. Pozostałe typy zabezpieczen 2FA są wg. mnie osobiście zupelnie wystarczajace dla 99% społeczeństwa. co jak co dla nas gadżeciarzy to i tak must have ;). ps. weryfikacja telefoniczna np przez pracownika banku dla mnie to ściema jak wgl. mozna stwierdzac czyjas tozsamosc przez telefon.. absurd. co wiecej jaka mamy pewnosc ze dzwoni do nas faktycznie pracownik banku..
Pasy bezpieczeństwa też na początku nie były akceptowane przez wszystkich :)
*1:20:00* żadne poważne instytucje nie wdrażały tego, bo nie wiadomo im było jak to działa, na początku yubi wymieniło się technologią z Google i udawali Greka.
Ja nadal nie wiem jak to działa i nie kupie tego dopóki się nie dowiem. Oglądam już chyba z 5-ty filmik o U2F i nikt nie potrafi powiedzieć jak to działa czy w pendrivie jest prv key jakiś RSA i druga strona na zaimplementowanie przetrzymywanie klucza publicznego czy co🤷🏻
Dropbox ma jakieś kombo przy logowaniu. Wygląda jak połączenie U2F z FIDO2, bo loguje się jak przy U2F, a wymaga ode mnie dodatkowo pinu jak w FIDO2.
No rewelacyjnie wszystko wyjaśnione👌
Siemanko , mam pytanie czy klucz U2F na Yubico zawsze pozostaje taki sam, czy jednak jest opcja jego modyfikacji? Póki co używam klucza jako 2Fa so logowania w serwisach i jest dodany do +20 serwisów . Mam tez yubico auth 2Fa i o to sie nie martwię bo mam backupy qrcode . Chce stworzyc hasło statyczne w jednym z slotów i boje sie ze mogę coś nadpisać i stracę dostęp u2f przez nadpisanie np. Drugie pytanie czy u2f jest na jednym ze 2 slotów ?
Na OVH nie działa U2F bo korzystają z starego API U2F a nie WebAuthn napisałem do nich
Jest Bank który wspiera klucz jeżeli chodzi o logowanie
Mam, zacheciles mnie, kiedys korzystalem z truecrypta, jak by to polaczyc np haslo i hmac-sha1, to o ile tc jest bez dziur to nikt mi nic nie zrobi
Nie mam możliwości "logowania kluczem" do facebooka. W ogóle nie pojawia się taka opcja do wyboru. Są tylko SMS i aplikacja. Czy coś się zmieniło?
Po powinni usunąć przez SMS, lub dać możliwość przez 2FA TOTP.
Smsy można przechwycić dzięki SIM SWAP, a kodów z aplikacji nie.
Sprawdź ten poradnik: cdn.szurek.pl/yubikey.pdf
Czy mogę korzystać z klucza zamiast używać menadżera haseł? Czy te dwie rzeczy muszą być połączone? Jeśli nie to co lepiej wybrać, klucz czy menadżer? Pewnie najlepszą opcją będzie to i to jednak co warto wybrać najpierw?
W przyszłości - może będzie to możliwe. Na ten moment mało serwisów wspiera klucze. Więc używanie menadżera to dalej konieczność. Bo większość serwisów po prostu wymaga hasła.
mam problem z tym kluczem ponieważ dodałem go do swojej poczty na Onecie. Proces dodawania przeszedł bez problemu jednak przy próbie ponownego zalogowania i podłączeniu klucza wyświetla informacje ze dane uwierzytelnienia dla tego konta nie istnieją. Co robić w tej sytuacji?
Nie pozostaje nic innego jak napisać do pomocy technicznej Onetu.
@@KacperSzurek właśnie to zrobiłem. Pytanie dlaczego tak się stało?
Magnes nie zepsuje klucza on dział podobnie jak karta wejść wyjść, jest antena cewka indukuje się w niej prąd zbiera się w kondensatorze i stamtąd do procesora tam szybka akcja i odpowiedz na zapytanie przez tą samą antenę wychodzi w przypadku NFS a usb to zasilanie z zewnątrz wszystko to fizyka banały
Fajny poradnik. Pozdro tego typu.
