Dziękuję za ten film. Złożyłem u Was zamówienie - przyślijcie jak najszybciej ;) Piotrze, miałeś rację, znalazłem w innych sklepach taniej klucze jednak wybrałem Was w podziękowaniu za to co robicie dla cyber-security w Polsce :)
Najlepsza reklama swojego sklepu jaką widziałem. Ja dwa zakupiłem i jestem zadowolony. Faktycznie bez klucza nic nie da się zrobić, odwiedzałem rodziców, zapomniałem kluczy, nigdzie nie mogłem się zalogować, znając wszystkie dane, mając zalogowany telefon, nic nie mogłem zrobić, na kompie nie mogłem się zalogować nigdzie.
Nie rozumiem, jesli klucz weryfikuje zgodnosc URL to jesli ktos podmieni serwer dns to url mimo, ze prawidlowy bedzie prowadzil pod falszywy ip. Pod falszywym ip stoi serwer ktory sciagnie taka autoryzacje? (bo url sie przeciez zgodzil) . Wiec nadal nie widze tu 100% ochrony. Poza tym wpisujac haslo recznie do bankowosci w wielu przypadkach podaje sie niepelne haslo tylko poszczegolne jego czesci - wiec fiszing musial by sie odbyc wiele razy zeby takie haslo w calosci wyciagnac (chyba ze ktos poda cale) .natomiast w przypadku klucza U2F odrazu dostaje pelen komplet danych? (w przypadku podmiany dns). Jako paranoik wciaz nie jestem przekonany.
Świetny materiał. Na początek kupiłem dwa niebieskie klucze (z czasem dokupię jeszcze ten droższy, czarny i może jeszcze jeden do zakopania w ogródku ;-) ), ich obsługa jest banalnie prosta, zabezpieczyłem konta na FB, Google, o2, Yahoo i na PayPalu i... na tym koniec :-/, zadziwiające, że tylko nieliczne serwisy korzystają z tak wygodnego i bezpiecznego rozwiązania, tymczasem banki, strony rządowe, skarbowe, platforma ZUS itp. mają nasze bezpieczeństwo kompletnie gdzieś...
Szczerze polecam ten klucz. Razem z Bitwardenem pozwolił mi na uporządkowanie i skończenie z recyklingiem haseł. Po konfiguracji szybko mogę się zalogować na gmaila na nowym kompie i nawet jak ktoś wisi mi na głową nic nie podejrzy. Wciskam tylko guzik na kluczu i się wszystko samo robi :) Brakuje mi tylko do tego jakiegoś kontenera na szyfrowane pliki blokowanego kluczem, ale może za słabo szukałem.
Pytanka mam- Czy jeśli sobie taki kupie(niebieski podejrzę) To będę musiała najlepiej zrezygnować z dwuetapowej weryfikacji? nie trzeba go instalować ani nic? Ja nigdy nie miałam hakera i staram sie tego pilnować,3 razy do roku zmieniam hasła mam weryfikacje dwu etapowa ale patrząc jak coraz wiecej ludzi mimo to jest hakowanym...pracuje na win7 niestety i mam sporo waznych danych na gmailu,paypal czy fb nawet więc chyba zainwestuje w takie cacko;)
A co jeśli odepnę pozostałe formy uwierzytelniania i mam jeden klucz który akurat się zgubi/zniszczy? Jak wówczas się zalogować na nowym urządzeniu? Załóżmy że jednego dnia zginął mi telefon, laptop i u2f - jak wtedy się zalogować?
Kiedyś znalazłem taką szyfrowaną Pocztę na Portalu: Tutanota spodobało się mi to tylko jedna wiadomość mnie zmartwiła że jeżeli założymy tą Pocztę i się długo nie logujemy to konto się nam usunie tak nie powinno być my powinniśmy zdecydować czy chcemy usunąć czy nie! Ten Klucz mi się bardzo Spodobał.
1. jeśli z klucza zamierzam też korzystać na komórce, to jeśli kupię wersję BEZ NFC, to będę musiał wpisać klucz do złacza w telefonie (np. usb-c)? 2. czy wersja YubiKey 5-nano, nie przegrzewa się w porcie usb? wiele pamięci flash, o takich rozmiarach podowduje "gotowanie się" portu usb i może doprowadzić do spalenia złącza i pamięci, czy taki klucz wpięty na stałe w USB, nie będzie się przegrzewał? 3. rozumiem, że wersje 5-nano (usb c i a) nie wspierają NFC? 4. czy klucz z zabezpieczeniem odciskiem palca to dobry pomysł? 5. czy jest limit przechowywanych "kluczy" na jednym urzadzeniu. Czy można usuwać z urzadzenia zapisane wcześniej dane? czy mozna np. sformatować klucz i później komuś bezpiecznie podarować lub odsprzedać?
Cześć, gdzie / jak trzymać hasła (mam ich wiele, do kazdy inny) do serwerow, portali, sklepów online? Pewnie nagrywaliście o tym, wystarczy tytul lub link
Super filmik, od razu się przekonałem i zamówiłem 2 klucze i zacząłem konfigurować swoje konta, przede wszystkim gmail. ale... Wydaje się, że wciąż implementacja tego rozwiązania w wielu serwisach jest w powijakach. 1. Google na telefonie krzyczy, że moja przeglądarka jest w trybie prywatnym (nie jest), więc nie można dodać klucza NFC. 2. O ile na przykład Facebook umożliwia dodanie klucza przez przeglądarkę na PC, tak w aplikacji, czy przeglądarkach na iOS już takiej opcji nie ma. W ten sposób muszę pozostawić inne narzędzia, co przecież mija się z celem kluczy U2F. 3. Inne nieco mniej popularne strony czy aplikacje, w ogóle nie słyszały o U2F, ale mam nadzieję, że się to niebawem zmieni.
Czy klucz u2f pomoże w przypadku skradzionej sesji? Miałem sytuację że mimo wielokrotnie zmienianego hasła i weryfikacji dwuetapowej na SMS, miałem kilka razy z rzędu przejęte konto na FB a kody SMS nie przychodziły. Dopiero po kilkunastu minutach otrzymywałem wiadomość o nowym logowaniu. Google trochę lepiej sobie z tym radził bo z automatu wywalił wszystkie sesje z urządzeń.
Taaak! Kupujemy system z zabezpieczeniami, potem dokupujemy programy zabezpieczające różnej maści po to aby się dowiedzieć, że to wszystko psu na budę!! Więc dalej kupujemy n.p. YubiKey Po to aby za moment się dowiedzieć, że ktoś w końcu obszedł to zabezpieczenie i znów wszystko psu na budę!! Nie wspominając już o kasie oraz niedogodnościach z tym związanych (coraz więcej czasu tzreba poświęcić przy kompie) i nadal wszystko psu na budę!!Bo na koniec dowiadujemy się, że nasze dane wyciekły czy to z banku czy z facebooka czy z innej rzekomo bezpiecznej instytucji! I znów psu na budę!!
Poważnie rozważam zakup klucza U2F. Jak na ironię, to co mnie powstrzymuje, to jego największa zaleta, a mianowicie konieczność posiadania go przy sobie żeby móc zalogować się do jakiegoś serwisu :) Często wychodzę z domu bez kluczy do domu, portfela w zasadzie nie noszę. Biorę ze sobą jedynie telefon. Rozumiem, ze klucz jest potrzebny żeby zalogować się na stronach internetowych, natomiast czy jest też niezbędny żeby zalogować się do aplikacji banku na telefonie? Albo do innych aplikacji np. Facebook albo aplikacje Google na iPhone (nie strony internetowe w przeglądarce)? I jeszcze drugie pytanie - na ile warto mieć klucz U2F jeśli strona internetowa obsługuje Passkeys? Czy Passkeys nie dają takiego samego poziomu zabezpieczeń jak fizyczny klucz U2F?
"Każdy poważnie podchodzący do bezpieczeństwa serwis", ale nie banki :) to przykre, chyba, że wiecie już, że jakiś bank chce taką autoryzację wprowadzić?
@@NiebezpiecznikTV I tylko o planach, pytałem się na kilku infoliniach i cisza.... Wszyscy mają niesamowicie sprawne aplikacje. Żaden bank nie jest zainteresowany ochroną pieniędzy klientów.
ja bym bardzo taką opcje widział jako 3FA (Third factor authentication) i niech banki nie pier***** ze to nie sprawdzone w ich systemach i może być niebezpieczne, bo to byłaby opcja "dodatek dla paranoików"
Nie ma i nie będzie. Zamiast tego będziesz miał takie cyrki jak "hasła maskowane", które poza utrudnianiem życia nic nie wnoszą. Mogliby wprowadzić też kliknięcie w swojej apce na telefonie przy logowaniu, ale to też dla nich za trudne. Ma być jak najbardziej uciążliwie. Wed. banków bardziej uciążliwie = bardziej bezpiecznie.
REWELACJA!!! Jeden z.... nie, nie jedne, ale . NAJLEPSZY film szkoleniowy/informacyjny jaki kiedykolwiek oglądałem. Rzetelne, sprawdzone dane. Z humorem, ciekawymi wstawkami, nie hamskimi, lecz inteligentnymi. Prowadzący nienaganna polszczyzna, bez zająknięc, bez naleciałości. Oby więcej takich a każdym temacie.
Ten klucz to ochrona przed nami samymi. Niedopatrzenie, zmęczenie, szybkość logowania, klikanie w linki, logowanie w strachu i na silnych emocjach, które sprowokował oszust internetowy sprzyjają błędom.
A czy mogę mieć klucz U2F podpięty na stałe do domowego komputera stacjonarnego - bo i tak, jak ktoś już się włamie do mnie do domu i fizycznie dostanie do tego sprzętu to się zaloguje znając hasła. A z kolei na smartphonie preferowałbym dalej korzystać z odcisku palca, jak to robiłem do tej pory. Jedyne co chciałbym ulepszyć przy uwierzytelnianiu, to wykluczenie z równania kodów sms. Mój kanał na YT ostatnio coraz szybciej się rozwija i raczej to już może tylko przyspieszyć, a nie zwolnić i głównie w jego przypadku wolałbym zwiększyć poziom bezpieczeństwa i klucz U2F wydaje się być dobrą opcją.
Piotrze w końcu mamy kluczyk - co dalej? Kiedy kolejny filmik pt. Jak ogarnąć ten bajzel, bo "YubiKey Personalization Tool" przyprawia o zawrót głowy :D
160zł x2 to sporo dla zabezpieczenia tylko przed phishingiem, bo za przechowywanie dodatkowych kluczy czy certyfikatów trzeba dopłacić do wyższej wersji. Masę osób wspomina o bankach, a banki poszły w stronę własnych aplikacji. Banki dysponują danymi dotyczącymi ilości klientów z danych platform i wybierają opcje najbardziej optymalne z czego wynikałoby, że wsparcie dla takiego klucza taką opcją nie jest. Faktycznie taki klucz jest dobrą opcją dla ludzi nieuważnych lub takich, którzy z racji ilości przetwarzanych danych mogą nie zwrócić uwagi na zagrożenie, można by do nich chyba zaliczyć jakiś frontdesk lub np. komórkę zajmująca się przetargami itp. Dobrą opcją jest też zabezpieczenie kont systemowych o wysokich możliwościach np. adminów, księgowych lub dyrektorów, ale tu już mowa o wersjach droższych, ale pocieszające jest to, że to firma płaci 😁
Czy da się "odpiąć" klucz po jego zagubieniu i jest możliwe przejście na pewnie okres na inny sposób autoryzacji logowania? Czy jednak posiadanie dwóch jest najbezpieczniejsza wersją?
@Niebezpiecznik Chwilka, ale z kupieniem jednego klucza droższego (czarnego) i jednego klucza tańszego (niebieski) w celu bezpieczeństwa w razie zgrubienia/zniszczenia tego głównego, jeat jeden duży problem. Czarny klucz pozwala (na dzień dzisiejszy 19 grudnia 2023 tylko czarny) na dodanie go do logowania do Windowsa/Linuxa. Jeżeli zgubię/zniszczę czarny klucz, to czasem nie będzie tak, że i tak niebieskim kluczem nie będę w stanie dostać się do systemu? (Poza wygenerowanymi kodami bezpieczeństwa) Czy ja źle coś rozumiem?
oczywiście *SUPER FILM* - też jestem zwolennikiem takich rozwiązań - ale mam 3 pytania - pyt 1 - wspomniałeś, że klucz powinien przyjść w "oryginalnym, nienaruszonym opakowaniu" - 3 min 25 sek 3:25 - jakie jest zagrożenie, że ktoś przy kluczu majstrował? skąd mam wiedzieć, że to ładne pudełko jest oryginalne? (to jest jedno podwójne pytanie ;-) pyt 2 - w jaki sposób klucz ten chroni mnie jeśli ktoś "przejął kontrolę nad moim komputerem" (czego ja nie muszę być świadomy) - i może "zobaczyć wszystko co się na nim dzieje" - innymi słowy czy klucz ten w takiej sytuacji zabezpiecza mnie przed UTRATĄ POUFNOŚCI danych ... pyt 3 - czy nie sądzisz, że obsługa kluczy, szyfrowania, podpisywania dokumentów i transakcji powinna być WBUDOWANA w elektroniczny dowód osobisty ?
1. Wszystko co wpinasz w port USB powinno być "zaufane", bo może udawać klawiaturę: th-cam.com/video/rZmivpxgeuU/w-d-xo.html (klucze mają możliwość/tryb pracy jako hid/klawiatura, wiec wiesz... ;) Pudełka są tak zrobione, że trzeba je zniszczyć aby dostać się do klucza. Oczywiście pewnie agencje rządowe są w stanie je podrobić, ale miejmy nadzieję, że handlarz Roman nie ;) 2. Jak ktoś przejmie Twoje urządzenie (malware) to nic Cię nie uchroni. Jest zresztą o tym na filmie, a rycerze "Ni" to potwierdzają ;-) To czego jednak w przypadku klucza malware nie może zrobić, to sięgnąć do sekretów, które są na nim składowane w tzw. pamięci "write only". Do nich dostęp ma tylko klucz, i to po świadomym dotknięciu użytkownika. 3. Tak sądzę. I tak jest. Możesz podpisywać dowodem i możesz profilem zaufanym: www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany
Najbardziej to obawiam się o bezpieczeństwo podczas logowania do banku. Tak z innej beczki to trzeba mieć przynajmniej dwa takie klucze bo jak się go zgubi albo uszkodzi to koniec zabawy. Chyba, że się mylę?
Chyba nie obejrzałaś całego filmu przed komentarzem ;-) Można mieć jeden klucz, ale wtedy trzeba bazować na dodatkowym słabszym drugim składniku (zazwyczaj serwisy generują: kod awaryjny lub zmuszają do użycia aplikacji typu Google Authenticator, podania numeru telefonu -- w filmie wyjaśniamy dlaczego lepiej jednak z tych słabszych metod nie korzystać). Najbezpieczniej więc mieć 2 klucze. A jak ktoś jest paranoikiem, to więcej. Bo licho nie śpi!
@@fioletowazyrafa5307 w bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje ofierze: co/ile i do kogo przelewa - i tu klucz u2f nie pomoże bo nie ma możliwości pokazania co się "podpisuje". Dlatego właśnie klucz służy do uwierzytelnienia (tylko), a nie autoryzacji. Chociaż faktycznie implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić. Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które mają bardzo podobne chipy co klucz u2f i tez można je zbliżać do czytnika w telefonie. No cóż, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)
Zauważyłem, że na początku filmu zamaskowano zbliżenie na palce a szczególnie części odcisków palców. Czy takie dane można pozyskać i wykorzystać w niedowolony sposób? A może jakiś filmik o tym ? Pozdrawiam K.
Bardzo wartościowy materiał Mam pytanie dotyczące logowań, jeśli podepnę klucz do konta microsoft i będę chciał zalogować się na xboxie to jak będzie wyglądał proces autoryzacji przez klucz?
Pytanie, które mnie bardzo nurtuje: czy w Polsce istnieje chociaż jeden bank, który wspiera logowanie się przy pomocy U2F? Ja o takim nie słyszałem, za to słyszałem o wielu przypadkach, w których ludzie płakali bo na vinted czy olx podali swoje dane 🤔
Mam. VPN NORD który pamięta hasła do kont. Jestem kryty ponieważ NORD mi to gwarantuje. Czy to się dubluje z kluczem UTF , czy nadal używając VPN mogę paść ofiarą fishingu ?
Używam menadżera haseł. Gdy menadżer nie zna strony to nie wpisuje loginu i hasła. Jeśli więc trafiam na sfałszowaną strone to widzę, ze coś jest nie tka bo mam prośbę o wpisanie loginu i hasła choć nie powinno tego być.
Czyli to taki lepszy menadżer haseł, bo on też wykrywa czy strona na którą da auto uzupełnianie jest prawdziwa. :) btw, przeglądarkowe menadżery haseł są dobrym pomysłem?
Managery haseł (niektóre) też mogą sprawdzać URL podczas wpisywania hasła. Ale jak użytkownika się odpowiednio zmanipuluje, to wyciągnie hasło z managera haseł i wpisze na podstawionej stronie sam (serio, mamy takie przypadki na pentestach :D). I to jest problem. Z kluczem tak nie zrobi. Managery haseł wbudowane w przeglądarkę są bardzo OK. Weryfikują strony na których wprowadzają hasło i generują hasła przy rejestracji w bardzo wygodny sposób. Trzeba tylko pamiętać, żeby nie udostępniać naszego urządzenia (przeglądarki) innym osobom - np. domownikom, a co najmniej korzystać z różnych profili użytkowników systemowych.
@@NiebezpiecznikTV ja bym dodał jeszcze jedno. Menadżery haseł działają w oparciu o URL. Nawet jeśli cyberprzestepcy uda się natomiast podszyć pod stronę - Niezależnie od sposobu (np. Dns/WiFi) - klucz u2f uniemożliwi im zalogowanie się nawet w przypadku zgodności adresu URL. "wyglądasz i zachowujesz się jak Bellatrix, ale ja wiem, ze nią nie jesteś."
@@nicodiangelo4006to co ten klucz u2f sprawdza w końcu? Prawidłowość URL czy co, skoro na podstawionym DNSie/WLAN z prawidłowym URLem nie da się go oszukać?
Nie wiem czy film jeszcze jest komentowany, ale czy można kupic 2 klucze i oba skonfigurować na 2 osoby - żeby każda miała swój kluzcz, ktory równocześnie jest zapasem drugiej osoby? No i czy można na kluczu zapisywać hasła do witryn? Ewentualnie czy macie jakiś godny polecenia menadżer (bo zapamiętać generowane bezpieczne hasła nie sposób, najlepiej taki na Androida, Windows + Chromebook) :)
Hej, ostatnio wyskakuje mo powiadomienie od Google że mogę użyć mojego telefonu z nfc właśnie jako klucz u2f. Czy jest to tak samo bezpieczne, oraz jak to dokładnie działa? Fajnie gdybyś poruszył ten temat. (Korzystam z android 11 więc na 12 będzie to jescze bardziej popularny temat)
Świetny materiał! Mam jednak pytanie do 9:35, ponieważ chciałem właśnie zakupić Yubikey, żeby korzystać z jego pomocą z KeePassaXC (metodą challenge-response). Dlaczego uważasz że to nie jest dobry pomysł? Czytalem trochę na necie i może to być lekki overkill ale obawiam się trochę keyloggerow w czasie wpisywania hasła do menedżera.
@@rafa7068 Jeśli ma się windowsa to żaden antywirus, czy legalny system nie pomoże. Zobacz ile danych wysyła do MS, to aż za głowę się złapiesz. Systemy MS to jeden wielki keylogger.
@@rafa7068 Ja używam KeePassa z kluczem dlatego, że bazę haseł trzymam w sieci (w celu synchronizacji między komputerem i telefonem), a to oznacza ryzyko, że ktoś kiedyś może uzyskać do niej dostęp, więc muszę mieć bardzo silne hasło (40 znaków). Bez klucza musiałem wpisywać hasło czasem 4-5 razy, bo przy takiej długości łatwo było się pomylić. Z kluczem mogę mieć to hasło dużo krótsze, a jest tak samo bezpiecznie.
Podpinam się pod pytanie. Ja widzę to tak: zastosowanie klucza sprzętowego jest zamiennikiem pliku klucza - jedno i drugie pozwala zastosować słabsze, za to łatwiejsze do zapamiętania hasło. To z kolei pozwala na synchronizowanie bazy poprzez usługi chmurowe jak Google Drive czy Dropbox, bo tak zaszyfrowana baza łatwo się nie podda. Tym samym rozwiązujemy problemy managerów haseł w wersji on-line - 0day lub brak sieci/usługi. Różnica jednak pomiędzy tymi kluczami jest taka, że plik zawsze może szlag trafić, albo ulegnie zmianie. Więc wracając do pytania, czemu zabezpieczanie bazy kluczem może być złym pomysłem? Istotne w tym przypadku jest to, że używając klucza niebieskiego jako backupa... nie mamy backupa do bazy, bo niebieski ma jeden slot = backup powinień być taki jak klucz główny. Jest na to workaround, ale to też kombinowanie. Można sobie Secret OTP zapisać przy jego tworzeniu, co pozwoli nam klucz odtworzyć. Trzeba go sobie tylko gdzieś zapisać, niekoniecznie w menagerze haseł, który jest nim zabezpieczony...
Co do bankowości: W bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi, pomijalnymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje klientowi: co/ile i do kogo przelewa - i tu klucz u2f nie pomoże, bo nie ma możliwości pokazania co się "autoryzuje". Dlatego właśnie klucz służy do uwierzytelnienia (tylko), a nie autoryzacji. Chociaż faktycznie implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić. Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które mają bardzo podobne chipy co klucz u2f i tez można je zbliżać do czytnika w telefonie. No cóż, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)
Jak zgubisz wszystkie, ktore podpiales, to tak. Chyba ze jakis serwis ma procedure pozwalajaca zweryfikowac, ze Ty to Ty, np. weryfikujac Cie z dokumentu tozsamosci (przy zalozeniu, ze wczesniej im go np. przekazales).
Piotrek - fajnie że nagrałeś taki odcinek bo właśnie o tym myślę ostatnio, że chce sie przesiąść od nowego roku i szukam rozwiązania - ale jakie rozwiązanie polecasz jak mam 3 kompy + 2 telefony z których na stałe korzystam, służbowy laptop, PRV laptop i PRV stacjonarka + służbowy i prv tel z androidem? 1 klucz przy kluczach do domu żeby po NFC odblokowywać 2x andka, i po każdym kluczy do kompów zeby nie przekładać co chwile miedzy kompami + coś na zapas jakby coś sie zgubiło albo ukradli ? Będę wdzięczny za propozycje case study jak taki przypadek rozwiązać i jak skonfigurować i jakie klucze dobrać i kupić - od razu mówie ze mam tez CERT z KIRu i chciałbym mieć od razu jakoś to połączone z certem z doworu osobistego z warstwą elektroniczną o ile to możliwe . Z góry maga wielkie dzieki za odp :)
Jak wygoda najważniejsza a nie cena, to kup po kluczu na każdy sprzęt, leniu :) A jak cena a nie wygoda, to co najmniej dwa: jeden do "sejfu" drugi do kluczy. Nie używa się go znowu tak często, chyba że się wykogowujesz z urządzenia każdego co chwilę samodzielnie (ale po co?)
@@NiebezpiecznikTV aa, ok, czyli nie musze miec caly czas podlaczonego? Bo sie zasugerowalem tym ze pokazales ze Ty masz caly czas w maczku swoj podlaczony?
Nomenklatura nazewnictwa tych kluczy to jakiś absurd... ukrywanie specyfikacji też nie pomaga... kup kup... będzie bezpiecznie kupisz coś czego raczej się nie odsprzedaje a potem kwiatki typu no akurat ten model nie ma tego czy owego... to kuriozalnej ile modeli tego produktu jest...
Jak ten klucz dokładnie działa? Jak mam programowalną naklejkę NFC, to mogę tam wpisać "klucz" w sensie drugi ciąg znaków uwierzytelniających, zamiast kupować drogi klucz usb?
ostatnio interesowałem się tymi kluczami, właśnie mnie przekonaliście, ale mam pytanie, czy mając ten klucz i sparowane urządzenie, np. smartfon to czy smsy w stylu "dopłata do paczki" i przypadkowe kliknięcie w link zabezpieczy mnie przed atakami?
Nie do końca rozumiem: 1) Co jeśli kupię jeden klucz i go zgubię? Jak wtedy się dostanę do serwisów? 2) th-cam.com/video/Zr0PffkN09w/w-d-xo.html - dlaczego to nie zawsze dobry pomysł?
No dobrze, ale czy nie jest tak, że używając menagera haseł tylko z funkcją autouzupelniania jesteśmy tak samo dobrze chronieni przed phishingiem? Autouzupelnianie nie zadziała, gdy URL nie będzie się zgadzał - tak samo jak klucz U2F. A przynajmniej nie ma problemu ze zgubieniem klucza, kluczami zapasowymi, etc. Trochę sobie nie wyobrażam dopinania/odpinania klucza od wszystkich serwisów (na przykład w przypadku zgubienia) - setki stron, dziesiątki godzin pracy.
Politycy sami sobie okradli konta, nigdy nie uwierzę że tak ładnie piszą w swoim mailach, lub jeszcze bardziej okradli ich a teraz sami sobie podstawiają nie fałszywe maile
Tylko, że teraz loguję się np.: do poczty z komputera a poza domem z telefonu. Nie mam zamiaru nosić takiego klucza przy sobie, czy dalej będę mógł użyć zwykłego hasła?
Dziękuję za ten film. Złożyłem u Was zamówienie - przyślijcie jak najszybciej ;) Piotrze, miałeś rację, znalazłem w innych sklepach taniej klucze jednak wybrałem Was w podziękowaniu za to co robicie dla cyber-security w Polsce :)
Promocja kluczy ma znaczenie większe niż dzisiaj nam się wydaje. Bardzo potrzebny materiał. Dzięki!
Jeszcze nie. A apkach bankowych nie działaja, w gmailu równiez. Do *upy z tym rozwiązaniem.
Najlepsza reklama swojego sklepu jaką widziałem. Ja dwa zakupiłem i jestem zadowolony. Faktycznie bez klucza nic nie da się zrobić, odwiedzałem rodziców, zapomniałem kluczy, nigdzie nie mogłem się zalogować, znając wszystkie dane, mając zalogowany telefon, nic nie mogłem zrobić, na kompie nie mogłem się zalogować nigdzie.
Fantastyczny filmik, wstawki humorystyczne zasługują na oskara.
Najman rozpierdala system :D
@@marekdreed3009 Borsuki, kuny, jenoty...
Podzielam opinie. Lepszego komentarza nie dam. Zajebysty temat super podany
Nie rozumiem, jesli klucz weryfikuje zgodnosc URL to jesli ktos podmieni serwer dns to url mimo, ze prawidlowy bedzie prowadzil pod falszywy ip. Pod falszywym ip stoi serwer ktory sciagnie taka autoryzacje? (bo url sie przeciez zgodzil) . Wiec nadal nie widze tu 100% ochrony. Poza tym wpisujac haslo recznie do bankowosci w wielu przypadkach podaje sie niepelne haslo tylko poszczegolne jego czesci - wiec fiszing musial by sie odbyc wiele razy zeby takie haslo w calosci wyciagnac (chyba ze ktos poda cale) .natomiast w przypadku klucza U2F odrazu dostaje pelen komplet danych? (w przypadku podmiany dns). Jako paranoik wciaz nie jestem przekonany.
Kluczy używam od prawie 2 lat i szczerze polecam. Co do filmiku to świetnie, że poruszacie tak ważne tematy.
Świetny materiał. Na początek kupiłem dwa niebieskie klucze (z czasem dokupię jeszcze ten droższy, czarny i może jeszcze jeden do zakopania w ogródku ;-) ), ich obsługa jest banalnie prosta, zabezpieczyłem konta na FB, Google, o2, Yahoo i na PayPalu i... na tym koniec :-/, zadziwiające, że tylko nieliczne serwisy korzystają z tak wygodnego i bezpiecznego rozwiązania, tymczasem banki, strony rządowe, skarbowe, platforma ZUS itp. mają nasze bezpieczeństwo kompletnie gdzieś...
Wzorcowy przykład stosowania socjotechniki połączonej z dowcipem ! A tak serio - najlepszy dotąd film poglądowy - dzięki !
Szczerze polecam ten klucz. Razem z Bitwardenem pozwolił mi na uporządkowanie i skończenie z recyklingiem haseł. Po konfiguracji szybko mogę się zalogować na gmaila na nowym kompie i nawet jak ktoś wisi mi na głową nic nie podejrzy. Wciskam tylko guzik na kluczu i się wszystko samo robi :) Brakuje mi tylko do tego jakiegoś kontenera na szyfrowane pliki blokowanego kluczem, ale może za słabo szukałem.
2dni temu zamówiłem sobie jako prezent na święta a tu do tego piękny filmik.
Genialna idea i świetnie zrobiony filmik.
Mam 2 sztuki, wszystko działa super, natomiast jestem rozczarowane jak niewiele serwisów pozwala na ich używanie.
Blurowanie odcisków! Jestem zaskoczony!
Trzeba się uczyć na błędach Angeli Merkel :)
Odcisków i klucza!
Wszystko super póki klucz działa. Te pamięci czasem padają. Dwa klucze to jest jakaś opcja jak już banki zaczną je wspierać.
Bardzo przydatny i przejrzysty film, polecam
pytanie które mi się nasuwa to jaka jest trwałość i ew. awaryjność takich kluczy?
2FA to ważna sprawa, ale chciałem się wypowiedzieć o wstawkach w filmie - super :).
Chociaż jestem totalnie zielona w temacie to uwielbiam oglądać wasze filmiki :).
Pytanka mam- Czy jeśli sobie taki kupie(niebieski podejrzę) To będę musiała najlepiej zrezygnować z dwuetapowej weryfikacji? nie trzeba go instalować ani nic?
Ja nigdy nie miałam hakera i staram sie tego pilnować,3 razy do roku zmieniam hasła mam weryfikacje dwu etapowa ale patrząc jak coraz wiecej ludzi mimo to jest hakowanym...pracuje na win7 niestety i mam sporo waznych danych na gmailu,paypal czy fb nawet więc chyba zainwestuje w takie cacko;)
Miałem sobie taki sprezentować po choinkę, teraz zrobię to na pewno.
A co jeśli odepnę pozostałe formy uwierzytelniania i mam jeden klucz który akurat się zgubi/zniszczy? Jak wówczas się zalogować na nowym urządzeniu? Załóżmy że jednego dnia zginął mi telefon, laptop i u2f - jak wtedy się zalogować?
świetny instrukcja
Kiedyś znalazłem taką szyfrowaną Pocztę na Portalu: Tutanota spodobało się mi to tylko jedna wiadomość mnie zmartwiła że jeżeli założymy tą Pocztę i się długo nie logujemy to konto się nam usunie tak nie powinno być my powinniśmy zdecydować czy chcemy usunąć czy nie! Ten Klucz mi się bardzo Spodobał.
1. jeśli z klucza zamierzam też korzystać na komórce, to jeśli kupię wersję BEZ NFC, to będę musiał wpisać klucz do złacza w telefonie (np. usb-c)?
2. czy wersja YubiKey 5-nano, nie przegrzewa się w porcie usb? wiele pamięci flash, o takich rozmiarach podowduje "gotowanie się" portu usb i może doprowadzić do spalenia złącza i pamięci, czy taki klucz wpięty na stałe w USB, nie będzie się przegrzewał?
3. rozumiem, że wersje 5-nano (usb c i a) nie wspierają NFC?
4. czy klucz z zabezpieczeniem odciskiem palca to dobry pomysł?
5. czy jest limit przechowywanych "kluczy" na jednym urzadzeniu. Czy można usuwać z urzadzenia zapisane wcześniej dane? czy mozna np. sformatować klucz i później komuś bezpiecznie podarować lub odsprzedać?
Fajna sprawa. Mam takie pytanie. Czy jak kupię u was klucze, pomożecie mi to wszystko skonfigurować? Oczywiście odpłatnie.
świetnie to zrobiliście, kupie se taki klucz :) - u Was
Cześć, gdzie / jak trzymać hasła (mam ich wiele, do kazdy inny) do serwerow, portali, sklepów online? Pewnie nagrywaliście o tym, wystarczy tytul lub link
Wstawki humorystyczne mega 😁
Świetny film i świetna jakość nagrania.
No i jeszcze pytanie ,które klucze są autentyczne,a które podróbkami ,z wgranym wirusem?
Świetny materiał! Ni! xD
02:23 - za tą wstawkę należy się oscar! :D
tak xD
Super filmik, od razu się przekonałem i zamówiłem 2 klucze i zacząłem konfigurować swoje konta, przede wszystkim gmail.
ale...
Wydaje się, że wciąż implementacja tego rozwiązania w wielu serwisach jest w powijakach.
1. Google na telefonie krzyczy, że moja przeglądarka jest w trybie prywatnym (nie jest), więc nie można dodać klucza NFC.
2. O ile na przykład Facebook umożliwia dodanie klucza przez przeglądarkę na PC, tak w aplikacji, czy przeglądarkach na iOS już takiej opcji nie ma.
W ten sposób muszę pozostawić inne narzędzia, co przecież mija się z celem kluczy U2F.
3. Inne nieco mniej popularne strony czy aplikacje, w ogóle nie słyszały o U2F, ale mam nadzieję, że się to niebawem zmieni.
czyli dla apki facebook/instagram to nie działa?
Czy klucz u2f pomoże w przypadku skradzionej sesji? Miałem sytuację że mimo wielokrotnie zmienianego hasła i weryfikacji dwuetapowej na SMS, miałem kilka razy z rzędu przejęte konto na FB a kody SMS nie przychodziły. Dopiero po kilkunastu minutach otrzymywałem wiadomość o nowym logowaniu. Google trochę lepiej sobie z tym radził bo z automatu wywalił wszystkie sesje z urządzeń.
Taaak! Kupujemy system z zabezpieczeniami, potem dokupujemy programy zabezpieczające różnej maści po to aby się dowiedzieć, że to wszystko psu na budę!! Więc dalej kupujemy n.p. YubiKey Po to aby za moment się dowiedzieć, że ktoś w końcu obszedł to zabezpieczenie i znów wszystko psu na budę!! Nie wspominając już o kasie oraz niedogodnościach z tym związanych (coraz więcej czasu tzreba poświęcić przy kompie) i nadal wszystko psu na budę!!Bo na koniec dowiadujemy się, że nasze dane wyciekły czy to z banku czy z facebooka czy z innej rzekomo bezpiecznej instytucji! I znów psu na budę!!
Filmik naprawdę super
Poważnie rozważam zakup klucza U2F. Jak na ironię, to co mnie powstrzymuje, to jego największa zaleta, a mianowicie konieczność posiadania go przy sobie żeby móc zalogować się do jakiegoś serwisu :) Często wychodzę z domu bez kluczy do domu, portfela w zasadzie nie noszę. Biorę ze sobą jedynie telefon. Rozumiem, ze klucz jest potrzebny żeby zalogować się na stronach internetowych, natomiast czy jest też niezbędny żeby zalogować się do aplikacji banku na telefonie? Albo do innych aplikacji np. Facebook albo aplikacje Google na iPhone (nie strony internetowe w przeglądarce)?
I jeszcze drugie pytanie - na ile warto mieć klucz U2F jeśli strona internetowa obsługuje Passkeys? Czy Passkeys nie dają takiego samego poziomu zabezpieczeń jak fizyczny klucz U2F?
Dziękuję, super
"Każdy poważnie podchodzący do bezpieczeństwa serwis", ale nie banki :) to przykre, chyba, że wiecie już, że jakiś bank chce taką autoryzację wprowadzić?
Wiemy o planach jednego. Od 3 lat wiemy... ;)
@@NiebezpiecznikTV I tylko o planach, pytałem się na kilku infoliniach i cisza.... Wszyscy mają niesamowicie sprawne aplikacje. Żaden bank nie jest zainteresowany ochroną pieniędzy klientów.
ja bym bardzo taką opcje widział jako 3FA (Third factor authentication) i niech banki nie pier***** ze to nie sprawdzone w ich systemach i może być niebezpieczne, bo to byłaby opcja "dodatek dla paranoików"
Bank to jedyne miejsce gdzie widze sens takiego klucza... szkoda że oni mają to gdzieś
Nie ma i nie będzie. Zamiast tego będziesz miał takie cyrki jak "hasła maskowane", które poza utrudnianiem życia nic nie wnoszą. Mogliby wprowadzić też kliknięcie w swojej apce na telefonie przy logowaniu, ale to też dla nich za trudne. Ma być jak najbardziej uciążliwie. Wed. banków bardziej uciążliwie = bardziej bezpiecznie.
Borsuki, kuny, jenoty - to one przekonały mnie do zakupu klucza 2FA.
REWELACJA!!! Jeden z.... nie, nie jedne, ale . NAJLEPSZY film szkoleniowy/informacyjny jaki kiedykolwiek oglądałem. Rzetelne, sprawdzone dane. Z humorem, ciekawymi wstawkami, nie hamskimi, lecz inteligentnymi. Prowadzący nienaganna polszczyzna, bez zająknięc, bez naleciałości. Oby więcej takich a każdym temacie.
Mistrzostwo świata!
super do potęgi entej 🥰macie subcia
Świetny materiał. Dzięki
Dziękuję świetnie się bawiłem
Ten klucz to ochrona przed nami samymi. Niedopatrzenie, zmęczenie, szybkość logowania, klikanie w linki, logowanie w strachu i na silnych emocjach, które sprowokował oszust internetowy sprzyjają błędom.
Wchodzenie na czyjeś podwórko to jak pułapka ;) Niepozdrawiam.
A czy mogę mieć klucz U2F podpięty na stałe do domowego komputera stacjonarnego - bo i tak, jak ktoś już się włamie do mnie do domu i fizycznie dostanie do tego sprzętu to się zaloguje znając hasła.
A z kolei na smartphonie preferowałbym dalej korzystać z odcisku palca, jak to robiłem do tej pory. Jedyne co chciałbym ulepszyć przy uwierzytelnianiu, to wykluczenie z równania kodów sms.
Mój kanał na YT ostatnio coraz szybciej się rozwija i raczej to już może tylko przyspieszyć, a nie zwolnić i głównie w jego przypadku wolałbym zwiększyć poziom bezpieczeństwa i klucz U2F wydaje się być dobrą opcją.
Hm... Jeżeli działanie klucza bazuje na adresie strony, to w takim razie nie chroni przed phishingiem z podmianą DNS?
A co jeśli jestem cebula, kupiłem tylko jeden klucz i go zgubię/zniszczę. Czy to oznacza że nie mam opcji dostać się do serwisów?
Nie wiem jak inne serwisy, ale Gmail wymaga minimum 2 kuczy, żeby pozwolić Ci wyłączyć inne formy autoryzacji.
Piotrze w końcu mamy kluczyk - co dalej?
Kiedy kolejny filmik pt. Jak ogarnąć ten bajzel, bo "YubiKey Personalization Tool" przyprawia o zawrót głowy :D
Na TH-cam są filmiki również w języku polskim.
Ooo nie znałem . Dzięki
160zł x2 to sporo dla zabezpieczenia tylko przed phishingiem, bo za przechowywanie dodatkowych kluczy czy certyfikatów trzeba dopłacić do wyższej wersji. Masę osób wspomina o bankach, a banki poszły w stronę własnych aplikacji. Banki dysponują danymi dotyczącymi ilości klientów z danych platform i wybierają opcje najbardziej optymalne z czego wynikałoby, że wsparcie dla takiego klucza taką opcją nie jest. Faktycznie taki klucz jest dobrą opcją dla ludzi nieuważnych lub takich, którzy z racji ilości przetwarzanych danych mogą nie zwrócić uwagi na zagrożenie, można by do nich chyba zaliczyć jakiś frontdesk lub np. komórkę zajmująca się przetargami itp. Dobrą opcją jest też zabezpieczenie kont systemowych o wysokich możliwościach np. adminów, księgowych lub dyrektorów, ale tu już mowa o wersjach droższych, ale pocieszające jest to, że to firma płaci 😁
Co jeśli będę miał tylko zabezpieczone Kluczem U2F a resztę zabezpieczeń usunę i zgubie klucz ? Odzyskam konto ?
Leży mi taki od jakiegoś czasu, przekonaliście mnie żeby go jednak wykorzystać. Tylko dokupię drugi ;)
Czy da się "odpiąć" klucz po jego zagubieniu i jest możliwe przejście na pewnie okres na inny sposób autoryzacji logowania?
Czy jednak posiadanie dwóch jest najbezpieczniejsza wersją?
Dobry film ale brakuje jednego info. Kluczem u2f można zabezpieczyć połączenie pulpitu zdalnego?
Dziękuję I pozdrawiam
@Niebezpiecznik Chwilka, ale z kupieniem jednego klucza droższego (czarnego) i jednego klucza tańszego (niebieski) w celu bezpieczeństwa w razie zgrubienia/zniszczenia tego głównego, jeat jeden duży problem.
Czarny klucz pozwala (na dzień dzisiejszy 19 grudnia 2023 tylko czarny) na dodanie go do logowania do Windowsa/Linuxa. Jeżeli zgubię/zniszczę czarny klucz, to czasem nie będzie tak, że i tak niebieskim kluczem nie będę w stanie dostać się do systemu? (Poza wygenerowanymi kodami bezpieczeństwa)
Czy ja źle coś rozumiem?
oczywiście *SUPER FILM* - też jestem zwolennikiem takich rozwiązań - ale mam 3 pytania - pyt 1 - wspomniałeś, że klucz powinien przyjść w "oryginalnym, nienaruszonym opakowaniu" - 3 min 25 sek 3:25 - jakie jest zagrożenie, że ktoś przy kluczu majstrował? skąd mam wiedzieć, że to ładne pudełko jest oryginalne? (to jest jedno podwójne pytanie ;-) pyt 2 - w jaki sposób klucz ten chroni mnie jeśli ktoś "przejął kontrolę nad moim komputerem" (czego ja nie muszę być świadomy) - i może "zobaczyć wszystko co się na nim dzieje" - innymi słowy czy klucz ten w takiej sytuacji zabezpiecza mnie przed UTRATĄ POUFNOŚCI danych ... pyt 3 - czy nie sądzisz, że obsługa kluczy, szyfrowania, podpisywania dokumentów i transakcji powinna być WBUDOWANA w elektroniczny dowód osobisty ?
1. Wszystko co wpinasz w port USB powinno być "zaufane", bo może udawać klawiaturę: th-cam.com/video/rZmivpxgeuU/w-d-xo.html (klucze mają możliwość/tryb pracy jako hid/klawiatura, wiec wiesz... ;) Pudełka są tak zrobione, że trzeba je zniszczyć aby dostać się do klucza. Oczywiście pewnie agencje rządowe są w stanie je podrobić, ale miejmy nadzieję, że handlarz Roman nie ;)
2. Jak ktoś przejmie Twoje urządzenie (malware) to nic Cię nie uchroni. Jest zresztą o tym na filmie, a rycerze "Ni" to potwierdzają ;-) To czego jednak w przypadku klucza malware nie może zrobić, to sięgnąć do sekretów, które są na nim składowane w tzw. pamięci "write only". Do nich dostęp ma tylko klucz, i to po świadomym dotknięciu użytkownika.
3. Tak sądzę. I tak jest. Możesz podpisywać dowodem i możesz profilem zaufanym: www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany
@@NiebezpiecznikTV *WIELKIE DZIĘKI* za szybką i KONKRETNĄ ODPOWIEDŹ - zrobilibyście oddzielny odcinek o nowych e-dowodach?
Dopisane do listy! Dobry pomysł.
@@NiebezpiecznikTV są klucze yubi z czytnikiem linii papilarnych. To powinno być w standardzie jak ktoś ma kompa poza chronionym pomieszczeniem;)
@@adamwarmuz5682 są. Czy to jest potrzebne? Wątpimy, bo jednak sam klucz dostępu nie zapewnia. Jeszcze potrzebne hasło.
Najbardziej to obawiam się o bezpieczeństwo podczas logowania do banku. Tak z innej beczki to trzeba mieć przynajmniej dwa takie klucze bo jak się go zgubi albo uszkodzi to koniec zabawy. Chyba, że się mylę?
Chyba nie obejrzałaś całego filmu przed komentarzem ;-)
Można mieć jeden klucz, ale wtedy trzeba bazować na dodatkowym słabszym drugim składniku (zazwyczaj serwisy generują: kod awaryjny lub zmuszają do użycia aplikacji typu Google Authenticator, podania numeru telefonu -- w filmie wyjaśniamy dlaczego lepiej jednak z tych słabszych metod nie korzystać). Najbezpieczniej więc mieć 2 klucze. A jak ktoś jest paranoikiem, to więcej. Bo licho nie śpi!
@@NiebezpiecznikTV zgadza się haha
Banki nie obsługują U2F i nie chcą tego obsługiwać.
@@szmonszmon i to jest największy problem
@@fioletowazyrafa5307 w bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje ofierze: co/ile i do kogo przelewa - i tu klucz u2f nie pomoże bo nie ma możliwości pokazania co się "podpisuje". Dlatego właśnie klucz służy do uwierzytelnienia (tylko), a nie autoryzacji. Chociaż faktycznie implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić.
Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które mają bardzo podobne chipy co klucz u2f i tez można je zbliżać do czytnika w telefonie. No cóż, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)
Klucz U2F. Dzięki.
A co sądzisz o kluczu u2f wbudowanym w portfelu do kryptowalut Ledger Nano S?
Ale co mi po tym jak z serwera wypływają wszystkie dane jak od sony ostatnio i ten klucz to se możesz koleżanką z pracy pokazywać.
Merytorycznie i z super humorem xd "Borsuki, kuny, jenoty" no spadłem z łóżka 😁
Zauważyłem, że na początku filmu zamaskowano zbliżenie na palce a szczególnie części odcisków palców. Czy takie dane można pozyskać i wykorzystać w niedowolony sposób? A może jakiś filmik o tym ?
Pozdrawiam
K.
Bardzo wartościowy materiał
Mam pytanie dotyczące logowań, jeśli podepnę klucz do konta microsoft i będę chciał zalogować się na xboxie to jak będzie wyglądał proces autoryzacji przez klucz?
Najman najlepszy xD
Pytanie, które mnie bardzo nurtuje: czy w Polsce istnieje chociaż jeden bank, który wspiera logowanie się przy pomocy U2F? Ja o takim nie słyszałem, za to słyszałem o wielu przypadkach, w których ludzie płakali bo na vinted czy olx podali swoje dane 🤔
Ing
Ing Bank Ślaski
PKO BP
Co jeśli zgubię klucz i nie mam zapamiętanego uwierzytelniania do danego serwisu? Czy wtedy jest już pozamiatane i nie mam już dostępu do konta?
Mam, korzystam, polecam
Mam. VPN NORD który pamięta hasła do kont. Jestem kryty ponieważ NORD mi to gwarantuje. Czy to się dubluje z kluczem UTF , czy nadal używając VPN mogę paść ofiarą fishingu ?
A jaka jest różnica, jeżeli używam managera haseł, przecież on też weryfikuje adres przed wprowadzeniem danych?
Używam menadżera haseł. Gdy menadżer nie zna strony to nie wpisuje loginu i hasła. Jeśli więc trafiam na sfałszowaną strone to widzę, ze coś jest nie tka bo mam prośbę o wpisanie loginu i hasła choć nie powinno tego być.
Czyli to taki lepszy menadżer haseł, bo on też wykrywa czy strona na którą da auto uzupełnianie jest prawdziwa. :)
btw, przeglądarkowe menadżery haseł są dobrym pomysłem?
Managery haseł (niektóre) też mogą sprawdzać URL podczas wpisywania hasła. Ale jak użytkownika się odpowiednio zmanipuluje, to wyciągnie hasło z managera haseł i wpisze na podstawionej stronie sam (serio, mamy takie przypadki na pentestach :D). I to jest problem. Z kluczem tak nie zrobi.
Managery haseł wbudowane w przeglądarkę są bardzo OK. Weryfikują strony na których wprowadzają hasło i generują hasła przy rejestracji w bardzo wygodny sposób. Trzeba tylko pamiętać, żeby nie udostępniać naszego urządzenia (przeglądarki) innym osobom - np. domownikom, a co najmniej korzystać z różnych profili użytkowników systemowych.
@@NiebezpiecznikTV ja bym dodał jeszcze jedno. Menadżery haseł działają w oparciu o URL.
Nawet jeśli cyberprzestepcy uda się natomiast podszyć pod stronę - Niezależnie od sposobu (np. Dns/WiFi) - klucz u2f uniemożliwi im zalogowanie się nawet w przypadku zgodności adresu URL.
"wyglądasz i zachowujesz się jak Bellatrix, ale ja wiem, ze nią nie jesteś."
@@nicodiangelo4006 piękne porównanie!
@@nicodiangelo4006 to mnie przekonuje
@@nicodiangelo4006to co ten klucz u2f sprawdza w końcu? Prawidłowość URL czy co, skoro na podstawionym DNSie/WLAN z prawidłowym URLem nie da się go oszukać?
Nie wiem czy film jeszcze jest komentowany, ale czy można kupic 2 klucze i oba skonfigurować na 2 osoby - żeby każda miała swój kluzcz, ktory równocześnie jest zapasem drugiej osoby?
No i czy można na kluczu zapisywać hasła do witryn? Ewentualnie czy macie jakiś godny polecenia menadżer (bo zapamiętać generowane bezpieczne hasła nie sposób, najlepiej taki na Androida, Windows + Chromebook) :)
A co z tym mitycznym MENADŻEREM HASEŁ?
Hej, ostatnio wyskakuje mo powiadomienie od Google że mogę użyć mojego telefonu z nfc właśnie jako klucz u2f. Czy jest to tak samo bezpieczne, oraz jak to dokładnie działa? Fajnie gdybyś poruszył ten temat. (Korzystam z android 11 więc na 12 będzie to jescze bardziej popularny temat)
Super....💪👍
Świetny materiał!
Mam jednak pytanie do 9:35, ponieważ chciałem właśnie zakupić Yubikey, żeby korzystać z jego pomocą z KeePassaXC (metodą challenge-response). Dlaczego uważasz że to nie jest dobry pomysł? Czytalem trochę na necie i może to być lekki overkill ale obawiam się trochę keyloggerow w czasie wpisywania hasła do menedżera.
@@rafa7068 Jeśli ma się windowsa to żaden antywirus, czy legalny system nie pomoże. Zobacz ile danych wysyła do MS, to aż za głowę się złapiesz. Systemy MS to jeden wielki keylogger.
@@rafa7068 Ja używam KeePassa z kluczem dlatego, że bazę haseł trzymam w sieci (w celu synchronizacji między komputerem i telefonem), a to oznacza ryzyko, że ktoś kiedyś może uzyskać do niej dostęp, więc muszę mieć bardzo silne hasło (40 znaków). Bez klucza musiałem wpisywać hasło czasem 4-5 razy, bo przy takiej długości łatwo było się pomylić. Z kluczem mogę mieć to hasło dużo krótsze, a jest tak samo bezpiecznie.
Podpinam się pod pytanie.
Ja widzę to tak: zastosowanie klucza sprzętowego jest zamiennikiem pliku klucza - jedno i drugie pozwala zastosować słabsze, za to łatwiejsze do zapamiętania hasło. To z kolei pozwala na synchronizowanie bazy poprzez usługi chmurowe jak Google Drive czy Dropbox, bo tak zaszyfrowana baza łatwo się nie podda. Tym samym rozwiązujemy problemy managerów haseł w wersji on-line - 0day lub brak sieci/usługi.
Różnica jednak pomiędzy tymi kluczami jest taka, że plik zawsze może szlag trafić, albo ulegnie zmianie.
