Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-11-08 08:10:48

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Yubikey 5, Debian, PKOBP – klapa

Pochwaliłem znajomemu zakup klucza Yubikey 5NFC jako dodatkowe zabezpieczenie przy logowaniu do konta PKO BP.

Klucz ładnie został dodany (można było zobaczyć, że jest aktywny).

Po wylogowaniu się i ponownym zalogowaniu (login, hasło) pokazał się co prawda monit o kluczu, ale wtykanie klucza do USB, jego dotykanie w niczym nie pomogło – konto zostało "zamurowane".
Po kilku bezskutecznych próbach (np. przekładanie klucza do innego gniazda USB) - telefon na infolinię PKOBP – klucz został wycofany, konto zostało odblokowane.

Miła pani z infolinii próbowała dociec przyczyny, ale nic z tego nie wyszło.
Instrukcja PKOBP to streszczając: "Dodaj klucz bezpieczeństwa i postępuj zgodnie ze wskazówkami na ekranie".

Czy ktoś z Szanownych czytelników tego forum, już spotkał się z takim problemem?

Sprzęt:
W miarę nowy komputer z Debian Bookworm 12.7 (aktualny), przeglądarka Chromium 130.0.6723.91 (uruchamiana jako Incognito).
Sprawne połączenie internetowe.
Klucz dopiero co kupiony w polecanym polskim sklepie (Official e-commerce resellers) na stronie https://www.yubico.com/.
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz "wyjęty z pudełka", nie robiono z nim żadnych eksperymentów, tylko sprawdzono wersję firmware.

Pozdrawiam.

Offline

 

#2  2024-11-12 10:42:36

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Przekopałem się przez dosyć obszerną dokumentację na stronie Yubico i...
odkryłem Amerykę:

Najpierw dla FIDO należy nadać PIN.
Wtedy po dodaniu klucza do konta możemy logować się poprawnie.

Wg:
https://support.yubico.com/hc/en-us/articles/440283 … -YubiKey-PINs

Należy pamiętać, że każdy YubiKey nie zawiera domyślnego kodu PIN FIDO2 z fabryki.

dalej

Kody PIN PIV i OpenPGP są domyślnie ustawione na 123456, ale kod PIN FIDO2 nie jest ustawiony fabrycznie.

dalej

Jeśli dostawca usług nie określił ustawienia weryfikacji użytkownika, większość nowoczesnych przeglądarek domyślnie ustawi ją na Preferowaną (zgodnie ze specyfikacją WebAuthn https://www.w3.org/TR/webauthn/), co może skutkować wyświetleniem monitu o podanie kodu PIN.

dalej

Kod PIN FIDO2 można ustawić na kluczu YubiKey za pomocą narzędzia open source Yubico Authenticator (https://www.yubico.com/products/yubico-authenticator/)

Robimy to klikając:

Menu  >  Klucze dostępu (Passkeys), a następnie przechodząc do menu w prawym górnym rogu aplikacji > Ustaw kod PIN (Set PIN).

Ale zanim zaczniemy, to warto zweryfikować klucz czy jest oryginalny:
Wg:
https://support.yubico.com/hc/en-us/articles/360013 … ce-is-Genuine

Tzn.
Otwieramy stronę internetową https://www.yubico.com/genuine/ i podpinamy klucz.
Jeśli widzimy komunikat „Weryfikacja ukończona”, to klucz jest autentyczny.

I to byłoby na tyle.
Wszelkie uwagi są mile widziane.

Pozdrawiam.

Offline

 

#3  2024-11-14 16:01:16

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Mi na testingu działa. 

[yampress@debian ~]$ apt show  udev
Package: udev
Version: 256.7-3

To chyba zależy od wersji udev
https://support.yubico.com/hc/en-us/articles/360013 … ey-with-Linux

Online

 

#4  2024-11-15 07:50:11

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Co rozumiesz przez pojęcie: "Mi na testingu działa".
Bo nam też działał.

Problem był taki:
Po rozpakowaniu Yubikey5 z fabrycznego opakowania, podpięciu do USB i dodaniu go do konta klienta PKOBP nie można się było ponownie zalogować.
Konto trzeba było odblokowywać za pomocą infolinii.

Ale po  ustawieniu ręcznie na kluczu PIN (za pomocą Yubikey Authenticator) i dodaniu go do konta klienta PKOBP wszystko działa jak trzeba.