🦬
Ciekawą opcją byłoby, gdyby przycisk na kluczu działał na linie papilarne.
Są takie - ale droższe. Zobacz YubiKey BIO.
Czy jeśli kupię dwa klucze to każdy osobno trzeba dodać do danego konta?
Tak :)
Dziękuję Ci za film
Czy dobrze to zrozumiałem. Tan klucz nie posiada wbudowanej pamięci i dla każdej strony na którą się logujemy generuje on klucz autoryzacyjny (generatorem pseudolosowym) na podstawie URL czy jakiejś części URL (URL jest seedem). Co jeśli jakaś strona / firma / usługa zmienia swoją nazwę i za tym idzie zmiana adresu domeny? Czy po takiej zmianie ten klucz dla tych samych danych logowania co na poprzednim adresie wygeneruje już inny klucz autoryzacyjny? Czy będzie to oznaczało że już się nie zalogujemy na to konto? Jeśli nie, to na jakiej podstawie generowany jest klucz autoryzacyjny, bo w takim razie seed na podstawie którego jest on generowany musi jakoś być przenoszony razem z całą infrastrukturą danej strony.
Działa to nieco inaczej. Dokładniej opowiadam to w innym filmie: ua-cam.com/video/uku-G_COA7U/v-deo.html od 22:33
@@KacperSzurek Dzięki, wiele wyjaśnia ten film :) Ale z tego wynika, że gdy dana strona obsługuje U2F, to jeśli zmieniła by swój adres, to wtedy nowy adres zostanie uznany jako strona phishingowa i nie zalogujemy się naszym kluczem na "stare" konto, tylko w jakiś sposób trzeba by kombinować z odzyskiwaniem dostępu i dopiero wtedy jeszcze raz dodać ten klucz do konta z już nowego adresu.
@@grzenio_l Z tego co wiem dokładnie tak by było. Ale umówmy się: strony nie zmieniają adresów co 2 dni. A nawet jeśli jakaś strona zmienia - to dalej ma dostęp do "starej domeny" i przez okres przejściowy może umożliwić użytkownikom logowanie przez stary adres.
Dziękuję super materiał 😁
jeśli chodzi o tanie klucze to OpenSk feitiana kosztuje $10 w USA
Ale w Polsce chyba nie bardzo da się to kupić?
@@KacperSzurek niestety tu jest problem, ja kupiłem dla siebie i drugiej osoby w sumie 5 kluczy z czego 2 OpenSK (jako zapasowe) i jenen micro. więc przesyłka niebyła bolesna. do tego mam portfe fizyczny krypto i wychodzi że do każdego konta mam przypisane 4 urządzenia i do tego Fido U2F jest podparte seed-em wiec nawet po utracie wszystkiego mam jak się dostać do większości kont.
ile kosztowała przesyłka?
@@opvol1840 ok 10$
mam klucz czarny 5c nfc usb c i działa z przejściówką egreen bez problemu polecam
czy klucz przypisuje się do jakiegoś konta producenta? Można znaleziony klucz wyczyscic i używać ? :) pomijam kontekst bezpieczeństwa
Nie przypisuje się. Jeśli ktoś go znajdzie, może wyczyścić konfigurację i używać jak nowy.
Chyba nie rozumiem co pokazuje tabelka z 29.00. Wers z opera 'all' na czerwono to wers apek obsługujących logowanie z kluczem? Poprzez nfc również (idąc za przykładem z filmu, jak ktoś powiedział, że Brave tej opcji już nie ma)? Czyli opera nie wspiera go w ogóle?
Lepiej to widać, gdy wejdziesz na stronę. Według niej Opera Mini nie wspiera tego protokołu (all na czerwono).
@@KacperSzurek ok, to są wersje przeglądarki, teraz ma więcej sensu. Wielkie dzięki za odpowiedź i film :)
Cześć. Mam 2 pytania: 1. Czy kody zapasowe to kody generowane do wydrukowania przy każdym nowym portalu na którym zastosuje uwierzytelnianie przez klucz? Czy jest to bardziej coś przypisanego do klucza, które mogę wydrukować w razie jego fizycznego zniszczenia? 2. Aplikacja Yubico Authenticator i Tool Menager nie wykrywają mojego klucza (niebieskiego)- nie wiem co robić? Pozdrawiam!
Kody zapasowe są przypisane do konkretnego konta na konkretnej stronie.
Yubico Authenticator działa tylko z droższymi czarnymi kluczami.
@@KacperSzurek dziekuje🤗
czy mozna sie dostac do click2 - hasla statycznego przez nfc na androidzie ?
Znalazłem ten wątek:forum.yubico.com/viewtopic5dea.html?p=3576
Ale jest tam tylko o "NDEF".
Więc to raczej nie to czego oczekujesz.
Jak to jest z bezpieczeństwem iPhone'ów, skoro nie można używać Yubikey do konta Apple?
Nagrałem o tym cały odcinek: m.ua-cam.com/video/ehyE6wRtSto/v-deo.html
kod pin - strzelam ze cztery cyfry + klucz czyli wystarczy ukrasc klucz i przetestowac kombinacje pin ?
Po 8 błednych PINach - klucz się blokuje.
Wątpię aby tobie się udało odgadnąć pin tego klucza.
Mój pin to więcej niż 4 elementy.
Blokuje się definitywnie(jest do wyrzucenia) czy czasowo?
Czy moglby mi Pan wyjasnic jedną zasade?
Otoz kupilem owy klucz, zabezpieczylem konto kryptograficzne mowa tu o gieldzie krypto. Zabezpieczylem konto na komputerze i dziala bardzo ladnie, jak to jest mozliwe ze podczas logowania sie w aplikacji na telefonie tego nie potrzebuje, a gdy loguje sie na komputerze juz tak? czy to normalne, bo jesli tak, to co to za ochrona? z NFC tez sie bawilem i wcale nie mialem przy sobie tego klucza by zostal wykryty, byl na samym koncu dosc sporego mieszkania. Dziekuje wielkie, oraz filmik cholernie rzeczowy, leci sub.
Jest kilka opcji. 1. Giełda ma jakiś wyjątek i nie potrzeba kluczy przy logowaniu na telefonie. 2. Bardziej prawdopodobne - Twój telefon jest już zaufany więc giełda nie pyta o klucz - bo logujesz się na znanym urządzeniu. To bardzo popularne rozwiązanie. Strony często pytają o klucz tylko za pierwszym razem, gdy logujemy się na nowym komputerze/przeglądarce.
@@KacperSzurek brałem to pod uwage, ale zawsze warto spytac. Dziekuje za bardzo szybką, konkretną odpowiedz. MIlego
Czy można za pomocą jednego klucza Yubikey bezpiecznie się logować do PC i Laptopa ?? Mam kupione 2 sztuki i chciałbym za pomocą jednego bezpiecznie logować się do PC ale też do laptopa, którego często używam a drugą sztukę zostawić jako backup. Jeśli jest to możliwe to jak to zrobić ? Pozdrawiam :)
Jest to możliwe przy pomocy www.yubico.com/products/computer-login-tools/ ale generalnie nie polecam :)
@@KacperSzurek Czyli na PC w tym programie w miejscu Challenge/Response Secret zaznaczam Generate new... a później na Laptopie w tym samym miejscu klikam Use existing secret... ???
@@KacperSzurekdlaczego?
Będzie poradnik jak skonfigurować te urządzenia?
Sprawdź: Jak używać YubiKey? Co to jest 2FA/U2F/FIDO2?
ua-cam.com/video/uku-G_COA7U/v-deo.html
Przecież jak taki dziennik lub bank wprowadziło ta opcje to nie musi fundować wszystkim kluczy to tak jak apki banku oferują logowanie faceid i bank nie funduje wszystkim iphona żeby mogliście logować wystarczy to jako opcjonalna opcje logowania tak jak np kody do weryfikacji itd
Samemu zakupiłem dwa klucze U2F NFC czarne USB A i jutro będą w paczkomacie. Odrazu po wyjęciu będzie zabezpieczenie Facebooka, google, Twittera, Gmail i allegro.