Więc wracając do pytania, czemu zabezpieczanie bazy kluczem może być złym pomysłem? Istotne w tym przypadku jest to, że używając klucza niebieskiego jako backupa... nie mamy backupa do bazy, bo niebieski ma jeden slot = backup powinień być taki jak klucz główny.
Jest na to workaround, ale to też kombinowanie. Można sobie Secret OTP zapisać przy jego tworzeniu, co pozwoli nam klucz odtworzyć. Trzeba go sobie tylko gdzieś zapisać, niekoniecznie w menagerze haseł, który jest nim zabezpieczony...
1. Dlaczego serwisy bankowości nie używają U2F?
2. Ten mały klucz nie ma przycisku. Jak on wtedy działa?
On ma przycisk, jak wszystkie yubikey jest on dotykowy więc w sumie bardziej sensor ale działa identycznie jak duże klucze
Co do bankowości: W bankach samo zalogowanie się na cudze konto nie jest wystarczające aby kogoś okraść (z małymi, pomijalnymi wyjątkami). Kluczowa za to jest taka autoryzacja transakcji, która pokazuje klientowi: co/ile i do kogo przelewa - i tu klucz u2f nie pomoże, bo nie ma możliwości pokazania co się "autoryzuje".
Dlatego właśnie klucz służy do uwierzytelnienia (tylko), a nie autoryzacji. Chociaż faktycznie implementacja obsługi klucza U2F przez banki, choćby dla chętnych, uniemożliwiłaby ataki, bo żeby kogoś okraść to najpierw trzeba się na jego konto zalogować. A tego w wariancie z kluczem, osoba bez klucza nie może zrobić.
Co ciekawe, to nie musiały by być nawet klucze U2F. Banki mogłyby skorzystać z kart płatniczych które już przecież klientom wydają, a które mają bardzo podobne chipy co klucz u2f i tez można je zbliżać do czytnika w telefonie. No cóż, może kiedyś doczekamy takich czasów. Pierwszemu bankowi który wprowadzi klucz u2f dla klientów dajemy darmową reklamę :)
Taki klucz nie zabezpiecza wszystkiego. Mam taki do dzisiaj na pamiątkę po koncie Mtgox, które zniknęło z moją kasą. :-)
A co jak jestem niezdarny i taki klucz zgubię? Stracę dostęp do swoich kont? (zakładając, że nie mam już więcej zapasowych)?
Jak zgubisz wszystkie, ktore podpiales, to tak. Chyba ze jakis serwis ma procedure pozwalajaca zweryfikowac, ze Ty to Ty, np. weryfikujac Cie z dokumentu tozsamosci (przy zalozeniu, ze wczesniej im go np. przekazales).
Czy ten klucz wymaga instalacji dodatkowego oprogramowania?
Piotrek - fajnie że nagrałeś taki odcinek bo właśnie o tym myślę ostatnio, że chce sie przesiąść od nowego roku i szukam rozwiązania - ale jakie rozwiązanie polecasz jak mam 3 kompy + 2 telefony z których na stałe korzystam, służbowy laptop, PRV laptop i PRV stacjonarka + służbowy i prv tel z androidem?
1 klucz przy kluczach do domu żeby po NFC odblokowywać 2x andka, i po każdym kluczy do kompów zeby nie przekładać co chwile miedzy kompami + coś na zapas jakby coś sie zgubiło albo ukradli ?
Będę wdzięczny za propozycje case study jak taki przypadek rozwiązać i jak skonfigurować i jakie klucze dobrać i kupić - od razu mówie ze mam tez CERT z KIRu i chciałbym mieć od razu jakoś to połączone z certem z doworu osobistego z warstwą elektroniczną o ile to możliwe .
Z góry maga wielkie dzieki za odp :)
Jak wygoda najważniejsza a nie cena, to kup po kluczu na każdy sprzęt, leniu :) A jak cena a nie wygoda, to co najmniej dwa: jeden do "sejfu" drugi do kluczy. Nie używa się go znowu tak często, chyba że się wykogowujesz z urządzenia każdego co chwilę samodzielnie (ale po co?)
@@NiebezpiecznikTV aa, ok, czyli nie musze miec caly czas podlaczonego? Bo sie zasugerowalem tym ze pokazales ze Ty masz caly czas w maczku swoj podlaczony?
To tylko moje leni tfu! wygoda :) //PK
Nomenklatura nazewnictwa tych kluczy to jakiś absurd... ukrywanie specyfikacji też nie pomaga... kup kup... będzie bezpiecznie kupisz coś czego raczej się nie odsprzedaje a potem kwiatki typu no akurat ten model nie ma tego czy owego... to kuriozalnej ile modeli tego produktu jest...
dlatego wlasnie jasno komunikujemy, do celow opisanych w tym video wystarczy Ci najtanszy klucz. Znajdziesz to tu: niebezpiecznik.pl/u2f
Nie kupię tego klucza bo drogi fest, ale na filmiku uśmiałem się grubo ^^
Jak ten klucz dokładnie działa? Jak mam programowalną naklejkę NFC, to mogę tam wpisać "klucz" w sensie drugi ciąg znaków uwierzytelniających, zamiast kupować drogi klucz usb?
ostatnio interesowałem się tymi kluczami, właśnie mnie przekonaliście, ale mam pytanie, czy mając ten klucz i sparowane urządzenie, np. smartfon to czy smsy w stylu "dopłata do paczki" i przypadkowe kliknięcie w link zabezpieczy mnie przed atakami?
Nie do końca rozumiem:
1) Co jeśli kupię jeden klucz i go zgubię? Jak wtedy się dostanę do serwisów?
2) th-cam.com/video/Zr0PffkN09w/w-d-xo.html - dlaczego to nie zawsze dobry pomysł?
Większość serwisów nie pozwoli ci ustawić jednego klucza bez innej (uwaga, słabszej!) opcji.
jesli jestem na wakacjakch klucz mam w domu nie mam go ze soba to nie ma szansy sie zalogowac ;/ trzeba miec go zawsze przy sobie ?
Jestem tu od Tomasza Samołyka
I chyba im częściej będą tracone te dane przez youtuberów, tym popularniejsze będą te klucze
Czy klucz U2F zabezpieczy mnie przed włamaniem się do WordPress?
No dobrze, ale czy nie jest tak, że używając menagera haseł tylko z funkcją autouzupelniania jesteśmy tak samo dobrze chronieni przed phishingiem?
Autouzupelnianie nie zadziała, gdy URL nie będzie się zgadzał - tak samo jak klucz U2F.
A przynajmniej nie ma problemu ze zgubieniem klucza, kluczami zapasowymi, etc.
Trochę sobie nie wyobrażam dopinania/odpinania klucza od wszystkich serwisów (na przykład w przypadku zgubienia) - setki stron, dziesiątki godzin pracy.
Wp dodało taką możliwość po akcji z posłami, bo wcześniej chyba tego nie było dostępnego?
Politycy sami sobie okradli konta, nigdy nie uwierzę że tak ładnie piszą w swoim mailach, lub jeszcze bardziej okradli ich a teraz sami sobie podstawiają nie fałszywe maile
Tylko, że teraz loguję się np.: do poczty z komputera a poza domem z telefonu. Nie mam zamiaru nosić takiego klucza przy sobie, czy dalej będę mógł użyć zwykłego hasła?
Czy klucz Titan security key pojawił się w sprzedaży na terenie naszego kraju ?
Wstawka z najmanem była piękna
Jeśli to takie bezpieczne, to czemu tego zabezpieczenia banki nie udostępniają swoim klientom?
Co by się stało, jakbym np. zepsuł klucz podstawowy, a backupowy zgubił, na koncie brak innych opcji uwierzytelnienia? Jak odzyskać wtedy konto?