JAK skonfigurować i używać klucz U2F Yubikey? Uniknij włamania!
Вставка
- Опубліковано 28 лип 2024
- Konfiguracja klucza U2F Yubikey i każdego innego jest banalnie prosta i zwiększa Twoje bezpieczeństwo drastycznie. Nie wierzysz? Sprawdź, przeprowadziłem prawdziwy atak phishingowy, aby to udowodnić.
W tym odcinku pokażę Ci, jak skonfigurować klucz sprzętowy jako
👉 metoda dwuetapowej autoryzacji
👉 automatyczne hasła statyczne
👉 aplikacja do kodów OTP na smartfonie
==============================
00:00 Wstęp
00:59 Prawdziwy atak phishingowy
02:38 Klucz U2F jako 2FA
05:22 Hasła statyczne
07:00 OTP Yubico Authenticator
08:00 Podsumowanie
============================== - Наука та технологія
Fajnie wytłumaczone dobrze się ogląda ekstra 👍😉
Dzięki 👍
Mam pytanko, czy jest możliwość zabezpieczenia Instagrama takim kluczem? Szukam w ustawieniach i nie mogę znaleźć takiej opcji. Z góry dzięki za odpowiedź! 😊
mam pytanie, czy hasło statyczne zapisane na kluczu działa tylko jak jest zainstalowana aplikacja yubico?
właśnie konfiguruję sobie klucz z kontem Google. Wyłączyłem na koncie inne możliwości logowania wieloskładnikowego, został tylko klucz U2F. Niestety przy próbie logowania na nowym urządzeniu do którego nie mam możliwości wpięcia klucza U2F Google zaproponował, że mogę potwierdzić logowanie za pomocą urządzenia na którym jestem już zalogowany. Czy da się taką możliwość wyłączyć? Chcę tylko potwierdzać kluczem.
ps. fajnie wytłumaczone, pozdrawiam.
Dzięki
Zabrakło mi fragmentu co zrobić z kluczem po rozpakowaniu. Działa out off the box ?
Witaj mam pytanie o konto microsoft jak je podpiac pod klucz dodam ze mam juz klucz w ustawieniach konta wlaczylam klucz zabezpieczen czyli 2 etapowe logowanie a mimo to jak na zlosc dalej nie krzyczy o klucz co mam poprawic z gory dzieki za pomoc
Większość proponuje czarny klucz NFC. A moje tytanie brzmi który wystarczy dla zwykłego zjadacz chleba? Pozdrawiam
Zrób proszę film jak tym kluczem zabezpieczyć manager Haseł w Firefox. Da się w ogóle?
Jak skonfigurować dwa klucze? Chodzi o to żeby mieć kopie w skarpecie
No dobrze a dwuetapowe poprzez SMS nie jest bezpieczne dlaczego ?
A jak z logowaniem się do aplikacji na telefonie z takim kluczem? Czy jeden klucz może zabezpieczać kilka kont np. Email, fb, ig itd? Czy do każdego konta potrzebujemy osobny klucz?
Tak może być użyty w telefonie. Warto wyposażyć się w klucz z funkcją NFC. Zasada działania taka sama 👍
Nie jest pokazana pierwsza konfiguracja klucza przed użyciem w aplikacji.
Jeszcze jedna rzecz - Amazon oferuje klucze Winkeo za 91zł z wysyłką. Czy one różnią się poziomem bezpieczeństwa od tych z Yubico? Z kolei brytyjki eBay oferuje jeszcze inne i jeszcze taniej. Powiedziałbyś albo napisałbyś słówko o alternatywach?
Jedyne czym mogą się różnić to dostępnymi funkcjami. Klucz U2F to nie tylko dwuetapowa weryfikacja. W sumie to podsunąłeś dobry temat na odcinek :)
Teksty o smaczne kawusi trochę słabe (miało być śmiesznie?), zwłaszcza jeśli to świadome naśladownictwo NetworkChuck, który ma swój sklep z kawą...
