Klucze szyfrujące Yubico - zaawansowane 2FA

Regulamin forum
Uwaga! Poruszamy kwestie wyłącznie zgodne z prawem! Nie namawiamy do łamania prawa! Nie radzimy jak łamać prawo!
Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » wtorek, 14 września 2021, 21:01

Kupiłem YubiKey 5 NFC 5.4.3 oraz Security Key NFC 5.2.7, zainstalowałem YubiKey Manager. Jakie zdziwienie moje było, gdy odkryłem, że oba urządzenia (nowe) mają już wprowadzone PIN (PINy) i nie są to PINy standardowe fabryczne... Ja pierdolę, jutro idę do sprzedawcy: Komputronik, towar był w, zdaje się, nienaruszonym opakowaniu. A więc co, w Szwecji ktoś wprowadził, czy w Polsce (sprzedawca)? Jestem załamany.

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » środa, 15 września 2021, 02:00

Ok. udało mi się zresetować PINy na obu kluczach. Widać nadają je w Szwecji, nie jest to PIN defaltowy: 123456. Ale da się go zresetować w programie YubiKey Manager (jest na stronie producenta do pobrania) - sposób: FIDO2 / Reset FIDO / Yes / wyciągamy klucz z portu USB / Wkładamy klucz do portu USB / dotykamy blaszki na kluczu.
Z drugiej strony, jeśli da się wymazać PIN, to po przejęciu fizycznym klucza przez złodzieja, zyskujemy jedynie na czasie, bo restart PIN, restartuje też wszystkie logowania do stron, zapisane na kluczu.
Będę działał dalej, pozabezpieczam tymi kluczami co się da, a szczególnie gmaila. A czy wy macie jakąś opinie o zabezpieczanie się tymi kluczami przed atakiem?
(Mam też inne pytanie, to pewnie w innym dziale: Revolut i handel krypto, czy to bezpieczne?)

Początkujący
Awatar użytkownika
Posty: 64
Rejestracja: 21 kwietnia 2021
Reputacja: 24
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: DosiaApriori » środa, 15 września 2021, 19:56

Klucze U2F uznawane sa za najlepszą formę weryfikacji użytkownika praktycznie nie do obejścia (musisz mieć fizyczny dostęp do klucza) a i na podstawionej stronie on działa bo odsyła wiadomość wraz z adresem dla której potwierdza dostęp, a wtedy oryginalny serwis widzi: ten podpis jest poprawny ale nie zgadza się z naszą stroną. i odmowa dostępu
a sms/email/karta zdrapka/token fizyczny jaki dają banki ; jeśli go wpiszesz na podstawionej stronie to dla banku weryfikacja spełniona w 100%,

niech mi ktoś potwiedzi/zaprzeczy, dostep nie jest zapisywany w kluczu lecz strona na której dodajemy klucz zapisuje sobie klucz publiczny naszego klucza, i potem sprawdza czy późniejsza weryfikacja (podpis) zgadza się kluczem publicznym.
tak sądzę bo:
trezor działa po resecie/wyczyszczeniu urządzenia i przywróceniu z tego samego seeda to dostep do serwisów działa bez problemu.
wiec toretycznie powinno dać się do dwóch różnych kluczy wcisnąć ten sam seed (jak resetujemy klucz U2F zmieniamy mu SEED), wtedy jeden klucz zakopujemy w ogródku i przy każdym nowej stronie gdzie dodajemy U2F to ten zakopany w ogródku również by działał. (tak jak przywrócony trezor z tego samego seeda)

Weteran
Posty: 2260
Rejestracja: 21 marca 2014
Reputacja: 1304
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: The Real McCoin » środa, 15 września 2021, 23:13

@GryfSalab jak by co to można też zweryfikować czy klucze są oryginalne na stronie Yubico:

https://www.yubico.com/genuine

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » piątek, 17 września 2021, 01:26

Dzięki za odpowiedzi, zweryfikowałem na stronie. "wtedy jeden klucz zakopujemy w ogródku i przy każdym nowej stronie gdzie dodajemy U2F to ten zakopany w ogródku również by działał." - ponoć, mając 2 klucze, jak się rejestrujesz na stronie, oba trzeba fizycznie zarejestrować, dopiero klucz-kopie zakopać. Napotkałem inny problem. Dodałem do hasła uwierzytelnienie kluczem Yubico program KeePass XC 2.6.6. (menadżer haseł), wykorzystując: odpowiedź HMAC-SHA1, bo takie możliwości daje standardowo KeePass, ale nie potrafię zrobić w tym przypadku kulcza-kopii, bo program KeePass nie daje takiej możliwości, jest tam tylko "zmień" a nie "dodaj kolejny" klucz. Trochę słabo, bo jak klucz zginie w pożarze, albo powodzi ;) , to i dostęp do wszystkich haseł. Może jednak jest jakiś sposób, tylko się nie znam?

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » wtorek, 26 października 2021, 21:45

Co do kluczy Yubico, podzielę się doświadczeniami, bo minęły ok. 2 miesiące ich użytkowania.
1. Są w pełni przydatne przy zabezpieczeniu konta Google. Co robi się łatwo i bez trudu.
2. Facebook - niestety nie da się ich użyć w koncie prywatnym.
3. Windows - normalnie nie da się ich użyć, trzeba wgrać aplikację Yubikey Login for Windows, można użyć tylko droższego klucza: YubiKey 5 NFC 5.4.3, bo ma funkcję HMAC-SHA1, ponoć da się zrobić kopię na takim samym drugim kluczu i jeszcze wygenerować kod ratunkowy (nie zrobiłem tego - waham się - zabezpieczeń tego typu nie da się zrestartować, bez formatowania dysku).
4. KeePass - da się użyć, tak samo jak w Windows, YubiKey 5 NFC 5.4.3, bo ma funkcję HMAC-SHA1. Niestety nie da się zrobić kopii (drugiego klucza) - albo nie potrafię - a z tego wniosek, lepiej nie ryzykować, bo klucz zaginie lub zostanie uszkodzony i wszystkie hasła nie do wydostania!
I tyle. Podsumowując: zabezpiecza konto Google (więc i Gmail).

Początkujący
Posty: 111
Rejestracja: 9 marca 2017
Reputacja: 124
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: dalarin » środa, 27 października 2021, 22:18

@GryfSalab Odnośnie punktu 4: da się zrobić kopię klucza programem YubiKey Personalization Tool, zakładka Challenge-Response, a tam HMAC-SHA1. Kopia może polegać na tym, że generujemy sekretny klucz (pole "secret key") i zapisujemy ten sam na dwa klucze (można go też spisać na tajemną kartkę na wszelki wypadek). Nie wiem jednak czy klucz da się odczytać ("wyjąć" z urządzenia) jeśli już został ustawiony, raczej nie. To oznacza, że aby zrobić kopię, potrzebowałbyś nadać nowy klucz sekretny obu kluczom sprzętowym, co z kolei oznacza utratę dostępu do aktualnej bazy KeePass (która pozostanie zaszyfrowana starym kluczem). Polecałbym zapisać chwilowo kopię bazy KeePass w postaci zaszyfrowanej hasłem podawanym z palca, a potem ją jakoś wgrać przy założeniu od nowa bazy na kluczu (nie praktykowałem tej procedury, ale na pewno da się jakoś tymczasowo wyeksportować wpisy i zaimportować je do nowej bazy, można potrenować przed faktem).

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » czwartek, 28 października 2021, 11:38

@dalarin No, na 100 % nie wiem czy da się zrobić kopie, bo fizycznie nie mam drugiego klucza YubiKey 5 NFC 5.4.3, chyba wydam te 230 zł i w końcu sprawdzę. Programem YubiKey Personalization Tool jest konieczny, by zrobić nawet jeden klucz, bo tym programem zapisujesz na kluczu HMAC-SHA1. Czy da się zapisać ten sam "secret key" na dwa różne klucze i czy oba otworzą KeePass nie wiem? Przypuszczam, że nie. Normalnie kopia polega na tym, że masz dwa różne klucze, tylko oba są zalogowane na jakiejś stronie (np. konto google) i oba działają (i to się nazywa "kopią", choć można by się czepiać do nazewnictwa, bo nie mają tych samych haseł, mają różne, tylko oba one są przyjmowane przez stronę). Co do zapisywania "secret key" na karteczce, to niby jak to chcesz zrobić? Nie widzisz go, widzisz ciąg znaków, który jest później jakoś losowo mieszany i szyfrowany. Tak ja to rozumiem. Skąd miałbyś przepisać "secret key"? Co do zablokowania KeePass, to nie ma takiego problemu, bo obsługę kluczem, możesz sobie wyłączyć i pozostać tylko przy haśle, ja tak właśnie sobie włączam i wyłączam :roll:

Najlepiej ma sprawę rozwiązane Google: włączasz "ochronę zaawansowaną" on ci od razu pisze, że musisz posiadać dwa klucze (mogą być te najtańsze Yubico, mogą być droższe, mogą być dwa różne - ja tak zrobiłem), prosi o włożenie pierwszego - dotknięcie, drugiego - dotknięcie, to samo ze smartfonem, od razu sam prosi - tam tylko przykładasz, nie wtykasz, bo nie ma gdzie - i gites majonez!
A reszta stron i programów - same kłopoty!

