On Fri, 14 Jun 2024 09:48:31 +0200, Kamil Jońca wrote:
> Piotr Gałka <p...@c...pl> writes:
>> W dniu 2024-06-13 o 15:00, Marcin Mokrzycki pisze:
>>> On Thu, 13 Jun 2024 14:55:54 +0200, J.F wrote:
>>>
>>>>>> upierdliwy jest. token ze zmiennym kodem nie sprawdza co zatwierdzasz
>>>>> Znowu: ja o zupie ty o ... . Może trzymaj się tematu. Ja mówiłem o U2F,
>>>>> nie o OTP.
>>>>
>>>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>>>> na komputerem?
>>> Tak.
>>>
>>
>> Nigdy wcześniej nie słyszałem o U2F. Rzuciłem okiem co to takiego.
>> Ale znajduję głównie reklamy jakie to super i do jak wielu rzeczy się
>> nadaje. Ale jak dokładnie działa to pewnie trochę dokładniej i dłużej
>> trzeba by szukać.
>>
>> Możesz w kilku słowach wyjaśnić.
>>
>> Na przykład takie pytania:
>> 1. Czy przy logowaniu z komputera do jakiegoś banku Twój Login i Hasło
>> jest pobierany z tego klucza, czy wklepujesz je z klawiatury?
>
> Nie.
>
> Nie wdając się w szczegóły.
> Klucz sprzętowy posiada pewien klucz prywatny.
>
> W momencie "rejestracji" klucza, u usługdawcy jest zapamiętywany pewien
> klucz publiczny.
> W czasie logowania usługodawca przeysła przeglądarce "coś" i każe zaszyfrować
> prywatnym
> Przeglądarka każe kluczowi zaszyfrować i to co dostanie odsyła do
> usługodawcy.
> Gdy usługodawca jest w stanie to rozszyfrować (za pomocą publicznego)
> - to wie że jesteś w posiadaniu klucza.

A jakie jest zabezpieczenie, zeby zhackowana przeglądarka, albo
fałszywa strona, nie przesłały do klucza tego czegos, oddebrało
odpowiedz, przesłało do usługodawcy ... a pokazało na ekranie zupelnie
cos innego ?

J.