Kawał solidnej wiedzy.
Thank you and best regards.
Czy ten klucz będzie działał na stronach które nie wspierają tej technologii ?
Nie. Strona musi wspierac U2F/FIDO2
Kacper, czy mógłbyś nagrać nową serię o nowym wydaniu OWASP top10?
Zobaczymy ;) ale nic nie obiecuje.
Czemu moje komentarze z pytaniem pod tym filmem zostają automatycznie usunięte po paru sekundach?
Jako odpowiedź do tego komentarza również dodałem pytanie, pierwszy komentarz o usuwaniu został, a odpowiedź na niego z pytaniem z automatu została usunięta. Czy tu są jakieś zakazane kluczowe słowa czy o co chodzi?
Niestety YT czasami tak robi. Proponuje dodawać do skutku. Niestety nie mam nad tym żadnej kontroli.
"Z menedżera haseł można wkleić hasło w złe miejsce np. na stronę phisingową"
Możesz wejść w opcje konkretnej strony i je skopiować. Automatycznie Ci tego nie podpowie - ale skopiować ręcznie - możesz.
@@KacperSzurek To prawda ręcznie skopiować się oczywiście da. Jeśli jednak w wypełnianiu haseł chcielibyśmy wyręczać oprogramowanie, które zainstalowaliśmy po to żeby nas chroniło, to bez sensu byłoby jego używanie.
@@Banitus_Pospolitus ja to wiem, Ty to wiesz - ale nie każdy to wie :)
Jakie usługi na Windows są konieczne do obsługi klucza?
Do logowania U2F/FIDO2 -> sama przeglądarka. To działa na zasadzie plug and play - troche jak klawiatura/mysz.
@@KacperSzurek Mam powyłączane ręcznie niepotrzebne usługi, plus różne inne modyfikacje i dlatego pytam. Z tego co kojarzę to były tam jakieś karty inteligentne i chyba jakieś klucze. Te usługi nie są związane z yubikey?
Nie lepszy Firefox?
A w czym lepszy? :) to trochę jak porównywanie Linuxa i Windowsa i Maca. Każda ma swoje plusy i minusy :)
@@KacperSzurek Na telefonie wydajnością i wygodą jest lepszy od Firefoxa, ale na komputerze już jest porównywalne.
Jednak to Google który może śledzić wyniki wyszukiwania i dane ze stron internetowych które korzystają z jego.
Polecam wtyczki jak np. privacy badger i ublock, by zredukować to co Google o tobie wie.
Mnie to zawsze przerażało jak np. w allegro szukałem czegoś i przez następny miesiąc w każdej reklamie na każdej stronie to się pokazywało
Często używam VPN i mnie denerwuję jak wyświetlają się wyniki wyszukiwania np. po niemiecku a w opcjach nie można zmienić kraju (bez konta) i pez udostępniania lokalizacji.
A w duckduckgo mogę wybrać region wyszukiwania na Polskie i po problemie.
Firefox domyślnie jest nastawiony na prywatność jak zmiana DNSu na cloudflare i blokowanie złośliwych skryptów.
W chrome trzeba ręcznie przeklinać i pozmieniać, by cieszyć się większą prywatnością.
Co to za muza na koncu ?
Space Odyssey - Simon Jomphe Lepine
@@KacperSzurek Love U ;) dzieki
KLUCZE BEZPIECZEŃSTWA WSPIERA Bank Pekao SA - od 14.11.2024 roku. Więc informacje w materiale nieprecyzyjne. Bank prosi tylko o to, aby klient kupił klucze :)
23:00
Na stronach Apple znalazłem: Informacja o ochronie Apple ID za pomocą kluczy bezpieczeństwa
Tak od pewnego czasu jest to możliwe: blog.szurek.tv/post/jak-dodac-yubikey-do-konta-apple/
@@KacperSzurek
Dziękuję za szybką odpowiedź. Właśnie dodałem do mojego konta G. Pytanie jakie opcje powinienem sobie teraz zostawić a które wyłączyć?