Czy słowa "Mi na testingu działa" oznaczają, że po wyjęciu klucza z fabrycznego opakowania, podpięcia do usb, w trakcie dodawania klucza do konta bankowego, w pewnym momencie otrzymałeś monit, np. "Teraz ustaw PIN"?

Bo ja czegoś takiego nie miałem.

Nie są też zainstalowane żadne pakiety Yubico.
Polecenie

Kod:

dpkg -l | grep yubi

nic nie wyświetla.

Yubikey Authenticator nie jest zainstalowany – uruchamia się po rozpakowaniu.

Na Bookworm jest

Kod:

apt show  udev
Package: udev
Version: 252.31-1~deb12u1

Pozdrawiam.

Ostatnio edytowany przez zl23 (2024-11-15 08:10:23)

Offline

 

#5  2024-11-15 09:08:49

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka. Po czym chciałem dodać go do konta banku i mimo wielokrotnych prób nie wychodziło.nie miało znaczenia na jakim systemie probowałem. Telefon na infolinię. Potem pisemna reklamacja no i zrobili mi że działa.   Wygląda na to, że  ten mechanizm uwierzytelniania z banku nie  do końca dobrze działa i długo jeszcze będą go dopracowywać. A jaka masz wersję oprogramowania klucza 5.7 ? W najnowszych jest naprawiony błąd i chyba  zmieniony algorytm i podejrzewam że tutaj coś nie wspoldziala. Próbowałeś na innym systemie?

Online

 

#6  2024-11-15 09:19:44

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

"Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka"

Ale wybacz, że dopytam.

System Windows, włożyłeś klucz do USB i Windows sam z siebie kapnął się, że nie ma kodu PIN dla FIDO na kluczu i kazał go nadać?
Czy może sam, w jakiś tam sposób, wymusiłeś nadanie PIN?

Pytam dlatego, że szeroka reklama kluczy U2F (nie tylko przez PKOBP) informuje, że jest to metoda uwierzytelniania z którą każdy, za przeroszeniem, analfabeta komputerowy sobie poradzi.

A jak zwykle diabeł tkwi w szczegółach.

Pozdrawiam.

Postscriptum
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz Yubikey 5NFC.
Po nadaniu kodu PIN nie ma problemu z kluczem Yubikey5, który został zarejestrowany na koncie PKOBP.
Zadziałało poprawnie.
Wszystkie próby przeprowadzono na aktualnym Debian Bookworm, zarówno z Chromium jak i Firefox.

Ostatnio edytowany przez zl23 (2024-11-15 09:24:07)

Offline

 

#7  2024-11-15 09:21:33

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Obejrzałem ileś materiałów  na YouTube i przeczytałem ileś artukułów I dzięki temu wiedziałem, że trzeba zabezpieczyć klucz PINem. Potem dopiero próbowałem go dodać do konta banku i nie wychodziło. A tak reklamowali usługę, która najwidoczniej nadal jest niedopracowana i nie działa jak należy.

Piszesz wcześniej "my" to ilu was jest?

Online

 

#8  2024-11-15 09:28:42

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress: "Piszesz wcześniej "my" to ilu was jest?"

Na pytanie znajomego czy warto kupić Yubikey i zabezpieczyć nim konto w Banku odpowiedziałem "Tak".
Wyszła klapa.
Poczułem się współwinny i zacząłem rozgryzać temat.
Wydaje mi się, że go rozgryzłem.
Klucz działa.
Najważniejsze to PIN.

Pozdrawiam.

Offline

 

#9  2024-11-15 09:33:06

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

No ale bank powinien przeprowadzić akcję informacyjną, że takie coś należy zrobić, bo nie wszyscy są ekspertami w tej dziedzinie. A miało być  tak prosto i bez komplikacji. A tu aby coś zrobić to trzeba się nieźle nagimnastykowac. Widocznie ta cudowna usługa jest tylko dla 1% ludzi, którzy są ekspertami i się orientują. Bo dla 90% społeczeństwa nie,  bo nie sa zorientowani i nie są ekspertami i odpuszcza bo nie będzie im działać out-of -box

Sesesese

Online

 

#10  2024-11-15 09:41:31

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Pozwól jeszcze na odrobinę ciekawości.

W jakim banku podpinałeś klucz Yubikey?

Offline

 

#11  2024-11-15 09:42:57

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

W tym w którym pracujesz ,🤪 pkobp.
Jedynie ING  miało już  wcześniej takie rozwiązanie w u nas w kraju przed pkobp

Online

 

#12  2024-11-15 13:22:46

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Małe sprostowanie.
1.
Nie jestem pracownikiem banku.
2.
To nie prawda, że ING jako pierwszy w Polsce wprowadził autoryzację kluczami U2F.
Pierwszym był Bank Spółdzielczy w Knurowie:
https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f

Pozdrawiam

PS
1.
Na stronie knurowskiego banku jest bardziej rozbudowana instrukcja podpinania klucza niż w PKOBP:
https://u2f.okbank.pl/
Są tam słowa: "Ustalamy numer pin do klucza, lub podajemy wcześniej zdefiniowany" – stąd wniosek, że knurowski serwer sprawdza czy na kluczu jest ustawiony PIN czy nie.
Jeżeli nie jest ustawiony, to z tego wynika, że poleca takowy PIN wpisać – czego nie czyni serwer banku PKOBP.
2. Ponoć w najbliższych dniach klucze U2F wprowadzić ma PeKaO SA – ciekawe co oni napiszą w instrukcji?

Ostatnio edytowany przez zl23 (2024-11-15 13:37:33)

Offline

 

#13  2024-11-15 18:53:06

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Teraz to już wszystkie banki będą to miały... Kwestia czasu. Prawo konkurencji - zdążyć przed innymi. Dlatego podejrzewam że nie wszystkie mechanizmy są do konca przetestowane i dopracowane. I to będzie proces, a ulepszanie i wyłapywanie błędów potrwa jeszcze jakiś czas zanim to stabilnie i doskonale będzie działać.

Ale to jest naprawdę super rozwiązanie. Nie trzeba SMS do uwierzytelniania. A jedna z metod jest ten klucz.... W powiązaniu  z dodaniem urządzenia i włączeniem  analizy zachowań  behawiolarnych daje naprawdę mocne narzędzie zabezpieczeń do konta. No i karty zdrapki zamiast SMS czy aplikacji. Mogliby token sprzętowy dawać jeszcze do autoryzacji transakcji

Online

 

#14  2024-11-15 19:27:35

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

À propos pewnych mitów na powyższy temat.

1.
Nadal logujemy się poprzez login (nr klienta) i hasło – to oczywiste.
2.
Po zalogowaniu w PKOBP nadal wyskakuje okno dające wybór:
- dodaj urządzenie do zaufanych albo
- potwierdzaj kodem jednorazowym.
Jeżeli ustawisz tak przeglądarkę, że czyści wszystko po wyłączeniu (np. odpowiednie ustawienia, cache do /tmp, incognito) to dodawanie do zaufanych nic nie daje – nie zostaniesz rozpoznany i znów będziesz proszony o dodanie do zaufanych.
Pozostaje tylko 'potwierdź kodem jednorazowym' (ze zdrapki).
3.
Każda transakcja nadal jest potwierdzana kodem ze zdrapki.

Trzeba powiedzieć wyraźnie:
klucz U2F jest dodatkowym zabezpieczeniem!
Po prostu jeden schodek więcej.

Pozdrawiam.

Offline

 

#15  2024-11-15 20:35:08

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Zapomniałeś że jeszcze trzeba znać pin do klucza
Przeglądarkę można używać na maszynie wirtualnej tylko do logowania się do banku bez czyszczenia sesji - więc spokojnie można ją dodać do bezpiecznych urządzeń/ przeglądarek. Można również katalog z ustawieniami przeglądarki  trzymać w zaszyfrowanym kontenerze. .cache można zawsze zamontować w ramdysku... I nie trzeba ciągle zdrapywać zdrapek aby przeglądarkę dodać do urządzeń bezpiecznych.

Nie ma sensu popadać w tak wielka paranoje
]:>

Online

 

#16  2024-11-17 18:00:12

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Dziwna sprawa z tymi kluczami.

Zamówiono towar i wybrano płatność przez PayU.
Klucz Yubikey nie był w ogóle potrzebny – leżał sobie w szufladzie.

Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?

Zaczyna mnie to zastanawiać, chyba jutro pomarudzę na infolinii banku.

Pozdrawiam

Offline

 

#17  2024-11-17 18:52:29

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Ja jak kupuje to nigdy nie wybieram przekierowania  do banku z automatycznym wypełnianiem danych.
Wybieram klasyczny przelew, po czym ręcznie klasycznie się loguje i ręcznie wpisuje dane do przelewu. Kilka razy sprawdzam konto, które wstawiam

No to ciekawie się zapowiada....
]8>

Czyżby w pośpiechu wprowadzania usługi zapomnieli zaimplementować  autoryzowanie logowania w mechanizmów przekierowania
Pisz reklamacje. Na piśmie to na piśmie, rozmowy w sumie są nagrywane, ale jak napiszesz reklamacje  to pisemnie muszą odpowiedzieć.

Online

 

#18  2024-11-17 19:10:55

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Tak, prawda.
Klasyczny przelew (choć trwa to dłużej) sam zawsze wybierałem i doradzałem innym.
No ale teraz jest TEN KLUCZ!
On ma chronić konto.

PayU był kiedyś na jakiejś liście w PKOBP, że niby zaufany.
Dzisiaj nie mogę tego jakoś wyklikać.

No ale jakby był nie wiadomo jak zaufany to klucz powinien bronić konta.
Na razie klucz broni konta przed użytkownikiem, gdy ten loguje się do banku.
Sorry, ale tak to zaczynam odbierać.

Pozdrawiam.

Offline

 

#19  2024-11-17 19:23:33

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Pisz reklamacje bo tak nie może być.
Brak profesjonalizmu. Bo kto wie czy są świadomi , że mogą mieć luke w tym mechanizmie.  A wtedy dla własnego bezpieczeństwa trzeba im te dziury palcem pokazać aby naprawili . Wiesz ludzi coraz mniej do pracy i coraz mniej profesjonalnych i coraz mniej wysokiej klasy profesjonalistów.

Jak ja to nazywam " witaj w nowoczesnym świecie tandety. Szybciej. Więcej. Mocniej. Taniej"

Online

 

#20  2024-11-18 10:56:38

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

zl23 napisał(-a):

Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?

Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku. U mnie nawet najmniejsza transakcja przechodzi weryfikację kodem sms (i czasami pinem od karty, pewnie zależnie od implementacji). Przejrzyj sobie te ustawienia.

Offline

 

#21  2024-11-18 11:13:07

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Pavlo950 napisał(-a):

zl23 napisał(-a):

Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?

Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku. U mnie nawet najmniejsza transakcja przechodzi weryfikację kodem sms (i czasami pinem od karty, pewnie zależnie od implementacji). Przejrzyj sobie te ustawienia.

A słyszał o klonowaniu karty SIM?

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja


Dobrze chociaż że istnieje zastrzeżenie PESEL,
Co bardzo utrudnia takie podszywanie się gdy ktoś sklonuje Ci kartę SIM.

Także karta zdrapka i klucz  i parę dodatkowych mechanizmów  doskonale utrudnia dostanie się do twojego konta. Ewentualne grono podejrzanych  zawęża się wtedy tylko do osób którzy przebywają w twoim domu, lub w jakiś " cudowny sposób" mogą dostać się do twojego domu . No ale wtedy kartę i klucz trzymamy oddzielnie ukryte

Ot  to takie moje przemyślenia lamera
]:>

Ps. Do autoryzacji transakcji przydałby się token sprzętowy jako kolejny element zabezpieczajacy.

Online

 

#22  2024-11-18 11:40:07

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

Najpierw konto miałem w BNP Paribas, zlikwidowali token z powodów "oszczędnościowych.
Przeniosłem konto do Santander. Przez jakiś czas też był token, też zlikwidowali.
Zwykły przelew, logowanie klasyczne, za to weryfikacja aplikacją mobilną z odciskiem palca. Uważam to za wystarczające.


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
http://www.freebsd.org/gifs/powerlogo.gif
Beskid Niski

Offline

 

#23  2024-11-18 11:50:43

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Tylko  w pkobp kiedyś mieli token sprzetowy. Tyle że za drogo to rozwiązanie ich kosztowało to znieśli, a później pojawiły się smartfony - więc zrobili aplikacje . Tylko że ja nie chcę mieć aplikacji banku w telefonie. A jak ktos nie ma smartfona?  Wiec...

Online

 

#24  2024-11-18 12:17:25

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Pavlo950 napisał(-a):

Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...

Pablo950  – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.

Offline

 

#25  2024-11-18 14:13:24

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

archaiczne (nie cyfrowe) rozwiązania są najskuteczniejszymi metodami zabezpieczeń w dzisiejszych czasach.

Online

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)