@@KacperSzurek problemem jest brak możliwości skanowania na telefonie. Jak się studiuje informatykę to synapsy w mózgu lepiej pracują i drążą temat. A przynajmniej galeria na iOS pozwala na odczyt kodów qr
Dziękuję również Kacper. W Piątek przyszła moja para kluczy i byłem w szoku że w GNU/Linux to było szybkie do ustawienia. Przeczytałem trochę książek i coś tam wiem ale na Twoim kanale nauczyłem się naprawdę sporo, i warto tu zaglądać dziękuję. Samych sukcesów. 💪
Moja pierwsza styczność z 2fa była lata temu, ustawiłem je na wszystkie serwisy jakie wtedy miałem po czym... stłukłem telefon na drugi dzień i kolejme 3h usuwania 2fa z kont. Dzisiaj to już yubikey, backupy w szyfrowanym sejfie itp, droga do bezpieczeństwa jest drogą wyrzeczeń.
Cześć, mam klucz firmy Thetis, jest zaprojektowany w Kaliforni, ale wyprodukowany w Chinach. Miejsce produkcji budzi moje wątpliwości. Czy uważasz, że lepiej sobie odpuścić tę markę?
W sieci Play wymiana karty trwa kilka godzin. W tym czasie wysyłają smsy i maile z informacją o wymianie karty. Więc można ten proces przerwać, jeżeli to nie Ty zleciłeś wymianę karty. Kiedyś robili to w kilka minut. Na początku ten dłuższy okres oczekiwania mnie irytował, teraz wiem, że to dla mojego bezpieczeństwa.
Czy użytkownik ma prawo ustawić u operatora funkcję "zgadzam się na autoryzację nowego urządzenia TYLKO w salonie? Nie. Czy użytkownik ma prawo ustawić limit przelewów powyżej kwoty "X" na "tylko w moim banku"? Też nie. Czy obywatel ma prawo ustawić w krajowej bazie sygnał "nie biorę pożyczek/kredytów/umów na telefon"? Także nie. Przykra rzeczywistość jest taka, że szafuje się naszym bezpieczeństwem bez względu na osobiste podejście do kwestii bezpieczeństwa.
Najgorszą rzeczą jaką może zrobić operator, to jednostronne patrzenie na temat. W Polsce znacznie większym problemem są zgubienia i kradzieże telefonów, niż wyłudzenia duplikatów kart SIM, dlatego większość operatorów miało politykę natychmiastowej dezaktywacji starej karty SIM. Wyrabianie duplikatów kart SIM na lewe papiery, to rzadkie przypadki, ale pod wpływem presji medialnej operatorzy zmieniają procedury, bo różne "niebezpieczniki" nagłośniły kilka takich przypadków aby robić zasięgi. Teraz u niektórych operatorów jest tak, że złodziej napada właściciela telefonu, zmusza go do podania PIN-u odblokowującego, a następnie przez pół dnia prawowity właściciel numeru jest bezsilny "dla jego własnego bezpieczeństwa" a złodziej z jego numeru robi co chce :D Cieszę się, że nie wszyscy operatorzy za tym podążyli. Problemem jest autoryzacja w niektórych serwisach za pomocą kodów SMS oraz czasem niedokładna autoryzacja użytkownika w salonie przy wyrabianiu duplikatu SIM (niestaranne sprawdzenie dokumentów, wzoru podpisu itp.) a nie to, że operator pod względem technicznym realizuje to w kilka minut.
Ale to jednorazowy zakup, nie trzeba co miesiąc lub rok zmieniać jak np. licencję na antywirusa w systemie i inne VPN itd. Tak więc jest drogo ale tylko raz, a potem jest FREE.
1:05:00 - co do wycieku hasła do nieaktywnego konta. Co w sytuacji, gdy taka osoba zaloguje się na czyjeś nieaktywne konto i zacznie w imieniu tej osoby rozpowszechniać rózne szkodliwe informacje?
Ktos cos moze polecic na androida do sledzenie telefonu ? Nie platnego i dzialajacego 24h. Bawilem sie kilkoma niby darmowymi programami oraz Family Link ale nie zadawala mnie ze wzgledu na to ze po blokowaniu telefonu nie wskazuje na zywo lokalizacji dopoki telefon sie nie odblokuje. Bardzo mi zalezy na ciaglym polozeniu urzadzenia nawet za cene energi bateri.
@@_shy_fox_ Mam cały czas ten sam numer telefonu komórkowego od 1999 roku, podawany jest w bankach, Urzędzie Skarbowym, w Signalu, WhatsApp, jest podany w Facebooku, jest przypisany do konta Google i nie miałem więcej niż 1-2 telefony od akwizytorów rocznie, a od kiedy Google objęło filtrem antyspamowym w Androidzie także Polskę (smartfon musi mieć niemodowaną, Googlową aplikację Telefon, w tych wszystkich Xiaomi, Samsungach itd., z modyfikacjami i nakładkami to nie działa), to nie mam takich telefonów w ogóle. Inna rzecz, że przy przedłużaniu umowy większość operatorów komórkowych daje 5zł/m-c zniżki za wyrażenie zgód marketingowych a ja z takiej "promocji" zawsze świadomie rezygnuję (większość ludzi milcząco się godzi, nawet nie czyta szczegółów umów, a potem są zdziwieni telefonami). W przypadku telemarketerów w większości numery są po prostu losowane i nie pochodzą z żadnej bazy - telefonie komórkowe mają 13 prefiksów dwucyfrowych, w każdym prefiksie jest pula 10 milionów numerów, czyli razem jest to 130 możliwych milionów numerów komórkowych. Biorąc pod uwagę, że aktywnych numerów komórkowych jest około 40 milionów, to nawet wybierając w tych prefiksach numer "na pałę", mniej więcej w 30% przypadków w kogoś trafisz. Mało tego, wielu ludzi zmieniając numer nie ma świadomości, że dostają numer po kimś, kto go przestał używać na przykład rok temu i niezależnie od tego jak bardzo będą dbać o swój numer, to on już może być dawno "w bazach telemarketerów" po kimś innym. Moim zdaniem obecnie najlepsze co mogą zrobić zwyczajni użytkownicy, to korzystanie z filtrów spam-u w swoich smartfonach (i zgłaszanie numerów, które mimo wszystko jakoś się przez ten spam przebiją). Ja od mniej więcej 2-3 lat nie miałem ani jednego śmieciowego telefonu pomimo braku jakiegoś specjalnego chronienia go (uchronienie numeru telefonu obecnie jest niemożliwe, nawet jeśli Ty będziesz o to dbał, to powiedzmy wystarczy, że Twój znajomy będzie miał do Ciebie numer zapisany w swoim telefonie a jednocześnie zainstaluje Messengera, Facebooka, WhatsAppa czy coś w tym stylu i pozamiatane). Nie można uzależniać swojego bezpieczeństwa od "tajności" własnego numeru, bo to jest bezpieczeństwo iluzoryczne (podobnie jak z numerem PESEL - żadne bezpieczeństwo nie powinno być oparte na tym, że ten numer zna tylko jego właściciel).
Witam, co do kwestii wyrobienia nowej karty SIM - to na obecne czasy, jest to dość słaby pomysł. Ale jako jedna z alternatyw, jest możliwa - choć wątpliwa. Napiszę do Ciebie na e-mail. Pozdrawiam
Małe pytanie do pana Kacpra. Sekret 2FA z jednej strony musi być zapisany w aplikacji autentykującej, ale z drugiej strony na serwerze (np. facebooku) i to, jak sądzę, w tym samym rekordzie co hasło użytkownika. W razie wycieku bazy, wyciekną także sekrety 2FA. Pewnie sekrety są szyfrowane (jak?), ale jednak to wyciek... Jak się to ma do bezpieczeństwa? Może gdzieś już pan o tym mówił, to proszę o wskazanie, gdzie można tych informacji wysłuchać.
Od kiedy poznałem Twój kanał nabyłem menadżera haseł, oraz yubikey. Wiele zmieniłem w swoich zabezpieczeniach systemowych. Dzięki Ci za to!
Ja to samo!
Jak zwykle porządna dawka przydatnej wiedzy, dzięki Kacper!
Pomyślałem, a sprawdzę do czego prowadzi ten kod qr. Świetny sposób na autoreklamę
To taki „easter egg”. Myślałem, że więcej osób zwróci na to uwagę. A jesteś pierwszy ;)
@@KacperSzurek problemem jest brak możliwości skanowania na telefonie. Jak się studiuje informatykę to synapsy w mózgu lepiej pracują i drążą temat. A przynajmniej galeria na iOS pozwala na odczyt kodów qr
kropa dla zasięgu .
dzięki wielkie za film. Dzięki Tobie mam yubikey-a i czuje się bezpieczniejszy, więc wielki plus!
Dziękuję również Kacper. W Piątek przyszła moja para kluczy i byłem w szoku że w GNU/Linux to było szybkie do ustawienia.
Przeczytałem trochę książek i coś tam wiem ale na Twoim kanale nauczyłem się naprawdę sporo, i warto tu zaglądać dziękuję. Samych sukcesów. 💪
Dzięki
Moja pierwsza styczność z 2fa była lata temu, ustawiłem je na wszystkie serwisy jakie wtedy miałem po czym... stłukłem telefon na drugi dzień i kolejme 3h usuwania 2fa z kont.
Dzisiaj to już yubikey, backupy w szyfrowanym sejfie itp, droga do bezpieczeństwa jest drogą wyrzeczeń.
wystarczyło wyrobić duplikat karty sim
@@arturkozowski9093 na 2fa w aplikacjach?
@@Frogy098 kumam :/
Cześć, mam klucz firmy Thetis, jest zaprojektowany w Kaliforni, ale wyprodukowany w Chinach. Miejsce produkcji budzi moje wątpliwości. Czy uważasz, że lepiej sobie odpuścić tę markę?
jeszcze jest authenticator od microsoftu
W sieci Play wymiana karty trwa kilka godzin. W tym czasie wysyłają smsy i maile z informacją o wymianie karty. Więc można ten proces przerwać, jeżeli to nie Ty zleciłeś wymianę karty. Kiedyś robili to w kilka minut. Na początku ten dłuższy okres oczekiwania mnie irytował, teraz wiem, że to dla mojego bezpieczeństwa.
Czy użytkownik ma prawo ustawić u operatora funkcję "zgadzam się na autoryzację nowego urządzenia TYLKO w salonie? Nie.
Czy użytkownik ma prawo ustawić limit przelewów powyżej kwoty "X" na "tylko w moim banku"? Też nie.
Czy obywatel ma prawo ustawić w krajowej bazie sygnał "nie biorę pożyczek/kredytów/umów na telefon"? Także nie.
Przykra rzeczywistość jest taka, że szafuje się naszym bezpieczeństwem bez względu na osobiste podejście do kwestii bezpieczeństwa.
Najgorszą rzeczą jaką może zrobić operator, to jednostronne patrzenie na temat. W Polsce znacznie większym problemem są zgubienia i kradzieże telefonów, niż wyłudzenia duplikatów kart SIM, dlatego większość operatorów miało politykę natychmiastowej dezaktywacji starej karty SIM. Wyrabianie duplikatów kart SIM na lewe papiery, to rzadkie przypadki, ale pod wpływem presji medialnej operatorzy zmieniają procedury, bo różne "niebezpieczniki" nagłośniły kilka takich przypadków aby robić zasięgi. Teraz u niektórych operatorów jest tak, że złodziej napada właściciela telefonu, zmusza go do podania PIN-u odblokowującego, a następnie przez pół dnia prawowity właściciel numeru jest bezsilny "dla jego własnego bezpieczeństwa" a złodziej z jego numeru robi co chce :D Cieszę się, że nie wszyscy operatorzy za tym podążyli. Problemem jest autoryzacja w niektórych serwisach za pomocą kodów SMS oraz czasem niedokładna autoryzacja użytkownika w salonie przy wyrabianiu duplikatu SIM (niestaranne sprawdzenie dokumentów, wzoru podpisu itp.) a nie to, że operator pod względem technicznym realizuje to w kilka minut.
Klasa ;)
ktos moze sie wypowiedziec o Winkeo FIDO U2F firmy NEOWAVE z np. Amazon ?
Też jestem ciekawy - są to jedne z tańszych kluczy.
29:34 Jak to "nielegalne"? Czy nielegalne tylko, jak kogoś tym oszukam? Bo na przykład chciałbym dowód dla kota, ale takiego nie da się wyrobić :(
Ech... Gdyby Yubikey był tańszy... Ewentualnie powszechnie używany, m. in. przez banki, to by wysoka cena tak bardzo nie uwierała portfela...
Ale to jednorazowy zakup, nie trzeba co miesiąc lub rok zmieniać jak np. licencję na antywirusa w systemie i inne VPN itd. Tak więc jest drogo ale tylko raz, a potem jest FREE.
Z tymi bankami to uwaga, bo ING planuje w 2023 wdrożyć U2F
1:05:00 - co do wycieku hasła do nieaktywnego konta. Co w sytuacji, gdy taka osoba zaloguje się na czyjeś nieaktywne konto i zacznie w imieniu tej osoby rozpowszechniać rózne szkodliwe informacje?
Słuszna uwaga.
Ktos cos moze polecic na androida do sledzenie telefonu ? Nie platnego i dzialajacego 24h. Bawilem sie kilkoma niby darmowymi programami oraz Family Link ale nie zadawala mnie ze wzgledu na to ze po blokowaniu telefonu nie wskazuje na zywo lokalizacji dopoki telefon sie nie odblokuje. Bardzo mi zalezy na ciaglym polozeniu urzadzenia nawet za cene energi bateri.
Jak się nazywa ta muzyka z intro transmisji?
Nigdy bym nie podał twitterowi, ani żadnej innej stronie numeru telefonu.
Używam 2FA TOTP z aplikacji.
Numer telefonu można.... "wyczarować"🥶🙄
@@ewadrzyd8086 Jak tego nie weryfikują to daję fałszywy, jak weryfikują biorę z internetu darmowy publiczny numer.
Odkąd mam nowy numer i go nigdzie nie podaję to ani razu żaden telemarket, czy scam sms nie przyszedł.
Ciekawe dlaczego...
@@_shy_fox_ Mam cały czas ten sam numer telefonu komórkowego od 1999 roku, podawany jest w bankach, Urzędzie Skarbowym, w Signalu, WhatsApp, jest podany w Facebooku, jest przypisany do konta Google i nie miałem więcej niż 1-2 telefony od akwizytorów rocznie, a od kiedy Google objęło filtrem antyspamowym w Androidzie także Polskę (smartfon musi mieć niemodowaną, Googlową aplikację Telefon, w tych wszystkich Xiaomi, Samsungach itd., z modyfikacjami i nakładkami to nie działa), to nie mam takich telefonów w ogóle. Inna rzecz, że przy przedłużaniu umowy większość operatorów komórkowych daje 5zł/m-c zniżki za wyrażenie zgód marketingowych a ja z takiej "promocji" zawsze świadomie rezygnuję (większość ludzi milcząco się godzi, nawet nie czyta szczegółów umów, a potem są zdziwieni telefonami).
W przypadku telemarketerów w większości numery są po prostu losowane i nie pochodzą z żadnej bazy - telefonie komórkowe mają 13 prefiksów dwucyfrowych, w każdym prefiksie jest pula 10 milionów numerów, czyli razem jest to 130 możliwych milionów numerów komórkowych. Biorąc pod uwagę, że aktywnych numerów komórkowych jest około 40 milionów, to nawet wybierając w tych prefiksach numer "na pałę", mniej więcej w 30% przypadków w kogoś trafisz. Mało tego, wielu ludzi zmieniając numer nie ma świadomości, że dostają numer po kimś, kto go przestał używać na przykład rok temu i niezależnie od tego jak bardzo będą dbać o swój numer, to on już może być dawno "w bazach telemarketerów" po kimś innym. Moim zdaniem obecnie najlepsze co mogą zrobić zwyczajni użytkownicy, to korzystanie z filtrów spam-u w swoich smartfonach (i zgłaszanie numerów, które mimo wszystko jakoś się przez ten spam przebiją). Ja od mniej więcej 2-3 lat nie miałem ani jednego śmieciowego telefonu pomimo braku jakiegoś specjalnego chronienia go (uchronienie numeru telefonu obecnie jest niemożliwe, nawet jeśli Ty będziesz o to dbał, to powiedzmy wystarczy, że Twój znajomy będzie miał do Ciebie numer zapisany w swoim telefonie a jednocześnie zainstaluje Messengera, Facebooka, WhatsAppa czy coś w tym stylu i pozamiatane). Nie można uzależniać swojego bezpieczeństwa od "tajności" własnego numeru, bo to jest bezpieczeństwo iluzoryczne (podobnie jak z numerem PESEL - żadne bezpieczeństwo nie powinno być oparte na tym, że ten numer zna tylko jego właściciel).
Witam, co do kwestii wyrobienia nowej karty SIM - to na obecne czasy, jest to dość słaby pomysł. Ale jako jedna z alternatyw, jest możliwa - choć wątpliwa.
Napiszę do Ciebie na e-mail. Pozdrawiam
Małe pytanie do pana Kacpra. Sekret 2FA z jednej strony musi być zapisany w aplikacji autentykującej, ale z drugiej strony na serwerze (np. facebooku) i to, jak sądzę, w tym samym rekordzie co hasło użytkownika. W razie wycieku bazy, wyciekną także sekrety 2FA. Pewnie sekrety są szyfrowane (jak?), ale jednak to wyciek... Jak się to ma do bezpieczeństwa? Może gdzieś już pan o tym mówił, to proszę o wskazanie, gdzie można tych informacji wysłuchać.
Takie "szurskie" materiały to ja szanuję.
Czy dobrze zrozumiałem, że wadą 2FA na kartę-zdrapkę jest to, że jej wytworzenie coś kosztuje? 🤔
Nie. Wadą jest to, że dowolny kod ze zdrapki może potwierdzić dowolny przelew. Bez względu na to czy wysyłasz 1 zł a może milion.
Myślimy co wymyślić 🙄