Bitwarden nie współpracuje z niebieskim kluczem.
To nie prawda. Klucze niebieskie działają ale tylko w płatnej wersji PRO. Wtedy w menu „Two-step Login” jest dostępna opcja „FIDO2 WebAuthn”.
@@KacperSzurek w płatnej wersji nie współpracuje niestety. Czarny klucz paruje się bez problemu a niebieski nie. Support bitwarden odpisał mi :The Yubico Security Key does not support Yubico OTP...
@@pawekowalski648 Działa na 100%. Wybierasz nie tą metodę co potrzeba. Gdy jesteś w oknie dodawanie 2FA na stronie Bitwardena to wybierz "FIDO U2F Security Key" a nie "YubiKey OTP Security Key".
@@KacperSzurek zgadza się, dziękuję za podpowiedź! Niebieski działa. Niestety nie mogę w rozszerzeniu bitwarden (brave) wlączyć autoryzacji kluczem. Przy logowaniu przez stronę jest ok.
Zaczynam wątpić w sensowność bitwarden skoro nie można powiązać kluczy z wtyczkami do przeglądarek. Jeśli ktoś mógłby coś podpowiedzieć to byłbym wdzięczny za pomoc.
Masz jakiś znajomy głos... :) pozdrawiam
38:28 Są tańsze odpowiedniki tego bajeru na klucze.
PKO BP wprowadził klucze.
@Kacper Szurek Mnie to nie przekonuje. Do firmy spoko, ale do domu bez sensu wywalone pieniądze, bo kto Ci się włamie i po co niby - nie opłaca się to. Ja już ponad 18 lat mam internet w domu i nigdy mi się nie zdarzyło aby ktoś się włamał do komputera czy gdzieś na konto.
Panu może nie. Ale takich sytuacji jest dziennie tysiące.
@@KacperSzurek Chyba prędzej raczej firmy, nie osoby prywatne. Co niby takiemu prywaciarzowi mieliby zabrać - zdjęcia z wakacji? Instalki pirackiego oprogramowania? Nie sądze aby coś bardziej interesującego znaleźć, dlatego uważam że lepiej im się w firmy opłaci celować i tam już takie klucze jak najbardziej mają sens, aby ot choćby pracownik nie miał dostępu do danych do innego pracownika których wglądu nie jest upoważniony.. Na konto wejść i tak nie wejdą, bo przecież banki tez mają swoje zabezpieczenia i zaryzykuję stwierdzeniem, że zdecydowana większośc jak nie wszystkie mają autoryzację za pomocą SMS, tak więc właściciel ma szansę zareagować i konto zablokować widząc że przyszedł kod a się nie logował.
@PiotrK2022 Ja z internetu korzystam od dawien dawna .Też tak myślałem jak ty ,ale to do teraz .Mamy 2024 rok na przełomie sierpnia i początek września włamano mi się dwa razy na konto FB mimo silnych haseł ( tak myślałem) przejęto też moją pocztę . Pocztę odzyskałem mam dwuetapowe logowanie .Lecz mój adres poszedł w świat i od 1września do 6 września próbowano włamać mi się na pocztę 12 razy .Włamywano mi się ze USA ,Rosji ,Chin i tak dalej .Więc nigdy nie mów nigdy .Pozdrawiam
@@63buli Jak się instaluje pirackie oprogramowanie czy łazi po pornosach i nie wiadomo czym, ew. kl;ika w co popadnie to tak jest... Co do lokalizacji, nie patrz na to, na 99% to nie jest realna lokalizacja bad actora, a lokalizacja VPN . proxy za pośrednictwem którego dokonał włamania, lub ew. inny przejęty komputer. Nikt nie jest takim idioą, a w każdym razie nie doświadczeni hakerzy, aby włamanie dokonywać z własnego IP, bo doskonale o tym wiedzą, że dla policji to żadna filozofia delikwenta w tym momencie zlokalizować, tak więc w tym momencie generalnie to od razu można pakować manetki i spieprzać za granicę, bo nie kwestia czy, a kiedy policja przyjedzie z nakazem..
@@63buli Poza tym to nie jest tak, że jak włamali się to od rtazu Twój komputer został skhakowany. Równie dobrze mogło dojść do włania do serwerów administratora poczty i po prostu wyciągnęli bazę danyuch z serwera i odhashowali hasła, bo hasła są właśnie przechowywane w bazie danych w postaci zaszyfrowanej, tak więc w wypadku uzyskania dostępu do bazy danych , nie ma z tym problemu,u przy dzisiejszych możliwościach GPU zdobyć hasło i zalogować się jak do siebie.
Ja jestem zażenowany tym, że banki nadal nie chcą tego standardu zabezpieczenia konta bankowego wprowadzić... A są przecież klucze U2F Fips NFC od tego producenta.
Może banki wiedzą coś więcej niż mówią sprzedawcy Yubikeyów.
@@TheGrzes1966 Ma już ING a PKOBP napisało, że wdraża. Tyle, że z ING na web działa a na aplikacji mobilnej jest brak danych. Po wyłączeniu klucza z aplikacji dane się pojawiają. Czy inne banki mają - tego nie wiem.
ING wprowadziło
Jak zawsze mistrz.
Aktualizacja. Od jakiegoś czasu Yubico zmieniło kolory kluczy i teraz wszystkie są czarne.
Niebezpiecznik właśnie tweetnął że ING wprowadza klucze U2F.
W mojej opinii, te klucze nie mają większego sensu obecnie, może kiedyś, jeśli będzie to standardem (na co się absolutnie nie zanosi). Kupowanie tak drogich kluczy, tylko dla kilku witryn jest bezsensowne. YubiKey Authenticator do generowania kodów działa ok, ale jest mega upierdliwy i znacznie lepiej radzi sobie w tej dziedzinie aplikacja Aegis, wystarczy wyeksportować dane na jakiś pendrive i mamy gotowy backup, nie trzeba użerać się z kluczami. Przerost formy nad treścią, nic więcej.
Póki nie działa w bankach - prawie bez sensu
Dla niektórych bezpieczeństwo Gmaila/Facebooka/Twittera/GitHuba/Konta Microsoftu jest istotne.
@@KacperSzurek owszem
@@Fil0125 Już działa w ING od lipca tego roku
Ciekawe, czy ktoś robi komputery, które wspierają te protokoły? Taki wbudowany U2f w laptopa.
To idzie w taką stronę. Zobacz passkeys.
Żaden z moich Yubikey nigdy nie prosi o dotknięcie, pomimo że oba zostały poprawnie dodane do konta Google na Chromebooku w programie rozszerzonej ochrony.
Pewno Twój Chromebook jest zapisany jako „zaufane urządzenie”.
część banków (BS) wprowadziły
Więc czekam aż Adam przenosi konta
Jeszcze jest coś takiego jak telefon jako klucz bezpieczeństwa....
Gdy nagrywano ten film takie opcje jeszcze nie istniały ;)
@@KacperSzurek domyśliłem się 😉
@@KacperSzurek w dzisiejszych czasach strasznie dużo oszustów w necie....
@@KacperSzurek ale mogło by być też coś takiego jak, nie wiem jak to nazwać... Blokowanie kamerki selfi w telefonie przy surfowaniu w necie
Wytrzymałość klucza yubukey to nie kwestia plastiku lecz bardzo grubego laminatu.
Już omówił to Niebezpiecznik dawno temu... 😒
Ja też już o tym opowiadałem 2 lata temu. Ale w inny sposób.
to już kablem nie mozna tv podpiąć xD
obejrzalem 10 minut filmu a typ dalej nie powiedzial co to jest lol. disslike
Zachęcam do użycia sygnatur czasowych.
@@KacperSzurek zwracam honor i zamieniam disslike w like. Nie zauważylem, ze takowe są
Plastikowe dziadostwo. Potrzebne to jest po to aby utrudniać sobie życie i się stresować czy zadziała.
Od niedawna PKO.BP wspiera Yubico