W dniu 2024-06-13 o 15:00, Marcin Mokrzycki pisze:
> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>
>>>> Poza tym wcale niekoniecznie jest to dobre czy bezpieczniejsze.
>>>> klucz U2F nie zadziała ci w smartfonie, tzn może zadziała, ale
>>> Działa. Może nie wypowiadaj sie, o rzeczach o których nie masz pojęcia.
>>
>> A jak Ci działa? kabelek OTG, klucz z micro-USB, USB-C
>
> NFC
>
>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>> nie o OTP.
>>
>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>> na komputerem?
>
> Tak.
>

Nigdy wcześniej nie słyszałem o U2F. Rzuciłem okiem co to takiego.
Ale znajduję głównie reklamy jakie to super i do jak wielu rzeczy się
nadaje. Ale jak dokładnie działa to pewnie trochę dokładniej i dłużej
trzeba by szukać.

Możesz w kilku słowach wyjaśnić.

Na przykład takie pytania:
1. Czy przy logowaniu z komputera do jakiegoś banku Twój Login i Hasło
jest pobierany z tego klucza, czy wklepujesz je z klawiatury?

Przed każdym logowaniem do banku sprawdzam 'pod kłódeczką' czy
certyfikat jest wystawiony dla strony, która mi pasuje pod nazwę banku.
Zdaję sobie sprawę, że ktoś mógłby np mieć stronę rnbank, co (przy
odpowiedniej czcionce) mógłbym pomylić z mbank.
Jak mam zapamiętane kilka bajtów z 'Odcisku palca' to też sprawdzam.
Wiele lat temu zdarzyło mi się pisać do mBanku, że zmienili certyfikat,
a na stronie na której o tym piszą mają dane ze starego i nie wiem, czy
mogę się logować, czy nie. Przeprosili i od razu poprawili.

2. Jeśli abstrakcyjnie założymy, że pamiętam cały Odcisk Palca i go
sprawdzam to czy U2F sprawdza coś więcej, czy może sprawdza zupełnie co
innego o czym nie mam pojęcia?

3. Certyfikaty mają okres ważności. Czy po wygaśnięciu musisz coś z U2F
robić, czy to się w nim jakoś samo uaktualnia?

Moje pytania chyba były głupie bo zakładały, że klucz coś sprawdza i
pozwala lub nie się zalogować a on przecież nie ma zielonego i
czerwonego LEDa. Więc..
To strona musi się dowiadywać, że się nie udało.

4. W jaki sposób klucz się uwierzytalnia przed stroną?

Trochę światła na to jak to działa pewne rzuciła by informacja:

5. Jak wygląda procedura dopisania danej strony do klucza (czy też
dopisania klucza do Twojego konta na danej stronie.
P.G.