Najman rozpierdala system :D

@@marekdreed3009 Borsuki, kuny, jenoty...

Podzielam opinie. Lepszego komentarza nie dam. Zajebysty temat super podany

Nie rozumiem, jesli klucz weryfikuje zgodnosc URL to jesli ktos podmieni serwer dns to url mimo, ze prawidlowy bedzie prowadzil pod falszywy ip. Pod falszywym ip stoi serwer ktory sciagnie taka autoryzacje? (bo url sie przeciez zgodzil) . Wiec nadal nie widze tu 100% ochrony. Poza tym wpisujac haslo recznie do bankowosci w wielu przypadkach podaje sie niepelne haslo tylko poszczegolne jego czesci - wiec fiszing musial by sie odbyc wiele razy zeby takie haslo w calosci wyciagnac (chyba ze ktos poda cale) .natomiast w przypadku klucza U2F odrazu dostaje pelen komplet danych? (w przypadku podmiany dns). Jako paranoik wciaz nie jestem przekonany.

Jeszcze nie. A apkach bankowych nie działaja, w gmailu równiez. Do *upy z tym rozwiązaniem.

Trzeba się uczyć na błędach Angeli Merkel :)

Odcisków i klucza!

tak xD

czyli dla apki facebook/instagram to nie działa?

Na KZbin są filmiki również w języku polskim.

Wiemy o planach jednego. Od 3 lat wiemy... ;)

@@NiebezpiecznikTV I tylko o planach, pytałem się na kilku infoliniach i cisza.... Wszyscy mają niesamowicie sprawne aplikacje. Żaden bank nie jest zainteresowany ochroną pieniędzy klientów.

ja bym bardzo taką opcje widział jako 3FA (Third factor authentication) i niech banki nie pier***** ze to nie sprawdzone w ich systemach i może być niebezpieczne, bo to byłaby opcja "dodatek dla paranoików"

Bank to jedyne miejsce gdzie widze sens takiego klucza... szkoda że oni mają to gdzieś

Nie ma i nie będzie. Zamiast tego będziesz miał takie cyrki jak "hasła maskowane", które poza utrudnianiem życia nic nie wnoszą. Mogliby wprowadzić też kliknięcie w swojej apce na telefonie przy logowaniu, ale to też dla nich za trudne. Ma być jak najbardziej uciążliwie. Wed. banków bardziej uciążliwie = bardziej bezpiecznie.

1. Wszystko co wpinasz w port USB powinno być "zaufane", bo może udawać klawiaturę: kzbin.info/www/bejne/qIvQmqmmrcyYq7c (klucze mają możliwość/tryb pracy jako hid/klawiatura, wiec wiesz... ;) Pudełka są tak zrobione, że trzeba je zniszczyć aby dostać się do klucza. Oczywiście pewnie agencje rządowe są w stanie je podrobić, ale miejmy nadzieję, że handlarz Roman nie ;) 2. Jak ktoś przejmie Twoje urządzenie (malware) to nic Cię nie uchroni. Jest zresztą o tym na filmie, a rycerze "Ni" to potwierdzają ;-) To czego jednak w przypadku klucza malware nie może zrobić, to sięgnąć do sekretów, które są na nim składowane w tzw. pamięci "write only". Do nich dostęp ma tylko klucz, i to po świadomym dotknięciu użytkownika. 3. Tak sądzę. I tak jest. Możesz podpisywać dowodem i możesz profilem zaufanym: www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany

@@NiebezpiecznikTV *WIELKIE DZIĘKI* za szybką i KONKRETNĄ ODPOWIEDŹ - zrobilibyście oddzielny odcinek o nowych e-dowodach?

Dopisane do listy! Dobry pomysł.

@@NiebezpiecznikTV są klucze yubi z czytnikiem linii papilarnych. To powinno być w standardzie jak ktoś ma kompa poza chronionym pomieszczeniem;)

@@adamwarmuz5682 są. Czy to jest potrzebne? Wątpimy, bo jednak sam klucz dostępu nie zapewnia. Jeszcze potrzebne hasło.

Jak wygoda najważniejsza a nie cena, to kup po kluczu na każdy sprzęt, leniu :) A jak cena a nie wygoda, to co najmniej dwa: jeden do "sejfu" drugi do kluczy. Nie używa się go znowu tak często, chyba że się wykogowujesz z urządzenia każdego co chwilę samodzielnie (ale po co?)

@@NiebezpiecznikTV aa, ok, czyli nie musze miec caly czas podlaczonego? Bo sie zasugerowalem tym ze pokazales ze Ty masz caly czas w maczku swoj podlaczony?

To tylko moje leni tfu! wygoda :) //PK

Chyba nie obejrzałaś całego filmu przed komentarzem ;-) Można mieć jeden klucz, ale wtedy trzeba bazować na dodatkowym słabszym drugim składniku (zazwyczaj serwisy generują: kod awaryjny lub zmuszają do użycia aplikacji typu Google Authenticator, podania numeru telefonu -- w filmie wyjaśniamy dlaczego lepiej jednak z tych słabszych metod nie korzystać). Najbezpieczniej więc mieć 2 klucze. A jak ktoś jest paranoikiem, to więcej. Bo licho nie śpi!

@@NiebezpiecznikTV zgadza się haha

Banki nie obsługują U2F i nie chcą tego obsługiwać.

@@szmonszmon i to jest największy problem

@@fioletowazyrafa5307 w bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje ofierze: co/ile i do kogo przelewa - i tu klucz u2f nie pomoże bo nie ma możliwości pokazania co się "podpisuje". Dlatego właśnie klucz służy do uwierzytelnienia (tylko), a nie autoryzacji. Chociaż faktycznie implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić. Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które mają bardzo podobne chipy co klucz u2f i tez można je zbliżać do czytnika w telefonie. No cóż, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)

@@rafa7068 Jeśli ma się windowsa to żaden antywirus, czy legalny system nie pomoże. Zobacz ile danych wysyła do MS, to aż za głowę się złapiesz. Systemy MS to jeden wielki keylogger.

@@rafa7068 Ja używam KeePassa z kluczem dlatego, że bazę haseł trzymam w sieci (w celu synchronizacji między komputerem i telefonem), a to oznacza ryzyko, że ktoś kiedyś może uzyskać do niej dostęp, więc muszę mieć bardzo silne hasło (40 znaków). Bez klucza musiałem wpisywać hasło czasem 4-5 razy, bo przy takiej długości łatwo było się pomylić. Z kluczem mogę mieć to hasło dużo krótsze, a jest tak samo bezpiecznie.

Podpinam się pod pytanie. Ja widzę to tak: zastosowanie klucza sprzętowego jest zamiennikiem pliku klucza - jedno i drugie pozwala zastosować słabsze, za to łatwiejsze do zapamiętania hasło. To z kolei pozwala na synchronizowanie bazy poprzez usługi chmurowe jak Google Drive czy Dropbox, bo tak zaszyfrowana baza łatwo się nie podda. Tym samym rozwiązujemy problemy managerów haseł w wersji on-line - 0day lub brak sieci/usługi. Różnica jednak pomiędzy tymi kluczami jest taka, że plik zawsze może szlag trafić, albo ulegnie zmianie. Więc wracając do pytania, czemu zabezpieczanie bazy kluczem może być złym pomysłem? Istotne w tym przypadku jest to, że używając klucza niebieskiego jako backupa... nie mamy backupa do bazy, bo niebieski ma jeden slot = backup powinień być taki jak klucz główny. Jest na to workaround, ale to też kombinowanie. Można sobie Secret OTP zapisać przy jego tworzeniu, co pozwoli nam klucz odtworzyć. Trzeba go sobie tylko gdzieś zapisać, niekoniecznie w menagerze haseł, który jest nim zabezpieczony...

Na palcach obu dłoni można spokojnie policzyć do ponad 1000. ;-)

Managery haseł (niektóre) też mogą sprawdzać URL podczas wpisywania hasła. Ale jak użytkownika się odpowiednio zmanipuluje, to wyciągnie hasło z managera haseł i wpisze na podstawionej stronie sam (serio, mamy takie przypadki na pentestach :D). I to jest problem. Z kluczem tak nie zrobi. Managery haseł wbudowane w przeglądarkę są bardzo OK. Weryfikują strony na których wprowadzają hasło i generują hasła przy rejestracji w bardzo wygodny sposób. Trzeba tylko pamiętać, żeby nie udostępniać naszego urządzenia (przeglądarki) innym osobom - np. domownikom, a co najmniej korzystać z różnych profili użytkowników systemowych.

@@NiebezpiecznikTV ja bym dodał jeszcze jedno. Menadżery haseł działają w oparciu o URL. Nawet jeśli cyberprzestepcy uda się natomiast podszyć pod stronę - Niezależnie od sposobu (np. Dns/WiFi) - klucz u2f uniemożliwi im zalogowanie się nawet w przypadku zgodności adresu URL. "wyglądasz i zachowujesz się jak Bellatrix, ale ja wiem, ze nią nie jesteś."

@@nicodiangelo4006 piękne porównanie!

@@nicodiangelo4006 to mnie przekonuje

​@@nicodiangelo4006to co ten klucz u2f sprawdza w końcu? Prawidłowość URL czy co, skoro na podstawionym DNSie/WLAN z prawidłowym URLem nie da się go oszukać?

Słabo wierzę w to, że ludzie nietechniczni będą prawidłowo używać klucza prywatnie, właśnie ze względu na konfigurację. Klucze mają dużo możliwości, ale ich praktyczność dla przeciętnego zjadacza chleba jest bardzo ograniczona właśnie ze względu na konfigurację. Trzeba też pamiętać, że większość świadomych firm ma odpowiednie polityki bezpieczeństwa i użycie takich kluczy w pracy może tylko wywołać alert nawet jeśli klucz będzie używany jako klawiatura do automatycznego wklepywania ciągów znaków. Dodatkowo należy wspomnieć, że większość z dostępnych na rynku kluczy o ile nie wszystkie mają nieaktualizowalny firmware (ze względów bezpieczeństwa), więc jeśli chcesz odpowiedniej funkcjonalności (nowej) musisz koniecznie zwrócić uwagę na wersję firmware. Zawsze są za i przeciw, więc dla humanistów poleciałbym pochylenie się nad zyskami i stratami (uciążliwością) przed zakupem, bo odsprzedanie używanego może być trudne 🤷

Ing

Ing Bank Ślaski

PKO BP

Dwa "ale": - ale czy serwis je w ogóle udostępnia? (Niektóre nie, można trochę obejść traktując jako tako kod seed do apki otp, który się kasuje z telefonu zaraz po sparowaniu) - ale czy na pewno ktoś się nie złapie na phishing z pretekstem jak na filmie: "dziś klucze nie działają/raz na rok wymagamy podania kodu awaryjnego żebys udowodnił że wciąż go masz" :) Użycie klucza jako 2fa, choć "najdroższe" to zawsze jednak będzie najbezpieczniejsze.

Eee, jest to na filmie. Że droższe mają dodatkowe funkcje.

I samym kluczem nikt Ci krzywdy nie zrobi.

Na telefonie lepiej korzystać przez aplikację. Ja spina się raz jednorazowym kodem. I klucza na smartfonie nie potrzeba używać, chyba że z jakiegoś powodu bardzo musisz się za każdym razem logować przez przeglądarkę i wylogowywać się z niej.

Wszystko jedno, możesz kupić przejściówki. zerknij na film od 6:30

@@NiebezpiecznikTV Dziękuję za odpowiedź. Na telefonie zawsze korzystam z aplikacji Gmail. Skoro w przypadku korzystania z aplikacji na smartfonie nie potrzeba używać klucza, to problem sam się rozwiązuje :)