Początkujący
Posty: 111
Rejestracja: 9 marca 2017
Reputacja: 124
Reputacja postu: 
2
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: dalarin » piątek, 29 października 2021, 12:31

@GryfSalab Mam 2 klucze i używam KeePass, więc mam wszystko sprawdzone. To działa tak:
To jest autentykacja typu zadanie-odpowiedź (challenge response). To jest KeePass ma zapisane normalnym tekstem pytanie, które zada kluczowi. Odpowiedź na to pytanie to Twoje hasło do bazy KeePass. Wyobraźmy sobie, że pytanie to "3". Teraz klucz ma wprowadzony przez YubiKey Personalization Tool swój secret key. Ten sekret to sposób odpowiadania na pytanie. Dla uproszczenia powiedzmy, że to nie jest HMAC SHA1 tylko... mnożenie. Zapisujesz w kluczu sekret "10". Teraz otwierasz KeePass, on pyta "3", klucz mnoży 3 przez sekret 10 i odpowiada "30". KeePass bierze "30" i tym hasłem rozszyfrowuje bazę z hasłami. Widzi, że się rozszyfrowała poprawnie, więc wszystko działa. Nie ważne jaki klucz włożysz, ważne że ma wpisany ten sam sekret.

To logowanie na stronach nie używa HMAC SHA1, tylko innego sposobu, dlatego tam jest inaczej i najlepsze strony oferują dodanie dwóch kluczy. Bitfinex ma też do tego wsparcie. Jak zmienisz swój sekret w swoim HMAC SHA1 to te strony nie zauważą zmiany (tylko pamiętaj aby wybrać w YubiKey Personalization Tool dobry slot, u mnie to był chyba slot 2), bo go nie używają.

Jak zabezpieczyć BitBay, Kraken, Coinbase itp kluczem YubiKey. Nic prostszego. Na stronie dodajesz 2FA w postaci Google Authenticator. Zamiast Google Authenticator używasz jednak Yubico Authenticator (ściągnij sobie). Ten program zadziała tylko z Twoim kluczem. Jak chcesz mieć możliwość np. wejścia na Coinbase też drugim kluczem trzeba dodać ten sam kod QR przy zakładaniu logowania 2FA do Yubico Authenticator jak jest włożony jeden klucz, potem wyjąć, włożyć drugi i dodać znowu to samo. Będą i tu i tam.

Co do kupna klucza, to poczekaj na black friday, może dadzą promocję.

Weteran
Posty: 2260
Rejestracja: 21 marca 2014
Reputacja: 1304
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: The Real McCoin » piątek, 29 października 2021, 16:49

Przy okazji, gdyby ktoś jeszcze nie słyszał: Yubico wprowadziło nowe bezpieczniejsze klucze - ze skanerem odcisków.


Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » środa, 3 listopada 2021, 10:25

@dalarin, dziękuję za wyczerpującą odpwiedź. Jednym słowem, da się wprowadzić te same sekretne hasło na 2 klucze fizyczne za pomocą YubiKey Personalization Tool. Nie wiem, jak, ale spróbuję. Ale ja mam też na smartfonie KeePaas 2 Android, przenoszę plik z bazą danych między komputerem a smartfonem, jak plik będzie zabezpieczony HMAC SHA1, nie wiadomo, czy na smartfonie go otworzę; np. takie konto google na smartfonie się otwiera bez problemu kluczem, bo używane jest FIDO, a nie HMAC SHA1... Google Authenticator wgrywać na komputer, czy na smarfona, czy bez różnicy?

Początkujący
Posty: 111
Rejestracja: 9 marca 2017
Reputacja: 124
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: dalarin » środa, 3 listopada 2021, 21:58

@GryfSalab Co do KeePass na telefonie, to niestety nie wiem, nie używałem nigdy.

Google Authenticator nigdzie nie wgrywać, zainstalować sobie Yubico Authenticator, chyba nie ma różnicy czy na komputerze, czy telefonie. Ja używam na komputerze, bo łatwiej się kopiuje z niego tekst do schowka, nie trzeba przepisywać ręcznie z telefonu. Chyba nic nie stoi na przeszkodzie, aby mieć i tu i tu.

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » czwartek, 4 listopada 2021, 19:17

Google Authenticator używam do facebooka, bo prywatnego konta nie zabezpieczysz Yubico. (fakt pomyliłem z Yubico:) A co do Yubico Authenticator, to pewnie spece od bezpieczeństwa, by powiedzieli, że jak wchodzisz przez kompa, to program potwierdzający na innym urządzeniu lepiej zabezpiecza, bo trzeba by shakować 2 urządzenia. Pokombinuję.

Co do KeePass - pokombinowałem i faktycznie da się sekretne hasło HMAC-SHA1 dodać, za pomocą programu YubiKey Personalization, takie samo na 2 fizycznych kluczach Yubico. Po ustanowieniu hasła, robisz "wpisz" na jednym kluczu, po czym go wyciągasz i wkładasz drugi i znów robisz "wpisz" - powstają dwa wpisy na liście, ale hasło jest identyczne na 2 kluczach fizycznych. Później ustawiasz jeden z kuczy w KeePass, a działają oba.

Co dalej, mam zainstalowaną aplikację na smartfonie: KeePass 2 Android. Utworzyłem na smartfonie katalog, za pomocą kabla USB przeniosłem pliki bazy danych KeePass z kompa: *.kdbx. Wskazałem ten katalog jak jeszcze program nie był zabezpieczony kluczami.
Spróbowałem wejść w KeePass 2 Android na smarfonie. Wpisałem hasło, ale nie poszło, trzeba było wgrać program: ytDroid na smartfona. Po wgraniu: wpisuję hasło, przystawiam klucz, określam, który slot (to się określa wcześniej w programie YubiKey Personalization - najlepiej określić: slot 2), dotknąłem klucza i... poszło, baza danych, którą przerzuciłem przez kabel USB - otworzyła się.
Tak więc, wszystko działa, można stworzyć i klucz, i drugi klucz-kopie, będzie działał i na kompie i na smarfonie. Ja wolę przerzucać przez kabel plik z kompa na smarfona, żeby nie zaistniał, nigdzie w chmurze, tam jest dużo moich haseł (mające po 126 znaków:), pliki są zaszyfrowane, ale wiadomo... jak są w chmurze to już nie u nas fizycznie... Wszystko zależy od osobistego poziomu paranoi :)
Opisałem - może ktoś będzie szukał tych informacji.

Początkujący
Posty: 111
Rejestracja: 9 marca 2017
Reputacja: 124
Reputacja postu: 
1
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: dalarin » piątek, 5 listopada 2021, 20:25

@GryfSalab Super że poszło, dzięki za opis.

Jak pisałem: Facebooka też można zabezpieczyć kluczem Yubico zamieniając Google Authenticator na Yubico Authenticator. Yubico Authenticator tylko pokazuje kody, nie przechowuje ich. Nie będą w pliku na kompie. Niezbędny będzie klucz do otworzenia, więc podobnie jak z KeePass. Także myślę, że to opcja godna rozważenia pod względem bezpieczeństwa.

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » poniedziałek, 8 listopada 2021, 13:20

To zabieram się za Yubico Authenticator.

Tak przy okazji, może ktoś lepszy w sprawach bezpieczeństwa, coś by mi napisał. Wczoraj odkryłem, że ktoś przejął moje konto chomika. Konto istnieje, działają na nim hasła do katalogów, które, założyłem, ale hasło do samego konta nie działa. Na chomiku miałem sporo wykupionego transferu danych, nie pamiętam ile to było, w momencie przejęcia, powiedzmy 90 GB. Konto było zabezpieczone 30 losowymi znakami, zapisanymi w KeePass, który jest zabezpieczony też silnym hasłem i kluczem fizycznym. Konto miałem ok. 10 lat, większość czasu z jakimś hasłem: "123kotek" i przez te 10 lat nic się nie działo, stało się jak zacząłem wszystko zabezpieczać.

* (minął dzień)
Ok. rozwiązałem problem pisząc maila do Chomikuj.pl. Odpisał mi człowiek z imienia i nazwiska, że już mogę się logować, i żeby pisać, jak będę miał dalsze problemy. I się zalogowałem, hasłem, które dzień wcześniej nie działało. Żadnych strat. Żadnych zmian na koncie. Transfer nie tknięty (116 GB). Czyli nie było to włamanie, tylko coś się zrypało na serwerach "chomikuj".

Początkujący
Awatar użytkownika
Posty: 10
Rejestracja: 15 sierpnia 2021
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Klucze szyfrujące Yubico - zaawansowane 2FA

Postautor: GryfSalab » czwartek, 13 stycznia 2022, 15:10

dalarin pisze: piątek, 5 listopada 2021, 20:25Jak pisałem: Facebooka też można zabezpieczyć kluczem Yubico zamieniając Google Authenticator na Yubico Authenticator. Yubico Authenticator tylko pokazuje kody, nie przechowuje ich. Nie będą w pliku na kompie. Niezbędny będzie klucz do otworzenia, więc podobnie jak z KeePass. Także myślę, że to opcja godna rozważenia pod względem bezpieczeństwa.

Potwierdzam, można to zrobić za pomocą Yubico Authenticator i jest to łatwe - nie natrafiłem na komplikacje - przypisałem do dwóch fizycznych kluczy Yubico, ale czarnych (są droższe), z niebieskimi się nie da.

Wróć do „Anonimowość i bezpieczeństwo w sieci”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość