YubiKey a banki

[Borneq]

Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.

[Alf/red/]

W dniu 20.05.2018 o 18:25, Borneq pisze:

> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.

Nie słyszałem. A raczej bym usłyszał ;)
W zabezpieczeniach logowania do banków to hasło maskowalne wydaje się
unikatem. Tokenów się banki wyzbyły na rzecz haseł w sms/aplikacjach.

Ogólnie Yubi (i inne klucze) to na razie zabawka dla bogatych :\

--
Alf/red/

[Borneq]

W dniu 20.05.2018 o 20:02, Alf/red/ pisze:

A Yubikey z niepewnego źródła, to znaczy Allegro a nie Amazonu mogą być
jakieś felerne, podrobione?

[Borneq]

W dniu 20.05.2018 o 20:02, Alf/red/ pisze:

Yubikeye trzeba mieć minimum dwa? Bo jak jeden zginie to nie będzie
żadnego sposobu by dostać się do konta.

[Alf/red/]

W dniu 22.05.2018 o 20:37, Borneq pisze:

> Yubikeye trzeba mieć minimum dwa? Bo jak jeden zginie to nie będzie
> żadnego sposobu by dostać się do konta.

Bardzo celna uwaga.
A czy mogą być podrobione? Teoretycznie tak. Jak wszystko, co się wtyka
w USB - nawet mysza może rozsiewać szpiegów. Yubico zaręcza, że nie mogą
być podrobione - no a co ma mówić.. Jednakowoż strona web może ponoć
sięgnąć bezpośrednio do klucza po hasło
https://www.wired.com/story/chrome-yubikey-phishing-webusb/

--
Alf/red/

[Sebastian Biały]

On 5/20/2018 6:25 PM, Borneq wrote:
> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.

Mozna, ale po co:

https://www.emsec.rub.de/media/crypto/veroeffentlichungen/2014/02/04/paper_yubikey_sca.pdf

Więc to kwestia jaki masz poziom schizfrenii.

[Borneq]

W dniu 23.05.2018 o 21:53, Sebastian Biały pisze:
> https://www.emsec.rub.de/media/crypto/veroeffentlichungen/2014/02/04/paper_yubikey_sca.pdf

To znaczy że są niebezpieczne, dla Gmaila tak samo?
Alior ma teraz swój własny klucz, tańszy od Yubikey, gdzie zastosowano
rozwiązania podobne do blockchaina,
Tyle tylko że to Alior a mi chodzi o MBank.

[Sebastian Biały]

On 5/24/2018 4:25 AM, Borneq wrote:
> To znaczy że są niebezpieczne, dla Gmaila tak samo?

To znaczy że za kilka dolarów można wyjąć z niego część informacji ale
wiedza wykorzystana do tego jest znacząca więc nie zrobi tego byle Seba
na codzień kradnący pasaty. Wiec poziom strachu zależy od schizofrenii
własciciela breloczka.

> Alior ma teraz swój własny klucz, tańszy od Yubikey, gdzie zastosowano
> rozwiązania podobne do blockchaina,
> Tyle tylko że to Alior a mi chodzi o MBank.

Do czasu aż nie będzie to projekt open source i open hardware wszelakie
rozwiązania tego typu są podejrzane i nie da się udowodnić że są
bezpieczne poza machaniem rekami przez bank i głęboką wiarą w
profesjonalizm bankowców.

[Alf/red/]

W dniu 23.05.2018 o 21:53, Sebastian Biały pisze:

> On 5/20/2018 6:25 PM, Borneq wrote:
>> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.
>
> Mozna

No ale jak można, jak nie można?

--
Alf/red/

[Sebastian Biały]

On 5/24/2018 7:18 PM, Alf/red/ wrote:
>>> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.
>> Mozna
> No ale jak można, jak nie można?

Jak je wydadzą to można z uwagą na to że kryptografią zajmują się
ostatnio dyletanci których pełno po korporacjach. Więc mnie nie
interesuje czy mozna w mbanku tylko czy mozna w bankowości. Można.

[Alf/red/]

W dniu 24.05.2018 o 19:25, Sebastian Biały pisze:

> Więc mnie nie interesuje czy mozna w mbanku tylko czy mozna w
> bankowości. Można.

A jakiś przykład?

--
Alf/red/

[Sebastian Biały]

On 5/24/2018 9:35 PM, Alf/red/ wrote:
>> Więc mnie nie interesuje czy mozna w mbanku tylko czy mozna w
>> bankowości. Można.
> A jakiś przykład?

Całkiem sporo ich znajdziesz tutaj:

https://twofactorauth.org/#banking

[Alf/red/]

W dniu 25.05.2018 o 20:48, Sebastian Biały pisze:

> Całkiem sporo ich znajdziesz tutaj:

No, całkiem "sporo" jak na cały świat. 26 pozycji w kolumnie "hardware
token". Sporo?
Ale tabelka opisuje używanie wszystkie możliwe 2FA, a nie YubiKey.
Ale weźmy jakieś banki, które tabelka wymienia jako używające hardware
token.

Najbliżej Polski jest Raiffeisen CZ, z opisu wynika że ich 2FA jest
realizowane na SMS oraz na "osobní elektronický klíč" firm ActivCard
albo Vasco.
Niestety Raiffeisen PL nie obsługuje żadnego 2FA.

Nordea (SE) - na ich stronach nie widzę hardware, widzę kod z aplikacji
mobilnej. Nordea PL nie obsługuje 2FA.

ING (LU) - na ich stronie (en) nie widzę ani słowa, nawet w faq/tips.
ING PL nie obsługuje żadnego 2FA.

HSBC (UK) - kod z aplikacji mobilnej, albo "physical Secure Key" który
wygląda na zwykły token. Sorry, tokenów to ja używałem w Lucasie 20 lat
temu. HCBC PL? Tak, żadnych 2FA.

To jaki bank obsługuje YubiKey?

--
Alf/red/

[mateusz...@gmail.com]

ING się zainteresowało w wariancie U2F, źródło: https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/U2F-Universal-2nd-Factor-Authentication/td-p/6743/page/3

Zapominacie że tu jest kilka oddzielnych spraw:
U2F (jako drugi factor)
Webauthn/passwordless (logowanie bez hasła, tokenem)
Yubikey to jeden z produktów wspierających FIDO/FIDO2

[Stiwi]

On Sunday, May 20, 2018 at 8:25:41 PM UTC+4, Borneq wrote:
> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.

Nie. Poza tym nie spotkałem się aby jakikolwiek bank obsługiwał Yubikey, nie tylko w Polsce. Niektóre instytucje finansowe tak np: Skrill.

Poza tym należy rozróżnić dwa rodzaje kompatybilności Yuibkey: TOTP (czyli to samo co powszechnie dostępne aplikacje jak Authy czy Google Authenticator: czasowy 30 sekundowy kod) i U2F, który wymaga fizycznego urządzenia. Banki generalnie nie ufają TOTP, natomiast U2F i Yubikey to jak ktoś pisał dość droga zabawka. Poza tym z U2F pojawia się problem kompatybilności z urządzeniami, przeglądarkami, czy systemami.

[Stiwi]

On Tuesday, May 22, 2018 at 10:37:49 PM UTC+4, Borneq wrote:
> Yubikeye trzeba mieć minimum dwa? Bo jak jeden zginie to nie będzie
> żadnego sposobu by dostać się do konta.

Generalnie tak. To zależy od polityki przyjętej przez dany produkt. W niektórych przypadkach Yubikey stosowany jest tylko o wyłącznie do autoryzacji nowego urządzenia, nie uczestniczy on w codziennym dostępie to konta. Oznacza to że po autoryzacji danego urządzenia/przeglądarki nie zostaniemy ponownie poproszeni o jego użycie i login/hasło jest tu nadrzędne. Podobnie również w przypadku zgubienia, jest możliwość czasem wyłączenia 2FA na koncie po uprzedniej weryfikacji z daną instytucją.

Sposób działania Yubikey jest bardzo fajny nawet dla TOTP w połączeniu z Yubico Authenticator. Wygląda mi to na dużo bezpieczniejszą opcje niż popularny Authy czy inne tego typu aplikacje, dlatego że do wygenerowania TOTP potrzebna jest fizyczna autoryzacja Yubikey. Za pomocą aplikacji Yubico Authenticator łączymy dany Yubikey ze stronami obsługującymi 2FA. W aplikacji nie widzimy nic dopóki nie zbliżymy (NFC) lub fizycznie nie włożymy Yubikey, dopiero wtedy pokaże nam się lista autoryzowanych stron i jednorazowych kodów.

Poza tym jeśli zapiszemy lub wydrukujemy QR code, to możemy podłączyć każdy kolejny Yubikey pod ten zgubiony.

[Piotr Gnus]

Artykuł który zamieściłeś dotyczy Yubikeyów z serii 2 (które już od dawna nie są sprzedawane, w 2018 roku, gdy zamieszczałeś ten link, też już w sprzedaży nie były) i jednej funkcji, którą oferują: generowania jednorazowych haseł. W dzisiejszych Yubikeyach zawartych jest znacznie więcej mechanizmów, które bank może wykorzystać, w tym FIDO2 oraz U2F, których użycie nie niesie ze sobą żadnych z problemów, które wymienili autorzy zamieszczonego przez Ciebie papieru.

Ze schizofrenią nie ma to też żadnego związku. Ataki typu sim swap są powszechne i znam osobiście kilka osób, które zostały nimi dotknięte. Potwierdzenia przez aplikację bankową też nie są wolne od phishingu, bo polegają na tym, że użytkownik z uwagą przeczyta w aplikacji czy na pewno potwierdza właściwą transakcję. W przypadku FIDO2 lub U2F jedynym zagrożeniem jest zainfekowany komputer, który podmienia informacje wyświetlane na ekranie Twojego komputera, a takie ataki są na tą chwilę bardzo rzadkie.

[Krzysztof Halasa]

Piotr Gnus <gbd...@gmail.com> writes:

>> https://www.emsec.rub.de/media/crypto/veroeffentlichungen/2014/02/04/paper_yubikey_sca.pdf

>
> Artykuł który zamieściłeś dotyczy Yubikeyów z serii 2 (które już od
> dawna nie są sprzedawane, w 2018 roku, gdy zamieszczałeś ten link, też
> już w sprzedaży nie były) i jednej funkcji, którą oferują: generowania
> jednorazowych haseł.

Przede wszystkim to dotyczy kwestii zupełnie nieistotnych z punktu
widzenia naszego użytkownika - sytuacji z czasowym fizycznym przejęciem
klucza. Dla każdego powinno być jasne, że jeśli atakujący ma fizyczny
dostęp do klucza (telefonu, komputera itd) to dane urządzenie może być
"skompromitowane", to tylko kwestia czasu i środków.
Dodatkowo, bez żadnego specjalnego czasu i środków, dostęp do klucza
umożliwia po prostu użycie go w tym czasie (klucze bez PINpada itp.)
- to tak samo jak ze zwykłym kluczem do domu albo innego sejfu.
--
Krzysztof Hałasa