Cześć. Szukam, czytam i nie ogarniam do końca. Na jakiej zasadzie te klucze wspierają np. Chrome czy Google? Czy taki klucz zechce odcisk mojego palca TYLKO jak będę się logował w przeglądarce na swoje konto Google? czy jednak przy logowaniu się na Allegro też?
Chciałbym TAKIE zabezpieczenie np. przy logowaniu się do Steam czy Xbox. TO działa tylko do logowań przez przeglądarkę czy też program Steama? Wiem, że w PL tylko 1 bank to wspiera.
Na konsoli niby trzeba potwierdzić logowanie (lub pobrać kod autoryzacji do wpisania na konsoli) z innej maszyny gdzie ruszy klucz lub się nie wylogowujesz:
Doceniam, ale interesuje mnie sytuacja na TERAZ. Nie np. info z przed 2 lat Szukam odpowiedzi:
Jeśli na swoim PC ustawię logowanie np. do Fejsa odciskiem palca tym kluczem- to, żeby potem w innym miejscu kraju na innym urządzeniu móc się zalogować - Muszę mieć ten klucz z pasującym wejściem USB, przejściówką albo obsługą NFC?
Jeśli na swoim PC zaloguję się do Chroma/ Google (moje dane plus odcisk z Yubi) w przeglądarce-- to czy wchodząc na np. Allegro przez tę przeglądarkę mogę ustawić sobie dodatkowo logowanie odciskiem do Allegro i innych serwisów?
Mobilna apka może używać biometrii telefonu (nie z klucza), jak ufasz wmontowanemu skanerowi w telefon (niby chodzą plotki, że montują barachła i losowe osoby odblokują smartfona z Androidem (może fakenews z techpudelka)).
Należy na wstępie sprostować pewne błędne przekonanie które sam miałem. To nie jest odciska palca. To jest po prostu fizyczne potwierdzenie poprzez fizyczną interakcję z urządzeniem jakim jest Yubikey chęci autentykacji podczas logowania.
Kolejna kwestia, informacje nawet sprzed 2 lat będą aktualne bo w temacie bezpieczeństwa i technologi nic się tutaj nie zmieniło.
Dalej, możesz dodać klucz w usługach które go wspierają, z banków to jest dla przykładu tylko ING na ten moment - działa, korzystam.
Teraz przejdę do Twoich pytań.
Dodając Yubikey (YK) do np Facebooka, dodajesz go do FB, nie ma tutaj znaczenia urządzenie. Sam proces dodawania możesz wykonać na dolnym urządzeniu na którym jest aplikacja wspierająca klucze. Wtedy aby zalogować się do takiego konta/serwisu/aplikacji musisz mieć przy sobie ten klucz. Nie ma znaczenia czy ponownie logujesz się na tym samym urządzeniu czy na innym.
Logujesz się do serwisu a nie do przeglądarki. Przeglądarka jest tylko swego rodzaju pośrednikiem pomiędzy serwisem/stroną internetową, a YK. To serwis/strona internetowa musi wspierać taką formę logowania, następnie musisz użyć też przeglądarki która będzie to wspierała. Mając te 2 składniki dopiero wtedy jesteś w stanie zalogować się do konta zabezpieczonego przy pomocy dodatkowego klucza YK (2FA). Allegro chyba nie wspiera YK, ale wspierają 2FA które wspiera YK.
Ogólnie YK wspiera szereg metod autentykacji. W zależności od tego jaką metodę wspiera strona internetowa/aplikacja/serwis/etc będzie wymagało to nieco innego posłużenia się YK. Przykłady:
FIDO2 w Microsoft - mogę zalogować się do swojego konta na Microsoft bez podawania loginu i hasła, wystarczy że mam YK, wybiorę odpowiednią formę logowania i podam PIN do YK, a następnie dotykam kółka na kluczu.
FIDO U2F - w OVH lub ING, podaję login i hasło, następnie muszę dotknąć klucza w celu potwierdzenia logowania
OATH - to są kody jednorazowe, działa dokładnie tak samo jak Google Authenticator czy Microsoft Authenticator, tylko aplikacja nazywa się Yubico Authenticator i żeby wygenerować kody musisz mieć podpięty klucz bo to na nim zapisane są kody QR (mocne uproszczenie). Logowanie wtedy wygląda tak, że podajesz login i hasło, otrzymujesz informację o konieczności podania kodu jednorazowego. Otwierasz aplikację Yubico Authenticator, podpinasz klucz, wybierasz odpowiednie konto w aplikacji Yubico, dotykasz klucza i teraz wygenerowany jest jednorazowy kod który możesz skopiować lub przepisać do okna logowania.
Opisałem 3 metody które będą najczęściej spotykane, a są jeszcze chyba z 2 inne. Dodatkowo sam klucz oferuje jeszcze kilka innych dodatkowych funkcji powiązanych z bezpieczeństwem i logowaniem, ale to przypadki raczej specjalistyczne/korporacyjne aniżeli konsumenckie.
Należy mieć na uwadze, że dobrą praktyką jest posiadanie 2 klucz YK i konfigurowania obu na każdym koncie do którego je dodajesz. Powodem jest to, że jeśli zgubisz lub uszkodzisz klucz, nie zalogujesz się do takiego konta. Będziesz musiał je odzyskiwać, a może to być nieco trudniejsze niż zapomnienie hasła i zresetowanie go przez email. Zwłaszcza jeśli do emaila też masz podpięty ten sam klucz.
Obym nie skomplikował sobie życia tym, że kupiłem i od jutra zacznę używać Żeby nie było jak z Linuksem przez ostatnie 30 lat, taki dobry, a używa „kilka” osób.
P. S. Nie mogę zrozumieć, że tak mało „firm” tego używa…Skoro Microsoft i Google wspierają- gdzie reszta? Np. banki (wiem o ING). Steam itp.
Bawię się tym 2 dzień…Chciałem zacząć od podstaw, konto Google na Chrome. Taaa, NIE da się założyć jak nie masz…Windows Hello, Hello nie założysz jak nie masz PIN przy uruchamianiu kompa, tego akurat nie chciałem…Teraz wszędzie mam komunikaty od Windows, który w pierwszej kolejności proponuje…urządzenia Apple, których NIE MAM. Klucz cały czas w usb PC.
To info przy logowaniu się do poczty WP:
Witam, mam tylko jedno pytanko, bo mnie zastanawia, a mianowicie jeden klucz może być np. do banków, fb itd i nie ma znaczenia (wpływu na stronę banku), że ten klucz jest do różnych stron użytych i emaili? Dokładniej to nie ma wpływu to np. na bank oraz jeśli klucz jest użyty do kilku różnych banków jest to problemem? i ostatnie pytanko dodając klucz do Banku np. PKO BP pojawia się komunikat o pozwoleniu lub nie na rozszerzone informacje o kluczu (pyta strona banku) i trzeba wtedy na te informacje rozszerzone zezwolić?. Dziękuję ogromnie za odpowiedzi i pomoc
Tak nie ma znaczenia ba nawet nie da się ustalić (np. jeśli zapomnisz albo ktoś znajdzie klucz) do jakich usług ten klucz został przypisany.
Chciałbym zaznaczyć raz jeszcze że powinno się mieć co najmniej 2 klucze ze względów bezpieczeństwa. Jeden backupowy przetrzymywany w jednym bezpiecznym miejscu, drugi do użytku. Po to by nie stracić dostępu do usług i w razie uszkodzenia/utracenia klucz użytkowego móc przypisać kolejny nowy.
Dla przykładu ja jeden klucz używam tylko i wyłącznie w domu w komputerze. Drugi mam zawsze przy sobie i używam wszędzie poz a domem i w domu z urządzeniami mobilnymi.
Ciężko stwierdzić co się za tym hasłem kryje i co bank miał na myśli chyba najlepiej będzie spytać banku.
Dziękuję ogromnie za odpowiedź i pomoc
Drugi klucz dokupię sobie na pewno dla bezpieczeństwa Dzięki za poradę
Dokładnie taki komunikat się pojawia jak na zdjęciu tyle, że z banku i przy każdym serwisie, gdzie jest dodawany klucz, nie tylko banku. Podejdę lub napiszę do banku, aby to wyjaśnili na czym polega, bo wciskając „zablokuj” nie mogę dodać klucza do strony banku.
No to jest po prostu komunikat/prośba o podniesienie uprawnień, podobnie jak o możliwość spamowania notyfikacjami. Musisz się zgodzić aby przeglądarka udostępniła stronie api które pozwoli komunikować się z kluczem.
Mając dwa klucze pamiętaj aby podczas konfiguracji konta dodawać oba klucze bo każdy klucz jest inny. Dlatego najlepiej od razu mieć dwa klucze i tam gdzie dodajesz klucz dodajesz oba na raz. Nie musisz później wracać do serwisu i pamiętać żeby dodać drugi klucz.
Od siebie podpowiem jeszcze, że warto prowadzić sobie gdzieś w bezpiecznej formie listę serwisów w których dodałeś klucz, tak na wypadek gdybyś musiał jakiś klucz usunąć, albo dodać nowy.
Super, dziękuję ogromnie za bardzo dobre wyjaśnienie Właśnie zastanawiałem się, że tylko w banku musiałem na to wyrazić zgodę.
O dzięki wielkie za sugestię z tą listą. To na pewno ułatwi sprawę w takiej sytuacji.
No cóż człowiek mądry po fakcie, ale będę o tym pamiętał, żeby kolejny klucz dodać jak zakupię
Masz Windows Hello. W Windows Hello nie musisz autoryzować się kamerą ani odciskiem palca. Może to być pin. W praktyce więc każdy kto ma Windows 10 ma Windows Hello.