Zostaliśmy wyposażeni w klucze YubiKey w ramach “Secure it Forward”

Dzięki temu nikt niepowołany nie zaloguje się do kont w serwisach naszej fundacji – przy użyciu kluczy jest to fizycznie niemożliwe. Nawet jeśli ktoś pozna login i hasło, musi jeszcze umieścić klucz w porcie urządzenia, nacisnąć go i wpisać PIN. To obecnie najmocniejsza metoda kontroli dostępu na świecie. Klucz trzeba mieć fizycznie przy sobie, co sprawia, że sesja autoryzacji jest nie do przejęcia.

Rozdysponujemy je naszemu zespołowi i wolontariuszom, aby nasze systemy były jak najbezpieczniejsze.

 

Zapraszamy wszystkie organizacje pozarządowe do kontaktu, jeśli również chcą uzyskać takie klucze – możliwe jest zawnioskowanie o większą liczbę. Nauczymy Was też, jak je konfigurować i jak z nich korzystać. Dziękujemy Yubico!

 

 

Ponad dekadę temu pracownicy Google byli masowo atakowani zaawansowanym phishingiem. Klasyczne kody SMS nie pomagały. W 2012 roku Google połączyło siły z firmą Yubico, aby stworzyć rozwiązanie całkowicie odporne na oszustwa internetowe. Po wdrożeniu pierwszych kluczy YubiKey wśród ponad 85 tysięcy pracowników Google, skuteczność przejęć kont z powodu phishingu spadła w tej firmie do zera.

 

 

Komputer nie widzi YubiKey jako dysku czy pendrive’a, ale jako urządzenie wskazujące USB HID (dokładnie tak samo jak zwykłą klawiaturę).

Dzięki temu system operacyjny nie potrzebuje żadnych specjalnych sterowników, aby klucz zadziałał.

Dawniej, w starszych trybach (Yubico OTP), dotknięcie blaszki powodowało, że klucz dosłownie “wpisywał” na ekranie długi, jednorazowy ciąg znaków z prędkością błyskawicy – udając, że robi to człowiek na klawiaturze.

 

 

– U2F (Universal 2nd Factor): To pierwszy standard stworzony przez Yubico i Google. Działał ściśle jako drugi składnik (hasło + kliknięcie klucza).

– FIDO Alliance: Aby standard nie należał tylko do jednej firmy, Yubico i Google przekazały go do FIDO Alliance – wielkiego konsorcjum, w skład którego wchodzą dziś m.in. Microsoft, Apple i Amazon.

– FIDO2 / WebAuthn: To najnowszy, obecny standard. Jest tak potężny, że pozwala na całkowite porzucenie tradycyjnych haseł (tzw. Passwordless). Logujesz się wpisując login, a jako jedyne potwierdzenie tożsamości służy wpięcie klucza i podanie jego kodu PIN.

 

Kiedy po raz pierwszy dodajesz YubiKey do swojego konta (np. na prawdziwej stronie facebook.com), dzieje się rzecz kluczowa:

Przeglądarka internetowa pobiera dokładny adres domeny (np. facebook.com) i przekazuje go do wpiętego klucza.

 

Klucz YubiKey tworzy w swoim wnętrzu unikalną parę kluczy kryptograficznych (klucz prywatny i publiczny) przypisaną tylko i wyłącznie do tej jednej domeny.

 

Klucz publiczny zostaje wysłany do Facebooka, a klucz prywatny (ten najważniejszy) nigdy, pod żadnym pozorem, nie opuszcza fizycznego wnętrza Twojego YubiKey.

 

 

1. Serwis wysyła do Twojej przeglądarki losowe zadanie matematyczne (tzw. challenge).

2. Twoja przeglądarka ponownie sprawdza adres na pasku i przesyła to zadanie do YubiKey, mówiąc: “Hej, domena facebook.com prosi o podpis”.

3. Dotykasz klucza, a on swoim tajnym, wewnętrznym kluczem (stworzonym specjalnie dla tej domeny) rozwiązuje zadanie i odsyła wynik. Serwer sprawdza podpis i Cię wpuszcza.

 

 

Wyobraź sobie, że haker wysyła Ci link do fałszywej strony, która wygląda identycznie jak Twój bank, ale w pasku adresu ma np. faceb00k-logowanie.pl.

1. Wpisujesz tam swój login i hasło (haker właśnie je przechwycił).

2. Fałszywa strona prosi o dotknięcie klucza bezpieczeństwa.

3. Klikasz YubiKey. W tym momencie dzieje się magia: Twoja przeglądarka (która nie daje się oszukać wyglądowi strony) przekazuje do klucza prawdziwy adres: faceb00k-logowanie.pl.

4. YubiKey sprawdza swoją pamięć i mówi: “Znam facebook.com, ale nie mam żadnych kluczy dla domeny faceb00k-logowanie.pl“.

5. Klucz odmawia wygenerowania poprawnego podpisu.

6. Atak hakera w tym samym momencie całkowicie się załamuje – mimo że ma Twoje hasło, nie jest w stanie dokończyć logowania.