Włamania na konta internetowe stają się coraz częstsze i bardziej zaawansowane, dlatego musimy podejmować wszelkie możliwe środki ostrożności, aby zabezpieczyć nasze dane. Opowiem wam o tym, jak można się chronić przed włamaniami na konta internetowe z użyciem najlepszego moim zdaniem zabezpieczenia: klucza YubiKey.
Piszę to nie bez powodu. Sam kiedyś byłem ofiarą poważnego włamania i stałem się mądry po szkodzie. Zrobiłem wszystko, aby już nigdy więcej nie doszło do takiego zdarzenia. Tą wiedzą chcę podzielić się z wami, abyście nie musieli przeżywać tego, co ja. Drugim powodem jest to, że dziś, kiedy publikuję ten wpis, mamy 7 lutego, a właśnie w ten dzień przypada Dzień Bezpiecznego Internetu.
Kluczy YubiKey używam pół roku, więc mogę już sporo na ich temat opowiedzieć.
Co to jest YubiKey i dlaczego warto go używać?
YubiKey to mały i poręczny klucz służący do uwierzytelniania w internecie. Posiada wtyczkę USB i wygląda jak zwyczajny pendrive. Różnica polega na tym, że klucz nie ma w sobie pamięci i nie przechowuje żadnych plików, dzięki czemu nie jest podatny na szkodliwe oprogramowanie.
Jak działa YubiKey?
YubiKey działa tak, że aby uzyskać dostęp do swojego konta, trzeba wprowadzić zarówno hasło, jak i fizycznie włożyć klucz do komputera, a następnie przyłożyć do niego swój palec. W ten sposób nawet jeśli ktoś uzyska dostęp do twojego hasła, nie będzie w stanie uzyskać dostępu do twoich danych, ponieważ brakuje mu przypisanego klucza. To obecnie najbardziej skuteczna metoda ochrony przed nieautoryzowanym logowaniem.
YubiKey recenzja. Testy i opinie po pół roku używania
YubiKey jest niezwykle łatwy w obsłudze. Wystarczy włożyć go do portu USB komputera i gotowe. Można go również podłączyć do smartfona za pomocą gniazda USB-C, adaptera lub można go zbliżyć do urządzenia dzięki NFC. Nie trzeba nic instalować. Po podłączeniu YubiKey jest automatycznie rozpoznawany przez system i można go używać do logowania się na swoje konta online, takie jak skrzynki pocztowe czy chociażby bardzo podatne na ataki serwisy społecznościowe.
Wspomniałem o rozpoznawaniu klucza przez system. Zaletą YubiKey jest to, że jest obsługiwany przez większość popularnych systemów. U mnie dobrze się sprawdza na Windowsie oraz Androidzie (zarówno na smartfonie, jak i tablecie). Wiem też, że sprzęt Apple także świetnie sobie z takim kluczem radzi. Aha – i Linux też. Jeśli używasz któregokolwiek z wymienionych tutaj systemów, możesz być pewny, że zabezpieczenie zadziała prawidłowo.
Co to jest U2F? Jaka jest różnica między F2A a U2F?
U2F to skrót od Universal Second Factor, czyli po przełożeniu na polski: uniwersalny drugi czynnik uwierzytelniania. To bezpieczny standard uwierzytelniania dwuskładnikowego, który polega na użyciu urządzenia fizycznego, takiego jak klucz USB, w połączeniu z hasłem. Takim zabezpieczeniem jest właśnie klucz YubiKey.
Różnica między U2F a 2FA (dwuskładnikowym uwierzytelnianiem) polega na tym, że w 2FA wymagane jest podanie dwóch różnych informacji, np. hasła i kodu SMS, podczas gdy w U2F wymagane jest podanie hasła i fizycznego urządzenia, takiego jak klucz YubiKey lub innego. W ten sposób U2F zapewnia wyższy poziom bezpieczeństwa niż 2FA.
Brzmi jak technologiczny bełkot nawiedzonego geeka? Postaram się wyjaśnić w bardziej przystępny sposób 🙂
- Logujesz się na Facebooka. Wpisujesz login, hasło i od razu zostajesz zalogowany. To oznacza, że nie masz żadnego mocnego zabezpieczenia i łatwo można się włamać.
- Logujesz się na Facebooka. Wpisujesz login, hasło, następnie Facebook prosi cię o potwierdzenie z innego zalogowanego urządzenia, że to ty. Ewentualnie wysyła na twój numer SMSa, którego kod musisz wpisać w formularzu logowania. Bez kodu SMS nie przejdziesz dalej. To jest zabezpieczenie zwane 2FA, czyli dwuskładnikowe uwierzytelnienie. Dwuskładnikowe, ponieważ pierwszym składnikiem jest login/pasło, a drugim kod z SMSa lub potwierdzenie z innego urządzenia
- Logujesz się na Facebooka. Wpisujesz login i hasło. Pojawia się komunikat, abyś włożył do urządzenia klucz USB, którego posiadasz wyłącznie ty i nikt inny nie ma możliwości przejść przez ten krok. To jest właśnie U2F, czyli drugi czynnik uwierzytelniania. To najbardziej polecana metoda, z której wciąż niestety korzysta niewielu użytkowników, ponieważ wiąże się ona z jednorazowym kosztem zakupu klucza.
Gdzie można użyć klucza YubiKey?
YubiKey jest kompatybilny z wieloma popularnymi (choć nie wszystkimi) serwisami i aplikacjami, w tym Google, Dropbox, Facebook, etc. Mnie ten klucz sprawdza się na kilku kontach Google (w tym Gmail, Dokumenty Google, Youtube), Facebook, ProtonMail, OneDrive, Twitterze, a nawet do logowania się do konta na Wirtualnej Polsce (a dokładnie przez usługę 1Login WP). To ważne dla mnie serwisy, dlatego poczucie bezpieczeństwa stanowi istotną rolę. Nie rozumiem tylko, dlaczego nie można w ten sposób zabezpieczyć Instagrama, skoro ta sama firma (Meta) umożliwia zabezpieczenie w ten sposób Facebooka.
Firma Yubico – producent tych kluczy, obsługuje w sumie na tę chwilę ponad 300 dużych usług internetowych. Nie ma sensu wymieniać ich wszystkich, bo stale aktualizowana lista znajduje się na stronie producenta. Wspomnę tylko, że kluczem tym można zabezpieczyć dużo giełd kryptowalutowych, serwisy hostingowe, CRMy, konta gamingowe, serwery chmurowe, usługi pocztowe, a także całe managery haseł 1Password czy Bitwarden.
Tak wygląda zabezpieczenie logowania na poczcie o2.pl. Po wpisaniu loginu i hasła nie przejdziesz dalej, dopóki nie włożysz klucza fizycznego do portu USB…
… następnie musisz dotknąć palcem czujnika w kluczu, aby potwierdzić, że jesteś człowiekiem, a nie botem.
Czy są jakieś serwisy, w których brakuje zabezpieczeń kluczem USB?
Są. Najbardziej dokuczliwym brakiem zabezpieczeń U2F są strony polskich banków. Żaden bank urzędujący w Polsce nie obsługuje kluczy fizycznych, co uważam za duże niedopatrzenie. Brakuje mi też zabezpieczenia na PayPal oraz wszędzie tam, gdzie użytkownik zostawia dane swojej karty płatniczej, np. Netflix, czy inne wszelkiego rodzaju serwisy oparte na usłudze abonamentowej.
Ucieszyłbym się też, gdyby takie firmy jak: CyberFolks, Allegro, LinkedIn rozważyły w przyszłości możliwość użycia w ich serwisie klucza YubiKey lub dowolnego innego. Bardzo byłbym także rad, gdyby logowanie do stron na WordPressie umożliwiały zastosowanie takich zabezpieczeń.
Jak zabezpieczyć konto Facebook kluczem YubiKey?
Codziennie się czyta o tym, jak ktoś stracił konto Facebook, lub włamywacz publikował niechciane treści, korzystając z jego profilu. Kto nie dostał choć raz na Messengerze prośby o kasę przez BLIKa, niech pierwszy rzuci budyniem 😀 Takie osoby padają najczęściej ofiarą phishingu przez klikanie w nieznane linki lub próby logowania się na fałszywych stronach do złudzenia przypominających Facebooka.
Ofiarami padają osoby, które konto FB mają zabezpieczone zwykłym loginem i hasłem, a takie jak już wiemy, łatwo można ukraść. Warto więc włączyć w ustawieniach Facebooka chociażby podwójne (tzw. dwuskładnikowe) uwierzytelnianie. Działa to tak, że kiedy Facebook rozpozna, że ktoś się loguje po raz pierwszy z nierozpoznanego urządzenia, wtedy zapyta go o dodatkowe zabezpieczenie.
Można zabezpieczyć konto Facebook, włączając uwierzytelnianie SMS. Wtedy przy nowej próbie logowania Facebook będzie cię pytał o kod, który wysłał SMSem na twój numer. Ta metoda zabezpieczenia jest dobra, ale nie idealna. Ktoś przecież może mieć również dostęp do twojego telefonu bez twojej wiedzy lub potrafi wykorzystać spryt, w jaki sposób taki kod zdobyć. Wychodzi na to, że idealną metodą zabezpieczenia Facebooka jest użycie klucza USB.
Aby zabezpieczyć swoje konto Facebook za pomocą klucza YubiKey, należy wykonać kilka prostych kroków:
- Upewnij się, że masz klucz YubiKey i jest on podłączony do swojego komputera lub smartfona.
- Zaloguj się na swoje konto Facebook i przejdź do sekcji “Ustawienia” i następnie “Bezpieczeństwo i logowanie”.
- W sekcji “Uwierzytelnianie dwuskładnikowe” wybierz opcję “Dodaj nowy klucz”.
- Wybierz “YubiKey” jako rodzaj klucza i postępuj zgodnie z instrukcjami, aby dokończyć proces dodawania klucza.
- Po dodaniu klucza YubiKey będzie on automatycznie wykorzystywany do uwierzytelniania swojego konta Facebook, zarówno przy logowaniu, jak i przy innych ważnych operacjach na koncie.
Pamiętaj, że klucz YubiKey jest bardzo ważnym elementem bezpieczeństwa swojego konta Facebook. Dlatego też ważne jest, aby zawsze mieć go przy sobie i chronić przed jego utratą.
W razie jakichkolwiek problemów z dodaniem klucza YubiKey lub jego użyciem możesz skontaktować się z pomocą techniczną Facebooka. Zespół pomocy technicznej pomoże ci rozwiązać wszelkie problemy i zabezpieczyć swoje konto. Warto jednak mieć na uwadze, że pomoc Facebooka może zareagować ze sporym opóźnieniem. Tam pracuje ograniczona liczba ludzi i nie zawsze są w stanie pomóc od razu tak dużej liczbie użytkowników.
Aby wejść do ustawień, gdzie włączysz uwierzytelnianie, skorzystaj z tego linku na skróty: https://www.facebook.com/security/2fac/settings/
A co, jeśli zgubię klucz lub mi się popsuje?
Klucze YubiKey są bardzo trwałe i wytrzymałe. Można je nosić w portfelu lub przypiąć je go breloka z kluczami od mieszkania, a ich kompaktowy rozmiar i lekkość sprawiają, że są łatwe do przenoszenia. Są również bardzo bezpieczne, ponieważ szyfrują dane na swoich chipach, co zapobiega ich przechwyceniu i nieautoryzowanemu użyciu. Konstrukcja klucza jest jednobryłowa. To oznacza, że nic nie ma prawa odpaść lub się poluzować. Klucz jest twardy, wykonany z solidnego plastiku, więc jego złamanie może być pewnym wyzwaniem, ale jeśli ktoś się bardzo postara i użyje ciężkich narzędzi, to pewnie da radę go uszkodzić. Podobno plastik, z którego klucz jest wykonany, jest niepalny.
Kiedy zgubisz YubiKey – nie martw się. Z racji tego, że klucz ten nie zawiera żadnej pamięci, ktoś, kto go znajdzie, nie będzie miał dostępu do żadnych danych. Dla obcej osoby będzie to bezużyteczny elektrośmieć, bo żeby mieć z niego pożytek, trzeba jeszcze mieć twoje dane logowania oraz wiedzę, do jakich stron się logujesz. Takich informacji nie ma w kluczu. Nie musisz więc się martwić zgubieniem go. No, chyba że nie masz możliwości jak się teraz zalogować. Dlatego zawsze warto mieć drugi zapasowy klucz i trzymać go w bezpiecznym miejscu, w razie jak by się ten pierwszy stracił. Z tego powodu zachęcam do zakupu od razu dwóch kluczy i skonfigurowania obydwu. Następnie jeden schować głęboko w szufladzie, a drugi nosić przy sobie.
Jak NIE kupować kluczy zabezpieczających?
Aby mieć pewność, że klucz, którego używasz, jest w pełni bezpieczny, należy kupić go z zaufanych i znanych sklepów. Unikaj używanych lub wystawionych na szemranych aukcjach czy z super okazjonalnych ogłoszeń. Jedynie kupując z wiarygodnego źródła masz pewność, że twoje konta internetowe zostaną prawidłowo zabezpieczone. Te z pozoru okazjonalnie wystawione klucze od nieznanych osób lepiej sobie odpuścić. Nigdy nie wiadomo, jakie są intencje sprzedającego, czy to nie są podróbki, lub, co gorsza, mają wewnątrz ukryte oprogramowanie wykradające dane.
Podsumowanie. Czy warto kupić klucz YubiKey?
Klub zabezpieczający YubiKey to doskonały sposób na zabezpieczenie swoich kont internetowych przed nieautoryzowanym dostępem. Jego dodanie i użycie jest proste, a jego wytrzymałość i bezpieczeństwo zapewnią ci błogi spokój i pewność, że twoje dane i informacje są bezpieczne.
Jeśli zastanawiasz się, czy wydanie paru stówek na takie zabezpieczenie ma sens, pomyśl, ile możesz stracić, nie myśląc racjonalnie o należytym zabezpieczeniu. Może się zdarzyć, że straty związane z włamaniem na konto będą niewspółmiernie większe, niż jednorazowy wydatek na klucz zabezpieczający. Zdecydowaniem polecam zakup klucza YubiKey, a najlepiej dwóch, bo dobrze jest mieć jeden zapasowy.
Czy do każdego konta, na które się loguję, muszę kupić osobny klucz? I czy jak założę klucz do konta, używając laptopa, zabezpieczenie będzie działać też przy logowaniu w telefonie?
Ciekawe rozwiązanie, przydatne. Co, jeśli jesteś poza domem i nie masz ze sobą klucza?
@Dzikus: Nie musisz mieć osobnych kluczy. Jednym kluczem możesz się logować do nieskoczończonej liczby serwisów. Jeśli ustawisz klucz do swojego konta na laptopie, ustawienia zostają zapisane po stronie serwisu/usługi, a nie urządzenia. Więc jeśli będziesz później chciał zalogować się z innego urządzenia, np. smartfona lub innego laptopa lub komputera, wtedy serwis www rozpozna nową próbę logowania i poprosi Cię o użycie klucza, aby Cię uwierzytelnić.
@Patryk: Jeśli cały czas korzystasz z serwisu, na którym jesteś zalogowany, nie ma potrzeby noszenia klucza. No chyba, że jesteś wylogowany i chcesz się zalogować. Wtedy bez klucza tego nie zrobisz. Na tym polega dobre zabezpieczenie, którego nie da się ominąć. Zatem warto mimo wszystko nosić klucz ze sobą, np. w portfelu.
ING daje możliwość logowania się przed klucz, i kilka innych banków jest w trakcie wdrażania
Też mnie ucieszył fakt, że ING jednak po tak długim oczekiwaniu, wdrożył obsługę kluczy. Pierwszy krok najważniejszy dokonany. Teraz czas na kolejne banki.
Reklama tego sprzętu jest naprawdę fenomenem. Niestety to tylko reklama bo rzeczywistość jest inna. Mam tego typu sprzęt i powiem tyle, że w Polsce jest mało użyteczny. Pocztę można zabezpieczyć ale tylko przez przeglądarkę www (czyli Outlooka czy Thunderbirda nie zabezpieczysz) i tylko Microsoftu, Google oraz kilka innych ale płatnych! Nie dajcie się oszukać, Yubi działa z wieloma serwisami ale głównie płatnymi i mało używanymi w Polsce. Testowałem i wiem co mówię. Sprawdźcie na stronie YubiKey co dokładnie mogą zabezpieczyć.
Dlaczego próbujesz zasugerować, że YubiKey to oszustwo? Jest wiele serwisów, które można kluczem zabezpieczyć, więc nie rozumiem, dlaczego próbujesz wprowadzać ludzi w błąd. Zajrzyj sobie na stronę producenta, i przekonaj się, ile serwisów można zabezpieczyć, zanim następnym razem znowu będziesz chciał pisać nieprawdę. W którym momencie sobie nie poradziłeś z YubiKey?