Nie bądź jak polityk – nie daj się hakerom
Ostatnio wiele osób ze sceny politycznej padło ofiarą włamań lub przejęć kont w serwisach społecznościowych, czasem również kont poczty elektronicznej. Kto jak kto, ale osoby publiczne powinny dbać o wysoki poziom zabezpieczeń dostępu do serwisów społecznościowych… Nie każdy musi być specjalistą od cyberbezpieczeństwa, bo wystarczy sprawić sobie Yubikey.
Każdy z nas może stać się celem ataku, może będziemy jednym z kilkuset lub więcej losowych celów bądź z jakiś powodów będzie to personalizowany atak tylko na nas, nasze dane, nasze konta. Co możemy zrobić?
Po pierwsze włączyć wszędzie MFA (uwierzytelnienie wieloskładnikowe), najczęściej używane jest 2FA (uwierzytelnianie dwuskładnikowe), oprócz hasła trzeba wówczas podać kod z SMS lub mobilnej aplikacji uwierzytelniającej. Niestety, jak pokazują przykłady jest to zabezpieczenie do obejścia przez zaawansowanego włamywacza, bo przejęcie numeru telefonu jest możliwe. Jak się chronić? Rozwiązaniem mogą być klucze sprzętowe U2F. Do niedawna spotykało się je tylko (lub głównie) w korporacjach, bo były drogie i skomplikowane we wdrożeniu. Na szczęście rozwój technologii sprawia, że również rozwiązania z zakresu cyberbezpieczeństwa tanieją, a, co ważniejsze, stają się przyjazne dla użytkownika. Jednym z takich przykładów są klucze sprzętowe firmy Yubico, współpracujące również z iOS/iPadOS/macOS.
Do mnie na testy trafiły dwa modele Yubikey 5C NFC – z interfejsami USB-C i NFC oraz 5Ci z USB-C i Lighting. Dzięki kluczom Yubikey możemy zabezpieczyć konto na Facebooku, Twitterze, Instagramie i w wielu innych serwisach, ale również logowanie do systemu macOS. Oczywiście nie ma rozwiązań 100% bezpiecznych, ale sprzętowe zabezpieczenie znacznie zmniejsza możliwość przejęcia, włamania się na nasze konto. Więcej informacji w najbliższym, marcowym numerze iMagazine.
Jeżeli macie jakieś pytania albo byście chcieli, żebym sprawdził coś konkretnego dajcie znać w komentarzach.
Komentarze: 10
Mam pytanie jeśli chodzi o model z Lighting: czy działa z iPhone’m?
Używam Titan Security Key od Google i czasami trzeba robić trochę kombinacji, żeby się gdzieś zalogować z poziomu telefonu(zazwyczaj potrzebna do tego jest aplikacja od google i tag łączy się z nią przez bluetooth i tak się uwierzytelnia – bez fizycznego podpinania urządzenia).
Model z Lighting działa z iPhonem i iPadami z portem Lighting. Model z NFC działa z iPhone od iPhone 7 w górę.
Beznadziejne rozwiązanie. Wszyscy wiemy, że tak naprawdę albo zapomnisz o kluczu, albo zostawisz go w plecaku, albo gdzieś, albo zgubisz. Akurat jak będziesz go potrzebował to jego nie będzie. Po co komplikować sobie życie? Banki, Apple, Microsoft, Adobe, FB odchodzi od uwierzytelniania dwuskładnikowego za pomocą sms a przechodzi do dedykowanych aplikacji. Telefon zawsze mamy przy sobie. Jest to wygodne i równie bezpieczne. Tak więc po co ten klucz?
Kody z app można przejąć, pisał o tym m.in. Piotr Konieczny z Niebezpicznika. Telefon też można zgubić, stracić. Klucz sprzętowy to jest szczebel wyżej w cyberbezpieczeństwie, żeby wygenerować kod dla 2FA potrzebujesz dwóch urządzeń – telefonu/komputera i klucza sprzętowego.
No tak. Tego klucza zgubić sie nie da. Rzeczywiscie telefon latwiej.
To wcale nie jest poziom wyzej. To jest tak denerwujące ze kazdy w koncu wyłączy 2fa. Aplikacja to jest przyszlosc a nie klucze sprzętowe.
Zgubić się da wszystko. Jak wyżej, aplikacje można przejąć, system w telefonie można przejąć zdalnie. Klucz trzeba przejąć fizycznie. Więcej technikaliów w tekście. Z jakiegoś powodu kwalifikowane podpisy cyfrowe wymagają kluczy sprzętowych i aplikacji a nie tylko samej aplikacji. Wyłączenie 2FA, lub jego nie używanie można porównać do zostawiania otwartych drzwi od mieszkania, otwartego samochodu z widocznym laptopem na siedzeniu. PS. Polecam trochę lektury na temat cyberbezpieczenstwa.
Zajmuje sie tym zawodowo od lat. Dziekuje za polecenie lektury na temat cyberbezpieczeństwa.
Nie masz racji. Podpisy kwalfikowane nie wymagają kluczy sprzętowych. Zobacz sobie nawet nasze lokalne rozwiazania – comarch SimplySign.
Przyszlosc nie nalezy do kluczy sprzętowych ktore bardzo latwo zgubić, zapomnieć. Banki juz dawno od tego odeszły nawet w korporacyjnych rozwiązaniach.
PS Polecam tobie sporo lektury na temat cyberbezpieczenstwa.
Jedyny problem ktory widze z Yubico to fakt ze nie mozna zrobic kopii zapasowej. Nie wszystkie serwisy oferuja 2FA poprzez 2 metody a zgubienie klucza lub zniszczenie moze sie skonczyc katastrofą.
Dlatego zalecane są 2 klucze U2F. Jeden trzymamy w bezpiecznym miejscu i używamy tylko w awaryjnych sytuacjach.
Tam gdzie serwisy nie obsługują 2 sprzętowych kluczy jest sposób na zabezpieczenie się na wypadek utraty, uszkodzenia klucza. Będzie w artykule.