Cześć. Szukam, czytam i nie ogarniam do końca. Na jakiej zasadzie te klucze wspierają np. Chrome czy Google? Czy taki klucz zechce odcisk mojego palca TYLKO jak będę się logował w przeglądarce na swoje konto Google? czy jednak przy logowaniu się na Allegro też?
Chciałbym TAKIE zabezpieczenie np. przy logowaniu się do Steam czy Xbox. TO działa tylko do logowań przez przeglądarkę czy też program Steama? Wiem, że w PL tylko 1 bank to wspiera.
Na konsoli niby trzeba potwierdzić logowanie (lub pobrać kod autoryzacji do wpisania na konsoli) z innej maszyny gdzie ruszy klucz lub się nie wylogowujesz:
Doceniam, ale interesuje mnie sytuacja na TERAZ. Nie np. info z przed 2 lat Szukam odpowiedzi:
Jeśli na swoim PC ustawię logowanie np. do Fejsa odciskiem palca tym kluczem- to, żeby potem w innym miejscu kraju na innym urządzeniu móc się zalogować - Muszę mieć ten klucz z pasującym wejściem USB, przejściówką albo obsługą NFC?
Jeśli na swoim PC zaloguję się do Chroma/ Google (moje dane plus odcisk z Yubi) w przeglądarce-- to czy wchodząc na np. Allegro przez tę przeglądarkę mogę ustawić sobie dodatkowo logowanie odciskiem do Allegro i innych serwisów?
Mobilna apka może używać biometrii telefonu (nie z klucza), jak ufasz wmontowanemu skanerowi w telefon (niby chodzą plotki, że montują barachła i losowe osoby odblokują smartfona z Androidem (może fakenews z techpudelka)).
Należy na wstępie sprostować pewne błędne przekonanie które sam miałem. To nie jest odciska palca. To jest po prostu fizyczne potwierdzenie poprzez fizyczną interakcję z urządzeniem jakim jest Yubikey chęci autentykacji podczas logowania.
Kolejna kwestia, informacje nawet sprzed 2 lat będą aktualne bo w temacie bezpieczeństwa i technologi nic się tutaj nie zmieniło.
Dalej, możesz dodać klucz w usługach które go wspierają, z banków to jest dla przykładu tylko ING na ten moment - działa, korzystam.
Teraz przejdę do Twoich pytań.
Dodając Yubikey (YK) do np Facebooka, dodajesz go do FB, nie ma tutaj znaczenia urządzenie. Sam proces dodawania możesz wykonać na dolnym urządzeniu na którym jest aplikacja wspierająca klucze. Wtedy aby zalogować się do takiego konta/serwisu/aplikacji musisz mieć przy sobie ten klucz. Nie ma znaczenia czy ponownie logujesz się na tym samym urządzeniu czy na innym.
Logujesz się do serwisu a nie do przeglądarki. Przeglądarka jest tylko swego rodzaju pośrednikiem pomiędzy serwisem/stroną internetową, a YK. To serwis/strona internetowa musi wspierać taką formę logowania, następnie musisz użyć też przeglądarki która będzie to wspierała. Mając te 2 składniki dopiero wtedy jesteś w stanie zalogować się do konta zabezpieczonego przy pomocy dodatkowego klucza YK (2FA). Allegro chyba nie wspiera YK, ale wspierają 2FA które wspiera YK.
Ogólnie YK wspiera szereg metod autentykacji. W zależności od tego jaką metodę wspiera strona internetowa/aplikacja/serwis/etc będzie wymagało to nieco innego posłużenia się YK. Przykłady:
FIDO2 w Microsoft - mogę zalogować się do swojego konta na Microsoft bez podawania loginu i hasła, wystarczy że mam YK, wybiorę odpowiednią formę logowania i podam PIN do YK, a następnie dotykam kółka na kluczu.
FIDO U2F - w OVH lub ING, podaję login i hasło, następnie muszę dotknąć klucza w celu potwierdzenia logowania
OATH - to są kody jednorazowe, działa dokładnie tak samo jak Google Authenticator czy Microsoft Authenticator, tylko aplikacja nazywa się Yubico Authenticator i żeby wygenerować kody musisz mieć podpięty klucz bo to na nim zapisane są kody QR (mocne uproszczenie). Logowanie wtedy wygląda tak, że podajesz login i hasło, otrzymujesz informację o konieczności podania kodu jednorazowego. Otwierasz aplikację Yubico Authenticator, podpinasz klucz, wybierasz odpowiednie konto w aplikacji Yubico, dotykasz klucza i teraz wygenerowany jest jednorazowy kod który możesz skopiować lub przepisać do okna logowania.
Opisałem 3 metody które będą najczęściej spotykane, a są jeszcze chyba z 2 inne. Dodatkowo sam klucz oferuje jeszcze kilka innych dodatkowych funkcji powiązanych z bezpieczeństwem i logowaniem, ale to przypadki raczej specjalistyczne/korporacyjne aniżeli konsumenckie.
Należy mieć na uwadze, że dobrą praktyką jest posiadanie 2 klucz YK i konfigurowania obu na każdym koncie do którego je dodajesz. Powodem jest to, że jeśli zgubisz lub uszkodzisz klucz, nie zalogujesz się do takiego konta. Będziesz musiał je odzyskiwać, a może to być nieco trudniejsze niż zapomnienie hasła i zresetowanie go przez email. Zwłaszcza jeśli do emaila też masz podpięty ten sam klucz.
Obym nie skomplikował sobie życia tym, że kupiłem i od jutra zacznę używać Żeby nie było jak z Linuksem przez ostatnie 30 lat, taki dobry, a używa „kilka” osób.
P. S. Nie mogę zrozumieć, że tak mało „firm” tego używa…Skoro Microsoft i Google wspierają- gdzie reszta? Np. banki (wiem o ING). Steam itp.
Bawię się tym 2 dzień…Chciałem zacząć od podstaw, konto Google na Chrome. Taaa, NIE da się założyć jak nie masz…Windows Hello, Hello nie założysz jak nie masz PIN przy uruchamianiu kompa, tego akurat nie chciałem…Teraz wszędzie mam komunikaty od Windows, który w pierwszej kolejności proponuje…urządzenia Apple, których NIE MAM. Klucz cały czas w usb PC.
To info przy logowaniu się do poczty WP: