Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-11-08 08:10:48

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Yubikey 5, Debian, PKOBP – klapa

Pochwaliłem znajomemu zakup klucza Yubikey 5NFC jako dodatkowe zabezpieczenie przy logowaniu do konta PKO BP.

Klucz ładnie został dodany (można było zobaczyć, że jest aktywny).

Po wylogowaniu się i ponownym zalogowaniu (login, hasło) pokazał się co prawda monit o kluczu, ale wtykanie klucza do USB, jego dotykanie w niczym nie pomogło – konto zostało "zamurowane".
Po kilku bezskutecznych próbach (np. przekładanie klucza do innego gniazda USB) - telefon na infolinię PKOBP – klucz został wycofany, konto zostało odblokowane.

Miła pani z infolinii próbowała dociec przyczyny, ale nic z tego nie wyszło.
Instrukcja PKOBP to streszczając: "Dodaj klucz bezpieczeństwa i postępuj zgodnie ze wskazówkami na ekranie".

Czy ktoś z Szanownych czytelników tego forum, już spotkał się z takim problemem?

Sprzęt:
W miarę nowy komputer z Debian Bookworm 12.7 (aktualny), przeglądarka Chromium 130.0.6723.91 (uruchamiana jako Incognito).
Sprawne połączenie internetowe.
Klucz dopiero co kupiony w polecanym polskim sklepie (Official e-commerce resellers) na stronie https://www.yubico.com/.
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz "wyjęty z pudełka", nie robiono z nim żadnych eksperymentów, tylko sprawdzono wersję firmware.

Pozdrawiam.

Offline

 

#2  2024-11-12 10:42:36

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Przekopałem się przez dosyć obszerną dokumentację na stronie Yubico i...
odkryłem Amerykę:

Najpierw dla FIDO należy nadać PIN.
Wtedy po dodaniu klucza do konta możemy logować się poprawnie.

Wg:
https://support.yubico.com/hc/en-us/articles/440283 … -YubiKey-PINs

Należy pamiętać, że każdy YubiKey nie zawiera domyślnego kodu PIN FIDO2 z fabryki.

dalej

Kody PIN PIV i OpenPGP są domyślnie ustawione na 123456, ale kod PIN FIDO2 nie jest ustawiony fabrycznie.

dalej

Jeśli dostawca usług nie określił ustawienia weryfikacji użytkownika, większość nowoczesnych przeglądarek domyślnie ustawi ją na Preferowaną (zgodnie ze specyfikacją WebAuthn https://www.w3.org/TR/webauthn/), co może skutkować wyświetleniem monitu o podanie kodu PIN.

dalej

Kod PIN FIDO2 można ustawić na kluczu YubiKey za pomocą narzędzia open source Yubico Authenticator (https://www.yubico.com/products/yubico-authenticator/)

Robimy to klikając:

Menu  >  Klucze dostępu (Passkeys), a następnie przechodząc do menu w prawym górnym rogu aplikacji > Ustaw kod PIN (Set PIN).

Ale zanim zaczniemy, to warto zweryfikować klucz czy jest oryginalny:
Wg:
https://support.yubico.com/hc/en-us/articles/360013 … ce-is-Genuine

Tzn.
Otwieramy stronę internetową https://www.yubico.com/genuine/ i podpinamy klucz.
Jeśli widzimy komunikat „Weryfikacja ukończona”, to klucz jest autentyczny.

I to byłoby na tyle.
Wszelkie uwagi są mile widziane.

Pozdrawiam.

Offline

 

#3  2024-11-14 16:01:16

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Mi na testingu działa. 

[yampress@debian ~]$ apt show  udev
Package: udev
Version: 256.7-3

To chyba zależy od wersji udev
https://support.yubico.com/hc/en-us/articles/360013 … ey-with-Linux

Offline

 

#4  Wczoraj 07:50:11

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Co rozumiesz przez pojęcie: "Mi na testingu działa".
Bo nam też działał.

Problem był taki:
Po rozpakowaniu Yubikey5 z fabrycznego opakowania, podpięciu do USB i dodaniu go do konta klienta PKOBP nie można się było ponownie zalogować.
Konto trzeba było odblokowywać za pomocą infolinii.

Ale po  ustawieniu ręcznie na kluczu PIN (za pomocą Yubikey Authenticator) i dodaniu go do konta klienta PKOBP wszystko działa jak trzeba.

Czy słowa "Mi na testingu działa" oznaczają, że po wyjęciu klucza z fabrycznego opakowania, podpięcia do usb, w trakcie dodawania klucza do konta bankowego, w pewnym momencie otrzymałeś monit, np. "Teraz ustaw PIN"?

Bo ja czegoś takiego nie miałem.

Nie są też zainstalowane żadne pakiety Yubico.
Polecenie

Kod:

dpkg -l | grep yubi

nic nie wyświetla.

Yubikey Authenticator nie jest zainstalowany – uruchamia się po rozpakowaniu.

Na Bookworm jest

Kod:

apt show  udev
Package: udev
Version: 252.31-1~deb12u1

Pozdrawiam.

Ostatnio edytowany przez zl23 (Wczoraj 08:10:23)

Offline

 

#5  Wczoraj 09:08:49

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka. Po czym chciałem dodać go do konta banku i mimo wielokrotnych prób nie wychodziło.nie miało znaczenia na jakim systemie probowałem. Telefon na infolinię. Potem pisemna reklamacja no i zrobili mi że działa.   Wygląda na to, że  ten mechanizm uwierzytelniania z banku nie  do końca dobrze działa i długo jeszcze będą go dopracowywać. A jaka masz wersję oprogramowania klucza 5.7 ? W najnowszych jest naprawiony błąd i chyba  zmieniony algorytm i podejrzewam że tutaj coś nie wspoldziala. Próbowałeś na innym systemie?

Offline

 

#6  Wczoraj 09:19:44

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

"Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka"

Ale wybacz, że dopytam.

System Windows, włożyłeś klucz do USB i Windows sam z siebie kapnął się, że nie ma kodu PIN dla FIDO na kluczu i kazał go nadać?
Czy może sam, w jakiś tam sposób, wymusiłeś nadanie PIN?

Pytam dlatego, że szeroka reklama kluczy U2F (nie tylko przez PKOBP) informuje, że jest to metoda uwierzytelniania z którą każdy, za przeroszeniem, analfabeta komputerowy sobie poradzi.

A jak zwykle diabeł tkwi w szczegółach.

Pozdrawiam.

Postscriptum
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz Yubikey 5NFC.
Po nadaniu kodu PIN nie ma problemu z kluczem Yubikey5, który został zarejestrowany na koncie PKOBP.
Zadziałało poprawnie.
Wszystkie próby przeprowadzono na aktualnym Debian Bookworm, zarówno z Chromium jak i Firefox.

Ostatnio edytowany przez zl23 (Wczoraj 09:24:07)

Offline

 

#7  Wczoraj 09:21:33

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Obejrzałem ileś materiałów  na YouTube i przeczytałem ileś artukułów I dzięki temu wiedziałem, że trzeba zabezpieczyć klucz PINem. Potem dopiero próbowałem go dodać do konta banku i nie wychodziło. A tak reklamowali usługę, która najwidoczniej nadal jest niedopracowana i nie działa jak należy.

Piszesz wcześniej "my" to ilu was jest?

Offline

 

#8  Wczoraj 09:28:42

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress: "Piszesz wcześniej "my" to ilu was jest?"

Na pytanie znajomego czy warto kupić Yubikey i zabezpieczyć nim konto w Banku odpowiedziałem "Tak".
Wyszła klapa.
Poczułem się współwinny i zacząłem rozgryzać temat.
Wydaje mi się, że go rozgryzłem.
Klucz działa.
Najważniejsze to PIN.

Pozdrawiam.

Offline

 

#9  Wczoraj 09:33:06

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

No ale bank powinien przeprowadzić akcję informacyjną, że takie coś należy zrobić, bo nie wszyscy są ekspertami w tej dziedzinie. A miało być  tak prosto i bez komplikacji. A tu aby coś zrobić to trzeba się nieźle nagimnastykowac. Widocznie ta cudowna usługa jest tylko dla 1% ludzi, którzy są ekspertami i się orientują. Bo dla 90% społeczeństwa nie,  bo nie sa zorientowani i nie są ekspertami i odpuszcza bo nie będzie im działać out-of -box

Sesesese

Offline

 

#10  Wczoraj 09:41:31

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Pozwól jeszcze na odrobinę ciekawości.

