Summary in English:
This is a blog post about the YubiKey, a physical U2F (Universal 2nd Factor) key used for securing access to online accounts. The author explains that while 2FA methods like SMS codes and Google Authenticator are still effective, they can be vulnerable to interception by scammers. The YubiKey, on the other hand, offers a more secure method of authentication because it verifies the website address, preventing users from logging into fake or phishing sites.
The author goes on to list some of the key advantages of using a U2F key, including the fact that it eliminates the need for one-time codes and provides an extra layer of security against account hacking. However, she also notes that the keys can be lost or stolen, and recommends purchasing two identical keys as a backup.
The post includes instructions for configuring the YubiKey for use with Google and Facebook accounts, and the author encourages readers to consider using a U2F key as an additional layer of protection against online scams and hacking attempts.
Original article in Polish (April 2021)
Kiedyś pisałam o dwustopniowym uwierzytelnianiu (2FA). Skupiłam się wtedy na kodach podawanych w SMSach, e-mailach lub w aplikacji Google Authenticator. Te metody zabezpieczenia kont wciąż się sprawdzają, ale wszelkiej maści oszuści nie próżnują i poprzeczka się podnosi, a takie kody coraz łatwiej przechwycić.
W związku z tym dziś nadszedł czas na YubiKey, czyli fizyczny klucz U2F (Universal 2nd Factor) umożliwiający zabezpieczenie dostępu do naszych kont. Od jakiegoś czasu chciałam go kupić, ale wciąż się wahałam. Cena, choć nie porażająco wysoka, też grała swoją rolę (najtańsze klucze to wydatek ok. 150 zł).
Co mnie przekonało? 🙂
W dniach 8-9 kwietnia 2021 odbywały się Warszawskie Dni Informatyki w formie on-line. Obejrzałam tam kilka prelekcji z zakresu cyberbezpieczeństwa i postanowiłam jednak zainwestować w YubiKey. Kupiłam najtańszy model, czyli Security Key NFC. Jego kompatybilność z różnymi serwisami możecie sprawdzić na stronie producenta.
Na razie skonfigurowałam go z Facebookiem, Googlem i GitHubem. Działa zarówno podłączony do portu USB, jak i zdalnie przez NFC (standard komunikacji bliskiego zasięgu – najbardziej znany jest z płatności zbliżeniowych telefonem). Testowałam komunikację na iPhonie 11 (update: nadal działa z iPhonem 13 Pro i z Macbookiem Pro 2020) i się sprawdza. Listę urządzeń obsługujących NFC znajdziecie na przykład tutaj, ale najlepiej jest upewnić się w dokumentacji danego modelu.
Najważniejsze zalety klucza U2F
Jeśli znacie już 2FA i używacie np. Google Authenticatora, to wiecie, że gdy logujecie się na nowym urządzeniu (lub w trybie incognito) do swojego Gmaila lub Facebooka, to po wpisaniu loginu oraz hasła, pojawia się też okienko na wpisanie jednorazowego kodu z aplikacji. I tu wkracza YubiKey. Jeśli wybierzemy klucz U2F jako metodę dodatkowego zabezpieczenia konta, nie będziemy potrzebować już jednorazowych kodów. Wystarczy, że klucz będzie wpięty w nasze urządzenie lub zbliżymy go do górnej części naszego telefonu.
Ogromnym plusem jest to, że klucz weryfikuje adres serwisu, czyli jeśli nawet sami nie zauważymy, że strona jest fałszywką, to klucz zrobi to za nas. Nie zalogujemy się nim na podstawione, phishingowe stronki. Niestety w przypadku Google Authenticatora czy SMSa takie zagrożenie jest – wystarczy, że na fałszywej stronie, jej autor podstawi nam okienko na kod.
Najważniejsze wady klucza U2F
Coś co mnie bardzo martwi to fakt, że mogę mój klucz gdzieś zapodziać. Dlatego poleca się tworzyć dwa takie same klucze, by jeden był „zapasem” trzymanym w tzw. „pewnym miejscu”. Wiąże się to jednak z kolejnym wydatkiem. Na razie kupiłam tylko jeden klucz i spróbuję funkcjonować na jednym 🙂
Na szczęście, o ile zgubienie klucza może utrudnić nam życie, nie będzie to miało wpływu na bezpieczeństwo naszych kont. Klucz nie przechowuje danych dostępowych, a więc nawet jeśli ktoś go ukradnie/znajdzie, to nie będzie mógł się pod nas podszyć.
Konfiguracja Google
Instrukcja ze strony producenta: https://www.yubico.com/pl/works-with-yubikey/catalog/google-accounts/
Klucz dodajemy dokładnie w tym samym miejscu co dwuskładnikowe uwierzytelnianie z użyciem Authenticatora, czyli w sekcji security naszego konta Google: https://myaccount.google.com/security
Wchodzimy do sekcji „Weryfikacja dwuetapowa” i tam wybieramy „Klucz bezpieczeństwa” i następnie postępujemy zgodnie ze wskazówkami Google.
Konfiguracja Facebooka
Instrukcja ze strony producenta: https://www.yubico.com/pl/works-with-yubikey/catalog/facebook/
Wchodzimy do ustawień security: https://www.facebook.com/settings?tab=security a następnie szukamy tam sekcji „Two-factor authentication” lub „Dwuskładnikowe uwierzytelnianie”. Można także przejść tam bezpośrednio: https://www.facebook.com/security/2fac/settings
Wybieramy opcję „Klucz bezpieczeństwa” / „Security Key” i postępujemy zgodnie ze wskazówkami. Ostatecznie powinniśmy zobaczyć taki ekran jak poniżej.
Mam nadzieję, że udało mi się przybliżyć Wam ideę kluczy U2F. Pamiętajcie, że w obecnych czasach nawet tzw. „mocne hasło” nie uchroni nas przed socjotechniką. A oszustwa w internecie to nie jest wcale praca wysoce wyspecjalizowanych genialnych hakerów-programistów, tylko w większości zwykłe granie na ludzkich emocjach (strach, pośpiech, obietnice wygranej). Każdy może się dać kiedyś złapać!
Opisałam tu klucz Yubico, ponieważ jest to najbardziej znany producent, a klucze są dostępne od ręki np. na Allegro. Natomiast nie jest to jedyny producent. Przykładowo Google ma swojego Titan Security Key. Niestety nie jest dostępny w sklepie Google na terenie Polski.