On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:

>>> Poza tym wcale niekoniecznie jest to dobre czy bezpieczniejsze.
>>> klucz U2F nie zadziała ci w smartfonie, tzn może zadziała, ale
>> Działa. Może nie wypowiadaj sie, o rzeczach o których nie masz pojęcia.
>
> A jak Ci działa? kabelek OTG, klucz z micro-USB, USB-C

NFC

>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>> nie o OTP.
>
> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
> na komputerem?

Tak.

--
Marcin Mokrzycki

do góry

On Thu, 13 Jun 2024 15:00:02 +0200, Marcin Mokrzycki wrote:
> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>
>>>> Poza tym wcale niekoniecznie jest to dobre czy bezpieczniejsze.
>>>> klucz U2F nie zadziała ci w smartfonie, tzn może zadziała, ale
>>> Działa. Może nie wypowiadaj sie, o rzeczach o których nie masz pojęcia.
>>
>> A jak Ci działa? kabelek OTG, klucz z micro-USB, USB-C
>
> NFC

uuu, to faktycznie nie mam pojecia :-(

>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>> nie o OTP.
>>
>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>> na komputerem?
>
> Tak.

Absolutnie całkowicie pewny jesteś ?

J.

do góry

W dniu 2024-06-13 o 15:00, Marcin Mokrzycki pisze:
> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>
>>>> Poza tym wcale niekoniecznie jest to dobre czy bezpieczniejsze.
>>>> klucz U2F nie zadziała ci w smartfonie, tzn może zadziała, ale
>>> Działa. Może nie wypowiadaj sie, o rzeczach o których nie masz pojęcia.
>>
>> A jak Ci działa? kabelek OTG, klucz z micro-USB, USB-C
>
> NFC
>
>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>> nie o OTP.
>>
>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>> na komputerem?
>
> Tak.
>

Nigdy wcześniej nie słyszałem o U2F. Rzuciłem okiem co to takiego.
Ale znajduję głównie reklamy jakie to super i do jak wielu rzeczy się
nadaje. Ale jak dokładnie działa to pewnie trochę dokładniej i dłużej
trzeba by szukać.

Możesz w kilku słowach wyjaśnić.

Na przykład takie pytania:
1. Czy przy logowaniu z komputera do jakiegoś banku Twój Login i Hasło
jest pobierany z tego klucza, czy wklepujesz je z klawiatury?

Przed każdym logowaniem do banku sprawdzam 'pod kłódeczką' czy
certyfikat jest wystawiony dla strony, która mi pasuje pod nazwę banku.
Zdaję sobie sprawę, że ktoś mógłby np mieć stronę rnbank, co (przy
odpowiedniej czcionce) mógłbym pomylić z mbank.
Jak mam zapamiętane kilka bajtów z 'Odcisku palca' to też sprawdzam.
Wiele lat temu zdarzyło mi się pisać do mBanku, że zmienili certyfikat,
a na stronie na której o tym piszą mają dane ze starego i nie wiem, czy
mogę się logować, czy nie. Przeprosili i od razu poprawili.

2. Jeśli abstrakcyjnie założymy, że pamiętam cały Odcisk Palca i go
sprawdzam to czy U2F sprawdza coś więcej, czy może sprawdza zupełnie co
innego o czym nie mam pojęcia?

3. Certyfikaty mają okres ważności. Czy po wygaśnięciu musisz coś z U2F
robić, czy to się w nim jakoś samo uaktualnia?

Moje pytania chyba były głupie bo zakładały, że klucz coś sprawdza i
pozwala lub nie się zalogować a on przecież nie ma zielonego i
czerwonego LEDa. Więc..
To strona musi się dowiadywać, że się nie udało.

4. W jaki sposób klucz się uwierzytalnia przed stroną?

Trochę światła na to jak to działa pewne rzuciła by informacja:

5. Jak wygląda procedura dopisania danej strony do klucza (czy też
dopisania klucza do Twojego konta na danej stronie.
P.G.

do góry

Użytkownik "Marcin Mokrzycki" <m...@p...pl> napisał w wiadomości
news:17an9296ejb8i$.3ztyg4e050mg.dlg@40tude.net...
> On Wed, 12 Jun 2024 20:19:39 +0200, Arek wrote:
>
>> Zapewne większość moich zachowań byłaby "nietypowa"...
>
> Bez sensu. Nie chodzi o zachowanie zgodne z jakimś ogólnym wzorcem, tylko
> nakarmienie systemu danymi o tym jak Ty piszesz na klawiaturze, czy też
> posługujesz się myszką.

Zgadza się, tylko z czego ma się nauczyć jeżeli korzystam bardzo rzadko,
za to w różnych okolicznościch (przestrzeń i czas) co nie wpływa dobrze
na powtarzalność chociażby sposobów i szybkości wpisywania hasła, pinu
z SMS-a czy zaglądania do opcji interfejsu. Dodatkowo do niedawna obraz
ten rozwadniało posiadanie wielu kont - czasem po kolejnym logowaniu
schemat interfejsu był już inny (o czym czasami bank raczył poinformować
np. mailem bo na stronach informacja ta mogła mi umknąć).

Arek

do góry

Użytkownik "J.F" <j...@p...onet.pl> napisał w wiadomości
news:15p57owdebk02.z6yvuq1q6f5j.dlg@40tude.net...
> On Wed, 12 Jun 2024 20:19:39 +0200, Arek wrote:
>> Użytkownik "Marcin Mokrzycki" <m...@p...pl> napisał w wiadomości
>
>> Trochę OT ale... bonus 125,34zł za prąd wg rozporządzenia przysługuje
>> po spełnieniu jednego z warunków, m. in.
>> "potwierdzi poprawność swoich danych u dostawcy energii"
>> Czyli wcześniej ani dostawcy ani władzuchnie nie przeszkadzało, że
>> płaci kto inny niż korzysta?
>
> Wcześniej było chyba danych mniej, albo uprawnionych więcej.
>
>> No ale jeżeli spełni inny warunek
>> (zmniejszył zużycie) to ma bonus bez "potwierdzania" danych.
>> Tę informaję przypomniał mi dostawca e-mailem pisząc do mnie
>> imiennie (kiedyś pytałem przez formularz z podaniem danych).
>> Zapytałem więc, czy
>> - fakt, że zna mój e-mail i przy okazji wysłąnia informacji
>> powszechnie dostępnej (o bonusie) zamieścił dodatkowo swoje, jest
>> wynikiem zgody na otrzymywanie takowych drogą elektroniczną (inny
>> z wystarczających warunków bonusu)
>> - znał moje prawdziwe dane osobowe (nigdy nie zmieniane), co
>> niniejszym potwierdzam jest już spełnienim warunku ?
>
> Dane osobowe klienta znac musi.
> Na ile one są prawdziwe ... klient płaci, adres licznika się zgadza.
>
> Email zna, ale na ile jest to e-mail klienta, to nie wie :-)

Jeżeli nie jest pewny, dlaczego wysyła e-mail, niech wyśle papier.
Przy okazji zamieścił informacje nie wynikające z rozporządzenia
stąd pytanie czy na podstawie zgody. Co wyczerpywałoby warunek
bonusu.

>> Na oba pytania odpowiedź brzmiała NIE.
>
> Widac wysłanie wynika z rozkazu ministra :-)

Z tego rozporządzenia.
Czy "potwierdzenie poprawności danych" (działanie wymagane)
jest tożsame z posiadaniem przez ZE "poprawnych" danych
(stan stabilny)? Może dane się "przeterminowują" z definicji lub...
w wyniku rozporządzenia ministra.

> Wymóg przejscia na e-fakturę to pomysł rządu, czy ZE ?

Rządu - jeden z warunków wystarczających dla bonusu.
https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=
WDU20230001847
E-faktury niezależnie od tego są stręczone przez prawie wszystkich.

Kolejny OT:
Warunek 1. (oszczędzanie) wymagał comiesięcznych odczytów a te
są raz lub dwa na pół roku. Rozporządzenie jest prawem działającym
wstecz.
ZE: "pracujemy nad tym". Odczyt szacowany? Mogę pomóc...

Arek

do góry

Piotr Gałka <p...@c...pl> writes:

> W dniu 2024-06-13 o 15:00, Marcin Mokrzycki pisze:
>> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>>
>>>>> Poza tym wcale niekoniecznie jest to dobre czy bezpieczniejsze.
>>>>> klucz U2F nie zadziała ci w smartfonie, tzn może zadziała, ale
>>>> Działa. Może nie wypowiadaj sie, o rzeczach o których nie masz pojęcia.
>>>
>>> A jak Ci działa? kabelek OTG, klucz z micro-USB, USB-C
>> NFC
>>
>>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>>> nie o OTP.
>>>
>>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>>> na komputerem?
>> Tak.
>>
>
> Nigdy wcześniej nie słyszałem o U2F. Rzuciłem okiem co to takiego.
> Ale znajduję głównie reklamy jakie to super i do jak wielu rzeczy się
> nadaje. Ale jak dokładnie działa to pewnie trochę dokładniej i dłużej
> trzeba by szukać.
>
> Możesz w kilku słowach wyjaśnić.
>
> Na przykład takie pytania:
> 1. Czy przy logowaniu z komputera do jakiegoś banku Twój Login i Hasło
> jest pobierany z tego klucza, czy wklepujesz je z klawiatury?

Nie.

Nie wdając się w szczegóły.
Klucz sprzętowy posiada pewien klucz prywatny.

W momencie "rejestracji" klucza, u usługdawcy jest zapamiętywany pewien
klucz publiczny.
W czasie logowania usługodawca przeysła przeglądarce "coś" i każe zaszyfrować
prywatnym
Przeglądarka każe kluczowi zaszyfrować i to co dostanie odsyła do
usługodawcy.
Gdy usługodawca jest w stanie to rozszyfrować (za pomocą publicznego)
- to wie że jesteś w posiadaniu klucza.

>
> 3. Certyfikaty mają okres ważności. Czy po wygaśnięciu musisz coś z
> U2F robić, czy to się w nim jakoś samo uaktualnia?

Same w sobie nie. Acz jestem sobie w staie wyobrazić, ze usługodawca
będize chciał okresowo klucz odnowić (choć nie wiem po co)


> 5. Jak wygląda procedura dopisania danej strony do klucza (czy też
> dopisania klucza do Twojego konta na danej stronie.

Zależy od usługodawcy.

> P.G.
>

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

On Fri, 14 Jun 2024 09:48:31 +0200, Kamil Jońca wrote:
> Piotr Gałka <p...@c...pl> writes:
>> W dniu 2024-06-13 o 15:00, Marcin Mokrzycki pisze:
>>> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>>>
>>>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>>>> nie o OTP.
>>>>
>>>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>>>> na komputerem?
>>> Tak.
>>>
>>
>> Nigdy wcześniej nie słyszałem o U2F. Rzuciłem okiem co to takiego.
>> Ale znajduję głównie reklamy jakie to super i do jak wielu rzeczy się
>> nadaje. Ale jak dokładnie działa to pewnie trochę dokładniej i dłużej
>> trzeba by szukać.
>>
>> Możesz w kilku słowach wyjaśnić.
>>
>> Na przykład takie pytania:
>> 1. Czy przy logowaniu z komputera do jakiegoś banku Twój Login i Hasło
>> jest pobierany z tego klucza, czy wklepujesz je z klawiatury?
>
> Nie.
>
> Nie wdając się w szczegóły.
> Klucz sprzętowy posiada pewien klucz prywatny.
>
> W momencie "rejestracji" klucza, u usługdawcy jest zapamiętywany pewien
> klucz publiczny.
> W czasie logowania usługodawca przeysła przeglądarce "coś" i każe zaszyfrować
> prywatnym
> Przeglądarka każe kluczowi zaszyfrować i to co dostanie odsyła do
> usługodawcy.
> Gdy usługodawca jest w stanie to rozszyfrować (za pomocą publicznego)
> - to wie że jesteś w posiadaniu klucza.

A jakie jest zabezpieczenie, zeby zhackowana przeglądarka, albo
fałszywa strona, nie przesłały do klucza tego czegos, oddebrało
odpowiedz, przesłało do usługodawcy ... a pokazało na ekranie zupelnie
cos innego ?

J.

do góry

"J.F" <j...@p...onet.pl> writes:

>
> A jakie jest zabezpieczenie, zeby zhackowana przeglądarka, albo
> fałszywa strona, nie przesłały do klucza tego czegos, oddebrało
> odpowiedz, przesłało do usługodawcy ... a pokazało na ekranie zupelnie
> cos innego ?

1. na "zhackowana" (= taka która nie obsługuje protokołu) przeglądarkę
to niewiele pomoże.
2. przeglądarka "wie" że jest na stronie X a ma zwalidowć kluczem stronę Y - i
wtedy powinna zapluć.

KJ
--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

On Thu, 13 Jun 2024 18:36:03 +0200, Arek wrote:

> Zgadza się, tylko z czego ma się nauczyć jeżeli korzystam bardzo rzadko,
> za to w różnych okolicznościch (przestrzeń i czas) co nie wpływa dobrze
> na powtarzalność chociażby sposobów i szybkości wpisywania hasła, pinu
> z SMS-a czy zaglądania do opcji interfejsu. Dodatkowo do niedawna obraz
> ten rozwadniało posiadanie wielu kont - czasem po kolejnym logowaniu
> schemat interfejsu był już inny (o czym czasami bank raczył poinformować
> np. mailem bo na stronach informacja ta mogła mi umknąć).

To problem banku/twórcy rozwiązania, nie Twój, jak to rozwiązuje.

--
Marcin Mokrzycki

do góry

W dniu 2024-06-14 o 09:48, Kamil Jońca pisze:
> Nie wdając się w szczegóły.
> Klucz sprzętowy posiada pewien klucz prywatny.
>
> W momencie "rejestracji" klucza, u usługdawcy jest zapamiętywany pewien
> klucz publiczny.
> W czasie logowania usługodawca przeysła przeglądarce "coś" i każe zaszyfrować
> prywatnym
> Przeglądarka każe kluczowi zaszyfrować i to co dostanie odsyła do
> usługodawcy.
> Gdy usługodawca jest w stanie to rozszyfrować (za pomocą publicznego)
> - to wie że jesteś w posiadaniu klucza.
>

Mniej więcej jasne.
Przy kryptografii asymetrycznej zawsze muszę od nowa się zastanawiać co
ma sens, a co nie. Dlatego (dla samego siebie) przyjąłem, że zawsze
używam odpowiedniego określenia:
- kluczem prywatnym się tylko podpisuje dane (bo szyfrowanie nie ma sensu),
- kluczem publicznym się szyfruje dane (bo podpisywanie nie ma sensu).

W każdym razie mi jest łatwiej jak się tego trzymam :)
P.G.

do góry