Forum Debian Users Gang

Przekopałem się przez dosyć obszerną dokumentację na stronie Yubico i...
odkryłem Amerykę:

Najpierw dla FIDO należy nadać PIN.
Wtedy po dodaniu klucza do konta możemy logować się poprawnie.

Wg:
https://support.yubico.com/hc/en-us/articles/440283 … -YubiKey-PINs

Należy pamiętać, że każdy YubiKey nie zawiera domyślnego kodu PIN FIDO2 z fabryki.

dalej

Kody PIN PIV i OpenPGP są domyślnie ustawione na 123456, ale kod PIN FIDO2 nie jest ustawiony fabrycznie.

dalej

Jeśli dostawca usług nie określił ustawienia weryfikacji użytkownika, większość nowoczesnych przeglądarek domyślnie ustawi ją na Preferowaną (zgodnie ze specyfikacją WebAuthn https://www.w3.org/TR/webauthn/), co może skutkować wyświetleniem monitu o podanie kodu PIN.

dalej

Kod PIN FIDO2 można ustawić na kluczu YubiKey za pomocą narzędzia open source Yubico Authenticator (https://www.yubico.com/products/yubico-authenticator/)

Robimy to klikając:

Menu  >  Klucze dostępu (Passkeys), a następnie przechodząc do menu w prawym górnym rogu aplikacji > Ustaw kod PIN (Set PIN).

Ale zanim zaczniemy, to warto zweryfikować klucz czy jest oryginalny:
Wg:
https://support.yubico.com/hc/en-us/articles/360013 … ce-is-Genuine

Tzn.
Otwieramy stronę internetową https://www.yubico.com/genuine/ i podpinamy klucz.
Jeśli widzimy komunikat „Weryfikacja ukończona”, to klucz jest autentyczny.

I to byłoby na tyle.
Wszelkie uwagi są mile widziane.

Pozdrawiam.

@Yampress

Co rozumiesz przez pojęcie: "Mi na testingu działa".
Bo nam też działał.

Problem był taki:
Po rozpakowaniu Yubikey5 z fabrycznego opakowania, podpięciu do USB i dodaniu go do konta klienta PKOBP nie można się było ponownie zalogować.
Konto trzeba było odblokowywać za pomocą infolinii.

Ale po  ustawieniu ręcznie na kluczu PIN (za pomocą Yubikey Authenticator) i dodaniu go do konta klienta PKOBP wszystko działa jak trzeba.

Czy słowa "Mi na testingu działa" oznaczają, że po wyjęciu klucza z fabrycznego opakowania, podpięcia do usb, w trakcie dodawania klucza do konta bankowego, w pewnym momencie otrzymałeś monit, np. "Teraz ustaw PIN"?

Bo ja czegoś takiego nie miałem.

Nie są też zainstalowane żadne pakiety Yubico.
Polecenie

dpkg -l | grep yubi

nic nie wyświetla.

Yubikey Authenticator nie jest zainstalowany – uruchamia się po rozpakowaniu.

Na Bookworm jest

apt show  udev
Package: udev
Version: 252.31-1~deb12u1

Pozdrawiam.

Ostatnio edytowany przez zl23 (Wczoraj 08:10:23)

@Yampress

"Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka"

Ale wybacz, że dopytam.

System Windows, włożyłeś klucz do USB i Windows sam z siebie kapnął się, że nie ma kodu PIN dla FIDO na kluczu i kazał go nadać?
Czy może sam, w jakiś tam sposób, wymusiłeś nadanie PIN?

Pytam dlatego, że szeroka reklama kluczy U2F (nie tylko przez PKOBP) informuje, że jest to metoda uwierzytelniania z którą każdy, za przeroszeniem, analfabeta komputerowy sobie poradzi.

A jak zwykle diabeł tkwi w szczegółach.

Pozdrawiam.

Postscriptum
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz Yubikey 5NFC.
Po nadaniu kodu PIN nie ma problemu z kluczem Yubikey5, który został zarejestrowany na koncie PKOBP.
Zadziałało poprawnie.
Wszystkie próby przeprowadzono na aktualnym Debian Bookworm, zarówno z Chromium jak i Firefox.

Ostatnio edytowany przez zl23 (Wczoraj 09:24:07)

@Yampress: "Piszesz wcześniej "my" to ilu was jest?"

Na pytanie znajomego czy warto kupić Yubikey i zabezpieczyć nim konto w Banku odpowiedziałem "Tak".
Wyszła klapa.
Poczułem się współwinny i zacząłem rozgryzać temat.
Wydaje mi się, że go rozgryzłem.
Klucz działa.
Najważniejsze to PIN.

Pozdrawiam.

@Yampress

Pozwól jeszcze na odrobinę ciekawości.

W jakim banku podpinałeś klucz Yubikey?

@Yampress

Małe sprostowanie.
1.
Nie jestem pracownikiem banku.
2.
To nie prawda, że ING jako pierwszy w Polsce wprowadził autoryzację kluczami U2F.
Pierwszym był Bank Spółdzielczy w Knurowie:
https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f

Pozdrawiam

PS
1.
Na stronie knurowskiego banku jest bardziej rozbudowana instrukcja podpinania klucza niż w PKOBP:
https://u2f.okbank.pl/
Są tam słowa: "Ustalamy numer pin do klucza, lub podajemy wcześniej zdefiniowany" – stąd wniosek, że knurowski serwer sprawdza czy na kluczu jest ustawiony PIN czy nie.
Jeżeli nie jest ustawiony, to z tego wynika, że poleca takowy PIN wpisać – czego nie czyni serwer banku PKOBP.
2. Ponoć w najbliższych dniach klucze U2F wprowadzić ma PeKaO SA – ciekawe co oni napiszą w instrukcji?

Ostatnio edytowany przez zl23 (Wczoraj 13:37:33)

À propos pewnych mitów na powyższy temat.

1.
Nadal logujemy się poprzez login (nr klienta) i hasło – to oczywiste.
2.
Po zalogowaniu w PKOBP nadal wyskakuje okno dające wybór:
- dodaj urządzenie do zaufanych albo
- potwierdzaj kodem jednorazowym.
Jeżeli ustawisz tak przeglądarkę, że czyści wszystko po wyłączeniu (np. odpowiednie ustawienia, cache do /tmp, incognito) to dodawanie do zaufanych nic nie daje – nie zostaniesz rozpoznany i znów będziesz proszony o dodanie do zaufanych.
Pozostaje tylko 'potwierdź kodem jednorazowym' (ze zdrapki).
3.
Każda transakcja nadal jest potwierdzana kodem ze zdrapki.

Trzeba powiedzieć wyraźnie:
klucz U2F jest dodatkowym zabezpieczeniem!
Po prostu jeden schodek więcej.

Pozdrawiam.