Klucze szyfrujące Yubico - zaawansowane 2FA

Regulamin forum
Uwaga! Poruszamy kwestie wyłącznie zgodne z prawem! Nie namawiamy do łamania prawa! Nie radzimy jak łamać prawo!
Początkujący
Posty: 3
Rejestracja: 15 sierpnia 2021
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » wtorek, 14 września 2021, 21:01

Kupiłem YubiKey 5 NFC 5.4.3 oraz Security Key NFC 5.2.7, zainstalowałem YubiKey Manager. Jakie zdziwienie moje było, gdy odkryłem, że oba urządzenia (nowe) mają już wprowadzone PIN (PINy) i nie są to PINy standardowe fabryczne... Ja pierdolę, jutro idę do sprzedawcy: Komputronik, towar był w, zdaje się, nienaruszonym opakowaniu. A więc co, w Szwecji ktoś wprowadził, czy w Polsce (sprzedawca)? Jestem załamany.

Początkujący
Posty: 3
Rejestracja: 15 sierpnia 2021
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » środa, 15 września 2021, 02:00

Ok. udało mi się zresetować PINy na obu kluczach. Widać nadają je w Szwecji, nie jest to PIN defaltowy: 123456. Ale da się go zresetować w programie YubiKey Manager (jest na stronie producenta do pobrania) - sposób: FIDO2 / Reset FIDO / Yes / wyciągamy klucz z portu USB / Wkładamy klucz do portu USB / dotykamy blaszki na kluczu.
Z drugiej strony, jeśli da się wymazać PIN, to po przejęciu fizycznym klucza przez złodzieja, zyskujemy jedynie na czasie, bo restart PIN, restartuje też wszystkie logowania do stron, zapisane na kluczu.
Będę działał dalej, pozabezpieczam tymi kluczami co się da, a szczególnie gmaila. A czy wy macie jakąś opinie o zabezpieczanie się tymi kluczami przed atakiem?
(Mam też inne pytanie, to pewnie w innym dziale: Revolut i handel krypto, czy to bezpieczne?)

Początkujący
Awatar użytkownika
Posty: 63
Rejestracja: 21 kwietnia 2021
Reputacja: 21
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: DosiaApriori » środa, 15 września 2021, 19:56

Klucze U2F uznawane sa za najlepszą formę weryfikacji użytkownika praktycznie nie do obejścia (musisz mieć fizyczny dostęp do klucza) a i na podstawionej stronie on działa bo odsyła wiadomość wraz z adresem dla której potwierdza dostęp, a wtedy oryginalny serwis widzi: ten podpis jest poprawny ale nie zgadza się z naszą stroną. i odmowa dostępu
a sms/email/karta zdrapka/token fizyczny jaki dają banki ; jeśli go wpiszesz na podstawionej stronie to dla banku weryfikacja spełniona w 100%,

niech mi ktoś potwiedzi/zaprzeczy, dostep nie jest zapisywany w kluczu lecz strona na której dodajemy klucz zapisuje sobie klucz publiczny naszego klucza, i potem sprawdza czy późniejsza weryfikacja (podpis) zgadza się kluczem publicznym.
tak sądzę bo:
trezor działa po resecie/wyczyszczeniu urządzenia i przywróceniu z tego samego seeda to dostep do serwisów działa bez problemu.
wiec toretycznie powinno dać się do dwóch różnych kluczy wcisnąć ten sam seed (jak resetujemy klucz U2F zmieniamy mu SEED), wtedy jeden klucz zakopujemy w ogródku i przy każdym nowej stronie gdzie dodajemy U2F to ten zakopany w ogródku również by działał. (tak jak przywrócony trezor z tego samego seeda)

Weteran
Posty: 2203
Rejestracja: 21 marca 2014
Reputacja: 1271
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: The Real McCoin » środa, 15 września 2021, 23:13

@GryfSalab jak by co to można też zweryfikować czy klucze są oryginalne na stronie Yubico:

https://www.yubico.com/genuine

Początkujący
Posty: 3
Rejestracja: 15 sierpnia 2021
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » piątek, 17 września 2021, 01:26

Dzięki za odpowiedzi, zweryfikowałem na stronie. "wtedy jeden klucz zakopujemy w ogródku i przy każdym nowej stronie gdzie dodajemy U2F to ten zakopany w ogródku również by działał." - ponoć, mając 2 klucze, jak się rejestrujesz na stronie, oba trzeba fizycznie zarejestrować, dopiero klucz-kopie zakopać. Napotkałem inny problem. Dodałem do hasła uwierzytelnienie kluczem Yubico program KeePass XC 2.6.6. (menadżer haseł), wykorzystując: odpowiedź HMAC-SHA1, bo takie możliwości daje standardowo KeePass, ale nie potrafię zrobić w tym przypadku kulcza-kopii, bo program KeePass nie daje takiej możliwości, jest tam tylko "zmień" a nie "dodaj kolejny" klucz. Trochę słabo, bo jak klucz zginie w pożarze, albo powodzi ;) , to i dostęp do wszystkich haseł. Może jednak jest jakiś sposób, tylko się nie znam?

Wróć do „Anonimowość i bezpieczeństwo w sieci”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość