Wstęp.
Witajcie. Jakiś czas temu pisałem, że zajmę się tematyką bezpieczeństwa danych logowania a w zasadzie uwierzytelnianiem dwuskładnikowym. Przy okazji naświetlę sprawę sprzętowych kluczy szyfrujących od Yubikey. Także oto, po dwóch tygodniach użytkowania jestem w stanie coś napisać na ten temat. Bezpieczeństwo, Yubikey, 2FA, U2F.
Trochę teorii - bezpieczeństwo w sieci: Yubikey, 2FA, U2F, FIDO2.
Na początek troszeczkę teorii, abyśmy wiedzieli, o co w tym wszystkim chodzi:
2FA (two factor autentication — uwierzytelnianie dwuskładnikowe): sposób logowania się do usługi online, polegający na podaniu loginu i hasła, a następnie dodatkowo jakiegoś kodu (via SMS, email, generator kodów), lub użycia klucza sprzętowego. Obecnie obowiązek korzystania z tego typu rozwiązań mają jedynie instytucje bankowe. Oczywiście, żeby nie było zbyt kolorowo, banki nie korzystają z kluczy sprzętowych.
U2F (universal second factor — uniwersalny drugi składnik): to jest właśnie klucz sprzętowy. Z wyglądu przypominający zwykły pendrive. Używamy go, jako drugi element uwierzytelniania dwuskładnikowego. Klucze posiadają różne sposoby komunikacji — usb, nfc, bluetooth. Na rynku istnieje kilku producentów produkujących klucze sprzętowe. Najbardziej znanym jest Yubico i to na tym rozwiązaniu skupię się w tym artykule.
FIDO (fast identity online — szybka identyfikacja online): zbiór instrukcji i metod pozwalających zalogować się usługi online z pominięciem hasła. W praktyce przynajmniej zmniejszające zależność od niego.
FIDO Alliance to konsorcjum wiodących firm technologicznych, agencji rządowych, dostawców usług, instytucji finansowych, procesorów płatności i innych branż, które powstało w 2013 roku w celu wyeliminowania stosowania haseł na stronach internetowych, w aplikacjach i urządzeniach. W skład konsorcjum wchodzi ponad 250 firm i instytucji.
FIDO2 (fast identity online 2nd): globalny standard uwierzytelniania opracowany przez konsorcjum FIDO. Następnie zatwierdzony przez W3C (World Wide Web Consortium). WebAuthn jest jednym z dwóch głównych składników, które wraz z protokołem Client to Authenticator Protocol (CTAP) tworzą standard FIDO2. Od drugiej połowy 2019 roku standard FIDO2 umożliwia użytkownikom wykorzystanie czytników biometrycznych. Wbudowane mogą być w komputery, smartfony czy tablety. Standard FIDO2 jest znakomitą alternatywą dla tradycyjnych metod uwierzytelniania, takich jak loginy i hasła. W niedalekiej przyszłości ma szansę wprowadzić logownie bez haseł (passwordless). Uwierzytelniać się będziemy metodami niebazującymi na współdzielonym sekrecie – haśle.
fot. klucz YubiKey 5NFC
Możliwości sprzętowego 2FA - YubiKey.
Skoro już co nieco wiemy, czym jest uwierzytelnianie 2FA oraz jakie są jego metody, czas odpowiedzieć na pytanie, po co ten klucz sprzętowy? Tym bardziej że kosztuje troszeczkę więcej niż zwykły pendrive.
A okazuje się in niezwykle użyteczny. Kody SMS, email czy nawet te z generatorów kodów da się przechwycić. I nie mówię ty o włamywaniu się na skrzynki pocztowe czy bezpośrednio na telefony, chociaż zdarzają się i takie przypadki. Sprawa jest w tej kwestii bardziej oczywista — te dane można wyłudzić… metodą na wnuczka, policjanta, piekarza, bakłażana i kogo tam jeszcze chcemy. Klucza sprzętowego NIE WYŁUDZIMY ani przez telefon, ani przez maila. Musielibyśmy go (a w zasadzie cyberzbóje) posiąść fizycznie. Zdobyć go i mieć w ręku. Nie jest to już takie „proste”.
Co możemy a czego nie zdziałamy przy pomocy YubiKey?
Możemy zabezpieczyć klienta pocztowego, przeglądarkę, dostęp do systemu (Win, Mac, Linux), usługi chmurowe, managery haseł, komunikatory i masę innych programów i usług. Wykaz partnerów na stronie https://www.yubico.com.
NIE MOŻEMY zabezpieczyć dostępu do konta online MS Windows (możemy zabezpieczyć tylko lokalne), nie wszystkie skrzynki pocztowe są kompatybilne z YubiKey. Na pewno możemy te największe typu Gmail, Yahoo itd.
NIE ZABEZPIECZYMY DOSTĘPU DO APLIKACJI BANKOWEJ!!!
Dlaczego nie zabezpieczymy swoich pieniędzy? Tego nie wie nikt poza instytucjami bankowymi.
Zady i walety tego rozwiązania.
Lista kompatybilnych aplikacji oraz wykaz dostępnych modeli dostępny jest na stronie https://www.yubico.com/
Znajdują się tam również filmy instruktażowe jak zacząć z YibiKey na przykładzie kilku najpopularniejszych aplikacji.
Co do zalet tego rozwiązania to jest to na pewno zapewnienie jednego z najwyższych poziomów bezpieczeństwa dla swoich serwisów i haseł.
Na pewno łatwość konfiguracji — jest banalnie prosta i wyjaśniona krok po kroku.
Na pewno łatwość użycia — ogranicza się do podpięcia urządzenia przez USB (A lub C), ew. do zbliżenia poprzez NFC i naciśnięcia przycisku.
Co do wad — dla niektórych na pewno cena — model 5 NFC to koszt ok 250 zł, ale należy go pomnożyć przez 2 – najrozsądniej posiadać 2 klucze — główny i zapasowy. Także wychodzi ok 500 zł. Czy to dużo? Każdy musi na to pytanie odpowiedzieć sam.
Kolejna kwestia to brak możliwości zabezpieczenia bankowości elektronicznej.
Także wybór jak zawsze pozostaje w gestii każdego z osobna. Ja wybrałem i nie żałuję. Gorąco zachęcam do stosowania tego typu rozwiązania, ponieważ uchroni je nas od większości wyłudzeń, jakże częstych w dzisiejszych czasach.
Gdyby ktoś z Was był zainteresowany tym rozwiązaniem a niekoniecznie wiedział jak wdrożyć to zapraszam.
https://www.pogotowiepc.eu – przez formularz kontaktowy lub telefonicznie. Chętnie pomogę.
Mam nadzieję, że materiał okazał się przydatny.
Pozdrawiam!
Cześć :\>_