W jakim banku podpinałeś klucz Yubikey?

Offline

 

#11  Wczoraj 09:42:57

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

W tym w którym pracujesz ,🤪 pkobp.
Jedynie ING  miało już  wcześniej takie rozwiązanie w u nas w kraju przed pkobp

Offline

 

#12  Wczoraj 13:22:46

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Yampress

Małe sprostowanie.
1.
Nie jestem pracownikiem banku.
2.
To nie prawda, że ING jako pierwszy w Polsce wprowadził autoryzację kluczami U2F.
Pierwszym był Bank Spółdzielczy w Knurowie:
https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f

Pozdrawiam

PS
1.
Na stronie knurowskiego banku jest bardziej rozbudowana instrukcja podpinania klucza niż w PKOBP:
https://u2f.okbank.pl/
Są tam słowa: "Ustalamy numer pin do klucza, lub podajemy wcześniej zdefiniowany" – stąd wniosek, że knurowski serwer sprawdza czy na kluczu jest ustawiony PIN czy nie.
Jeżeli nie jest ustawiony, to z tego wynika, że poleca takowy PIN wpisać – czego nie czyni serwer banku PKOBP.
2. Ponoć w najbliższych dniach klucze U2F wprowadzić ma PeKaO SA – ciekawe co oni napiszą w instrukcji?

Ostatnio edytowany przez zl23 (Wczoraj 13:37:33)

Offline

 

#13  Wczoraj 18:53:06

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Teraz to już wszystkie banki będą to miały... Kwestia czasu. Prawo konkurencji - zdążyć przed innymi. Dlatego podejrzewam że nie wszystkie mechanizmy są do konca przetestowane i dopracowane. I to będzie proces, a ulepszanie i wyłapywanie błędów potrwa jeszcze jakiś czas zanim to stabilnie i doskonale będzie działać.

Ale to jest naprawdę super rozwiązanie. Nie trzeba SMS do uwierzytelniania. A jedna z metod jest ten klucz.... W powiązaniu  z dodaniem urządzenia i włączeniem  analizy zachowań  behawiolarnych daje naprawdę mocne narzędzie zabezpieczeń do konta. No i karty zdrapki zamiast SMS czy aplikacji. Mogliby token sprzętowy dawać jeszcze do autoryzacji transakcji

Offline

 

#14  Wczoraj 19:27:35

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

À propos pewnych mitów na powyższy temat.

1.
Nadal logujemy się poprzez login (nr klienta) i hasło – to oczywiste.
2.
Po zalogowaniu w PKOBP nadal wyskakuje okno dające wybór:
- dodaj urządzenie do zaufanych albo
- potwierdzaj kodem jednorazowym.
Jeżeli ustawisz tak przeglądarkę, że czyści wszystko po wyłączeniu (np. odpowiednie ustawienia, cache do /tmp, incognito) to dodawanie do zaufanych nic nie daje – nie zostaniesz rozpoznany i znów będziesz proszony o dodanie do zaufanych.
Pozostaje tylko 'potwierdź kodem jednorazowym' (ze zdrapki).
3.
Każda transakcja nadal jest potwierdzana kodem ze zdrapki.

Trzeba powiedzieć wyraźnie:
klucz U2F jest dodatkowym zabezpieczeniem!
Po prostu jeden schodek więcej.

Pozdrawiam.

Offline

 

#15  Wczoraj 20:35:08

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Zapomniałeś że jeszcze trzeba znać pin do klucza
Przeglądarkę można używać na maszynie wirtualnej tylko do logowania się do banku bez czyszczenia sesji - więc spokojnie można ją dodać do bezpiecznych urządzeń/ przegladarek. I nie trzeba ciągle zdrapywać zdrapek aby ja dodać do urządzeń bezpiecznych. A maszynę wirtualną zawsze można trzymać w zaszyfrowanym kontenerze.

Nie ma sensu popadać w tak wielka paranoje
]:>

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)