W dniu 24.05.2018 o 19:25, Sebastian Biały pisze:
> Więc mnie nie interesuje czy mozna w mbanku tylko czy mozna w
> bankowości. Można.

A jakiś przykład?

--
Alf/red/

do góry

On 5/24/2018 9:35 PM, Alf/red/ wrote:
>> Więc mnie nie interesuje czy mozna w mbanku tylko czy mozna w
>> bankowości. Można.
> A jakiś przykład?

Całkiem sporo ich znajdziesz tutaj:

https://twofactorauth.org/#banking

do góry

W dniu 25.05.2018 o 20:48, Sebastian Biały pisze:
> Całkiem sporo ich znajdziesz tutaj:

No, całkiem "sporo" jak na cały świat. 26 pozycji w kolumnie "hardware
token". Sporo?
Ale tabelka opisuje używanie wszystkie możliwe 2FA, a nie YubiKey.
Ale weźmy jakieś banki, które tabelka wymienia jako używające hardware
token.

Najbliżej Polski jest Raiffeisen CZ, z opisu wynika że ich 2FA jest
realizowane na SMS oraz na "osobní elektronický klíč" firm ActivCard
albo Vasco.
Niestety Raiffeisen PL nie obsługuje żadnego 2FA.

Nordea (SE) - na ich stronach nie widzę hardware, widzę kod z aplikacji
mobilnej. Nordea PL nie obsługuje 2FA.

ING (LU) - na ich stronie (en) nie widzę ani słowa, nawet w faq/tips.
ING PL nie obsługuje żadnego 2FA.

HSBC (UK) - kod z aplikacji mobilnej, albo "physical Secure Key" który
wygląda na zwykły token. Sorry, tokenów to ja używałem w Lucasie 20 lat
temu. HCBC PL? Tak, żadnych 2FA.

To jaki bank obsługuje YubiKey?

--
Alf/red/

do góry

W dniu sobota, 26 maja 2018 09:17:25 UTC+2 użytkownik Alf/red/ napisał:
> W dniu 25.05.2018 o 20:48, Sebastian Biały pisze:
> > Całkiem sporo ich znajdziesz tutaj:
>
> No, całkiem "sporo" jak na cały świat. 26 pozycji w kolumnie "hardware
> token". Sporo?
> Ale tabelka opisuje używanie wszystkie możliwe 2FA, a nie YubiKey.
> Ale weźmy jakieś banki, które tabelka wymienia jako używające hardware
> token.
>
> Najbliżej Polski jest Raiffeisen CZ, z opisu wynika że ich 2FA jest
> realizowane na SMS oraz na "osobní elektronický klíč" firm ActivCard
> albo Vasco.
> Niestety Raiffeisen PL nie obsługuje żadnego 2FA.
>
> Nordea (SE) - na ich stronach nie widzę hardware, widzę kod z aplikacji
> mobilnej. Nordea PL nie obsługuje 2FA.
>
> ING (LU) - na ich stronie (en) nie widzę ani słowa, nawet w faq/tips.
> ING PL nie obsługuje żadnego 2FA.
>
> HSBC (UK) - kod z aplikacji mobilnej, albo "physical Secure Key" który
> wygląda na zwykły token. Sorry, tokenów to ja używałem w Lucasie 20 lat
> temu. HCBC PL? Tak, żadnych 2FA.
>
> To jaki bank obsługuje YubiKey?
>
> --
> Alf/red/

ING się zainteresowało w wariancie U2F, źródło:
https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-int
ernetowa/U2F-Universal-2nd-Factor-Authentication/td-
p/6743/page/3

Zapominacie że tu jest kilka oddzielnych spraw:
U2F (jako drugi factor)
Webauthn/passwordless (logowanie bez hasła, tokenem)
Yubikey to jeden z produktów wspierających FIDO/FIDO2

do góry

W dniu sobota, 26 maja 2018 09:17:25 UTC+2 użytkownik Alf/red/ napisał:
> W dniu 25.05.2018 o 20:48, Sebastian Biały pisze:
> > Całkiem sporo ich znajdziesz tutaj:
>
> No, całkiem "sporo" jak na cały świat. 26 pozycji w kolumnie "hardware
> token". Sporo?
> Ale tabelka opisuje używanie wszystkie możliwe 2FA, a nie YubiKey.
> Ale weźmy jakieś banki, które tabelka wymienia jako używające hardware
> token.
>
> Najbliżej Polski jest Raiffeisen CZ, z opisu wynika że ich 2FA jest
> realizowane na SMS oraz na "osobní elektronický klíč" firm ActivCard
> albo Vasco.
> Niestety Raiffeisen PL nie obsługuje żadnego 2FA.
>
> Nordea (SE) - na ich stronach nie widzę hardware, widzę kod z aplikacji
> mobilnej. Nordea PL nie obsługuje 2FA.
>
> ING (LU) - na ich stronie (en) nie widzę ani słowa, nawet w faq/tips.
> ING PL nie obsługuje żadnego 2FA.
>
> HSBC (UK) - kod z aplikacji mobilnej, albo "physical Secure Key" który
> wygląda na zwykły token. Sorry, tokenów to ja używałem w Lucasie 20 lat
> temu. HCBC PL? Tak, żadnych 2FA.
>
> To jaki bank obsługuje YubiKey?
>
> --
> Alf/red/

ING się zainteresowało w wariancie U2F, źródło:
https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-int
ernetowa/U2F-Universal-2nd-Factor-Authentication/td-
p/6743/page/3

Zapominacie że tu jest kilka oddzielnych spraw:
logowanie U2F (jako drugi factor)
logowanie Webauthn/passwordless (logowanie bez hasła, tokenem)
Yubikey to jeden z produktów wspierających FIDO/FIDO2
autoryzacja transakcji(wyświetlenie userowi szczegółów transakcji które potwierdza
tak aby atakujący nie mógł ich podmienić/zasłonić na komputerze)

do góry

On Sunday, May 20, 2018 at 8:25:41 PM UTC+4, Borneq wrote:
> Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.

Nie. Poza tym nie spotkałem się aby jakikolwiek bank obsługiwał Yubikey, nie tylko w
Polsce. Niektóre instytucje finansowe tak np: Skrill.

Poza tym należy rozróżnić dwa rodzaje kompatybilności Yuibkey: TOTP (czyli to samo co
powszechnie dostępne aplikacje jak Authy czy Google Authenticator: czasowy 30
sekundowy kod) i U2F, który wymaga fizycznego urządzenia. Banki generalnie nie ufają
TOTP, natomiast U2F i Yubikey to jak ktoś pisał dość droga zabawka. Poza tym z U2F
pojawia się problem kompatybilności z urządzeniami, przeglądarkami, czy systemami.

do góry

On Tuesday, May 22, 2018 at 10:37:49 PM UTC+4, Borneq wrote:
> Yubikeye trzeba mieć minimum dwa? Bo jak jeden zginie to nie będzie
> żadnego sposobu by dostać się do konta.

Generalnie tak. To zależy od polityki przyjętej przez dany produkt. W niektórych
przypadkach Yubikey stosowany jest tylko o wyłącznie do autoryzacji nowego
urządzenia, nie uczestniczy on w codziennym dostępie to konta. Oznacza to że po
autoryzacji danego urządzenia/przeglądarki nie zostaniemy ponownie poproszeni o jego
użycie i login/hasło jest tu nadrzędne. Podobnie również w przypadku zgubienia, jest
możliwość czasem wyłączenia 2FA na koncie po uprzedniej weryfikacji z daną
instytucją.

Sposób działania Yubikey jest bardzo fajny nawet dla TOTP w połączeniu z Yubico
Authenticator. Wygląda mi to na dużo bezpieczniejszą opcje niż popularny Authy czy
inne tego typu aplikacje, dlatego że do wygenerowania TOTP potrzebna jest fizyczna
autoryzacja Yubikey. Za pomocą aplikacji Yubico Authenticator łączymy dany Yubikey ze
stronami obsługującymi 2FA. W aplikacji nie widzimy nic dopóki nie zbliżymy (NFC) lub
fizycznie nie włożymy Yubikey, dopiero wtedy pokaże nam się lista autoryzowanych
stron i jednorazowych kodów.

Poza tym jeśli zapiszemy lub wydrukujemy QR code, to możemy podłączyć każdy kolejny
Yubikey pod ten zgubiony.

do góry

On Wednesday, May 23, 2018 at 9:53:16 PM UTC+2, Sebastian Biały wrote:
> On 5/20/2018 6:25 PM, Borneq wrote:
> > Czy można używać kluczy YubiKey z bankami?, zwłaszcza chodzi mi o MBank.
> Mozna, ale po co:
>
> https://www.emsec.rub.de/media/crypto/veroeffentlich
ungen/2014/02/04/paper_yubikey_sca.pdf
>
> Więc to kwestia jaki masz poziom schizfrenii.

Artykuł który zamieściłeś dotyczy Yubikeyów z serii 2 (które już od dawna nie są
sprzedawane, w 2018 roku, gdy zamieszczałeś ten link, też już w sprzedaży nie były) i
jednej funkcji, którą oferują: generowania jednorazowych haseł. W dzisiejszych
Yubikeyach zawartych jest znacznie więcej mechanizmów, które bank może wykorzystać, w
tym FIDO2 oraz U2F, których użycie nie niesie ze sobą żadnych z problemów, które
wymienili autorzy zamieszczonego przez Ciebie papieru.

Ze schizofrenią nie ma to też żadnego związku. Ataki typu sim swap są powszechne i
znam osobiście kilka osób, które zostały nimi dotknięte. Potwierdzenia przez
aplikację bankową też nie są wolne od phishingu, bo polegają na tym, że użytkownik z
uwagą przeczyta w aplikacji czy na pewno potwierdza właściwą transakcję. W przypadku
FIDO2 lub U2F jedynym zagrożeniem jest zainfekowany komputer, który podmienia
informacje wyświetlane na ekranie Twojego komputera, a takie ataki są na tą
chwilę bardzo rzadkie.

do góry

Piotr Gnus <g...@g...com> writes:

>> https://www.emsec.rub.de/media/crypto/veroeffentlich
ungen/2014/02/04/paper_yubikey_sca.pdf
>
> Artykuł który zamieściłeś dotyczy Yubikeyów z serii 2 (które już od
> dawna nie są sprzedawane, w 2018 roku, gdy zamieszczałeś ten link, też
> już w sprzedaży nie były) i jednej funkcji, którą oferują: generowania
> jednorazowych haseł.

Przede wszystkim to dotyczy kwestii zupełnie nieistotnych z punktu
widzenia naszego użytkownika - sytuacji z czasowym fizycznym przejęciem
klucza. Dla każdego powinno być jasne, że jeśli atakujący ma fizyczny
dostęp do klucza (telefonu, komputera itd) to dane urządzenie może być
"skompromitowane", to tylko kwestia czasu i środków.
Dodatkowo, bez żadnego specjalnego czasu i środków, dostęp do klucza
umożliwia po prostu użycie go w tym czasie (klucze bez PINpada itp.)
- to tak samo jak ze zwykłym kluczem do domu albo innego sejfu.
--
Krzysztof Hałasa

do góry