Sklepu z kawą nie mam, ale kawusie uwielbiam! Następnym razem będę pił whisky :)
Weź się nie zesraj
Jakie skrzynki email obsługują takie klucze? Poza Gmail
Tutaj masz fajną stronkę, jednakże nie wiem na ile jest ona aktualna: www.buybitcoinworldwide.com/dongle-auth/#email
Kolejny link bezpośrednio od Yubico: www.yubico.com/pl/works-with-yubikey/catalog/?sort=popular
W zasadzie każdą. Trzeba jedynie kupić taki klucz, który obsługuje FIDO2 i wygenerować długie hasło. Trzeba jedynie pokombinować trochę z systemem. Próbowałem na apple, działa.
Napisze wprost i po męsku, materiał fajny ale to twoje picie kawusi (z którego jak rozumiem chcesz zrobić taki swój znak rozpoznawczy) - strasznie durne
Dzięki za opinie!
Troche zgapione od Wujka czarka . Pazura tez ciagle z kawa
Twitter?? Ty mi pokaż, jak ja konto w BANKU tak mogę zabezpieczyć, Profil Zaufany, albo konto gdzie trzymam obligacje, a nie orzeszki.
A nie trzeba tego klucza rejestrowac? przy próbie ustawienia hasła statycznego nie mogę nacisnąć "write configuration"
Klucza nie trzeba nigdzie rejestrować. Szczerze mówiąc to nie za bardzo wiem, jak Ci pomóc. Jaki masz klucz, marka, model. Wyślij maila ze screenem, jak to u Ciebie wygląda. Może coś uda mi się zauważyć.
fajnie jak byś zaczął od początku: rozpakowuję klucz.... i co dalej bo ja na przykład nie wiedziałem czy mam go jakoś aktywować zainstalować czy coś za nim dodam go do jakiegoś konkretnego serwisu
Dzięki za podpowiedź 🫡 Następnym razem będzie lepiej.
Wydaje mi się, że nie do końca doceniasz możliwości klucza U2F. Nie w 100% jest tylko wtedy, gdy serwis nie tylko nie wspiera kluczy sprzętowych ale i nie wspiera kodów uwierzytelniających. Nie da się przejąć konta, które choć nie wspiera kluczy U2F ale pozwala na kody uwierzytelniające bo jeśli te generowane są przez sprzętowy klucz to tak jakby serwis wspierał klucz sprzętowy w tym wypadku. Czasy się zmieniają klucze U2F choć nie są jeszcze aż tak popularne jak powinny to jednak kody uwierzytelniające już są implementowane znacznie powszechniej. Jeśli tylko jeszcze Polskie Banki pozwolą na kody uwierzytelniające inne niż SMS z banku to mamy zabezpieczenie konta w banku na poziomie 100%.
co to znaczy "jednorazowy kod zapasowy"??
jak bede miał capsloka ON i bedzie skucha to co wtedy?
Jednorazowy to znaczy do użycia tylko raz. Jeśli raz go użyjesz, traci on ważność. A żeby użyć, trzeba go wprowadzić poprawnie, czyli capslook nam nie grozi :)
@@oprogramach ale to się do każdego serwisu używa aby np: odpiąć klucze? trzeba mieć ten klucz wsadzony w kompa aby jednorazowy kod zadziałał?
Jestem ciekaw dlaczego banki nie dają możliwości ustawienia takiego klucza do dwuetapowej weryfikacji? A przy okazji bardzo fajny filmik, pozdro.
To jest świetne pytanie, sam się nad tym od pewnego czasu zastanawiam.
Cena... banki to straszne sknery
To zabezpieczenie nie zadziała jak masz pistolet przy głowie i dla ludzi co sami oddadzą klucz bo ktoś z "banku" poprosi;).
Filmik treściwy i na temat bez zbędnego gadania:)
Edit
Najlepiej jak to zabezpieczenie działało by transparentnie np przed wpisaniem hasła trzeba by włożyć klucz bez jakiegokolwiek komunikatu, że klucz jest potrzebny. Tylko właściciel by wiedział że jest sparowany klucz. Innym zwróciło by błędne hasło zamiast włóż klucz.
Bo Bank nie chce miec kolejnych problemow z klientami. Ktos zgubi klucz czy cos pop... i bedzie dodatkowa robota dla pracownikow.
Dlatego że nie ma takiej potrzeby, weryfikacja aplikacją jest wystarczająco bezpieczna a nawet jak ktoś zdolny zawinie twoje pieniądze to i tak bank odda je w ciągu kilku miesięcy.
Wszystko super, tylko po co? Do pracy w IT, na pewno potrzebne, ale do zabezpieczenia wypocin w mediach społecznościowych.....litości.
Nowsze IPhone mają wbudowane generowanie kodów jednorazowych, nie potrzeba już programów typu authenticator.
Wpadł mi artykuł o tym, żeby iPhone wykorzystać jako klucz sprzętowy, ale w praktyce tego nie sprawdzałem. W jaki sposób generowanie kodów ma zastąpić klucz sprzętowy?
@@oprogramach Chodzi o wbudowany 2FA nie o klucz fizyczny U2F. W filmie była o tym wzmianka w 7:00 minucie filmu. W nowszych iPhonach już nie potrzeba osobnej aplikacji. Sam tego używam na iPhonie.
Zgadza się, tylko w przedstawionym przeze mnie scenariuszu, aby dostać się do kodów trzeba mieć klucz. To po prostu dodatkowa warstwa ochrony :)
Witam. Czy można jakoś ustawić czas dotknięcia klucza tzn chodzi mi o to że jak dotknę klucz jakieś nie wiem sekunda, a jak dłużej przytrzymam to wychodzą jakieś cyferki... Czy to nie ma znaczenia jak długo się przytrzyma się palec na kluczu...
A jak zalogować się do aplikacji jak dajmy na to zepsuje się nfc a nie mam jak fizycznie podłączyć się do telefonu?
Kod bezpieczeństwa? Odpięcie klucza z zalogowanego urządzenia. Podobny scenariusz w przypadku utraty klucza.
@@oprogramach ale jeśli używam tylko samego klucza bez innych metod ?
To proponuje drugi klucz. W zasadzie zawsze powinna być awaryjna metoda logowania, stąd podczas konfiguracji dostajesz zapasowe kody bezpieczeństwa. Oczywiście w zależności od serwisu.
Wszystko fajnie tylko jedna uwaga co do stwierdzenia NIE WCHODŹ W PODEJZANE LINKI. Co ma zrobić osoba nie mającą doświadczenia z komputerem np. 60+ która często nie dowidzi a w pobliżu nie ma syna czy wnuka który by podpowiedział? Czy takich ludzi ochroni to urządzenie?
Dobrze by było, aby taka osoba miała program antywirusowy np ESET, który nawet po kliknięciu w niebezpieczny link zablokuje przekierowanie na złośliwą stronę.
@@oprogramach Mam ESET i polecam. To świetny program.
Widzę kilka problemów i uciążliwości:
1. Upierdliwość z wkładaniem i wyciąganiem klucza do USB, zwłaszcza gdy ktoś ma tylko 2-3 takie gniazda w laptopie.
2. Upierdliwość z przechowywaniem zapasowego klucza - z każdym nowym kontem trzeba się wybrać po zapasowy klucz, żeby go dodać. Problem by nie istniał, gdy sprzedawano takie klucze np. w zestawach po 2-3 identyczne (klony).
3. Zgubienie takiego klucza (szczególnie gdy jesteś daleko od zapasowego, czyli powiedzmy w innym kraju czy na innym kontynencie) to brak dostępu do kont i serwisów na jakiś czas. Pół biedy, jeśli to jest adres typowej Grażyny czy Janusza (oni z tego i tak nie korzystają), ale ludziom pracującym zdalnie może to wyrządzić nie lada szkody.
4. Martwi mnie perspektywa potencjalnych błędów czy aktualizacji usług, które spowodowałyby czasowe niedziałanie tej formy autoryzacji - nie mając ustawionej żadnej alternatywy, mamy problem.
Z jednej strony zwiększone bezpieczeństwo, z drugiej strony w pewnych szczególnych, wyjątkowych sytuacjach ryzyko czasowej lub stałej utraty dostępu do kont.
Aż tak źle nie jest. Zawsze możesz mieć zapisane kody jednorazowe które możesz użyć w przypadku awarii. Tak to już jest, że nie ma idealnego rozwiązania. Decydujesz się na wygodę, albo na bezpieczeństwo. Oczywiście, że klucz jest dodatkowym wysiłkiem dla użytkownika, ale właśnie na tym to polega. Złodziej tez ma trudniej.
Btw: sprawdzaliśmy coś się stanie, gdy nie masz klucza, a kody przepadły. Da się odzyskać dostęp do konta, ale musisz przesłać wiele dowodów, ze Ty to Ty. Dowód nie wystarczy 😂
@@oprogramach okej, tylko dlaczego nikt nie wpadł na to, żeby sprzedawać te klucze w 2 lub 3 egzemplarzach? Byłoby to sto razy prostsze niż bawienie się w różne klucze.
Nowych zamków do drzwi też nikt nie sprzedaje z jednym tylko kluczem.
Oczywiście, Yubico sprzedaje swoje klucze w pakietach, ale tak jak pisałeś wyżej, zawsze musisz ten drugi klucz zapasowy też skonfigurować.
@@oprogramach nie zrozumieliśmy się. Ja piszę o klonach, czyli identycznych kluczach, żeby nie trzeba za każdym razem przemierzać kilometrów po zapasowy, gdy trzeba będzie go dodać do jakiegoś konta.
Niestety nie ma opcji zrobić klona a to wynika z samej specyfiki działania klucza... Niestety, tego nie da się opowiedzieć "po ludzku" :)
A co jeżeli zgubię pendriva?
O tym była mowa w dedykowanym odcinku o kluczu U2F, poszukaj na kanale. W skrócie - jeśli nie masz drugiego klucza i nie masz kodów zapasowych to klapa :)
Nie jest to klapa. Jest kilka rozwiązań
* google np pozwala na wybór innych sposobów logowania. To samo Twitter czy Facebook.
* zawsze możesz kupić drugi klucz i dać go w prezencie żonie dziewczynie i podpiąć go do swojego konta. Ona nawet nie musi o tym wiedzieć
* jak już gdzieś jesteś zalogowany, to po zgubieniu klucza wystarczy odpiąć ten sposób autoryzacji od konta.
@@wielkifreeman ale ustawienie "innego sposobu" w zasadzie naraża Cię nadal na ataki, które U2F ma wyeliminować.
To jeszcze powiedz co to są hasła statyczne i do czego można wykorzystać właśnie takie ustawienia
Popieram.
Czy taki klucz zadziała na platformie typu steam?
Czy system Android da się zabezpieczyć tym kluczem ?
Ogólnie klucze są niezależne od systemu operacyjnego. Pytanie co chcesz zabezpieczyć? Jeżeli chodzi o dostęp do konkretnych aplikacji to konfiguracji klucza dokonujesz z poziomu danej aplikacji.
@@oprogramach cały smartfon tak aby sie nikt nie włamał ....
Nie bardzo. Klucz U2F wspomaga logowanie do serwisów jak np Google. Od strony zabezpieczenia smartfona masz biometrie lub kod bezpieczeństwa który zapobiega dostaniu się do telefonu przez nieodpowiednie osoby.
Kawusi srusi.
Nie lubisz kawusi?
@@oprogramach Lubię KAWĘ :D
To wiele tłumaczy 🙂
Super tylko klucz do Iphone kosztuje ponad 4 stówy, osobiście dziekuję
Jak mam dalej wklepywac hasla to wole wogle takiego klucza nie miec.
1:00..
Maniera z kawą.
Chyba za dużo treści z kanału "NetworkChuck". ;-)
Ten gość jest uzależniający jak kawusia 🤣
Zastanawiałem się czy nie zrobić sobie drina ale pić przed kamerą nie wypada, dlatego weszła kawusia 🤣
@@oprogramach Fajny Material ale brakuje mi prezentacji dla Laika np Po dodaniu klucza do emaila - klucz automatycznie sie zapisuje bez potrzeby ustawiania hasla i pinu tylko klikamy dalej dalej i gotowe - a juz np przy probie dodania klucza na facebook prosi o ustawienie Pinu ? czyli dziala to inaczej niz na emailu ? i nowy uzytkownik nie jest pewien czy tak ma byc - Skoro wczesniej zadnego pinu przeciez nie ustawial - Dodatkowo Fajny by bylo jakbys zrobil prezentacje jak dodac klucz z poziomu Komputera do wlasnie gmaila / FB a nastepnie / jak zrobic to poprawnie z poziomu telefonu .
Szacun za 1Password 💪
Dzięki. Więcej o 1Password również na: ua-cam.com/video/EYWUOvHOG3s/v-deo.html
@@oprogramach Bitwarden chyba jednak pewniejszy
Woda
Ta kawusia przypomina mi #networkChuck
Wszystko ok, tylko ta wymowa "authenticator" :(
Treść spoko ale z tą „kawusią” to ciut za wiele.
1. 2-etapowa AUTENTYKACJA! - autoryzacja to zupełnie coś innego
2. Nie pokazałeś, jak faktycznie dostać się do Twittera na telefonie po jego ustawieniu w przeglądarce. Suabo!
3. "Zielona kłódka wcale nie znaczy, że nie jesteś na niebezpiecznej stronie" -- um... chyba nie znaczy, że JESTEM na BEZPIECZNEJ stronie... :|
Póki te klucze nie działają w bankach, to są prawie bezużyteczne moim zdaniem
Racja, gdyby klucze U2F weszły do banków, ich popularność mocno by wzrosła.
yubi kay za drogi i zwykla paranoja , nie oplaca sie mozna uzyc pęk kluczy na macu na przyklad i pokaz jak dodac zapasowe klucz np masz jeden yubi key i 2 zapasowe. ja wiem jak to zrobic, ciekawe czy ty wiesz. jeszcze sciagasz o kawusi od ua-cam.com/users/NetworkChuck
To tak można? Dodać wiele kluczy do konta? Kurczę, koniecznie muszę się doszkolić. Może na filmach NetworkChucka coś znajdę i w końcu się czegoś nauczę 🤷🏻♂️
@@oprogramach tak dodajesz do konta kilka kluczy i kazdy jest traktowany indywidualnie, czyli dodajac klucz do nowego konta mussiz dodac ten drugi zapasowy lub trzeci jak masz ich wiecej .
Kurczę, następnym razem muszę zadbać o uzupełnienie wiedzy zamiast ściągać kawusię od NetworkChucka 🤦🏻
@@oprogramach a u kogo ci sie ta kawusia spodobala ? od niego czy od tego drugiego ? ale jak ktos sledzi filmy w tych tematach to mega podobienstwa sa :) od razu sie rzucaja w oko hehehe.
Polska mowa trudna język....
wieśniacki kubek ale odcinek spoko
Dzięki! W sumie to był prezent 😂
Mnie? Spróbuj.
Niestety, klucze u2f są za drogie. Gdyby kosztowały max 50zł za sztukę, to od razu bym ich używał
Są tez projekty OpenSource, ale kurczę nie mogę do nich znaleźć linka. Jeśli tylko znajdę dobre źródło, nagram o tym film :)
V
o kant dupy potłuc takie klucze, ustawienie i skonfigurowanie tego to jakiś koszmar, jak to ma w ogóle być przyjazne dla normalnego użytkownika ? Instrukcja jak to skonfigurować dla Windowsa to chyba cała książka, a mi po włożeniu do USB soft od Yubico nawet nie widzi klucza, czego nie ma na tym filmie chociażby.
Znaczy, że po prostu to nie jest dla Ciebie :) Skoro uważasz, że jest to dla Ciebie za trudne to nie ma sensu w to iść.
Kolejny zbędny gadżet który trzeba mieć przy sobie aby korzystać z systemów.
smieszne jak ktoś nie rozumie istoty tkich zabezpieczeń i kluczem fizycznym zabezpiecza...Twitter... tyle tajnych informacji, które wszyscy i tak widzą lol
Ty to jednak głupi jesteś.