Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Pochwaliłem znajomemu zakup klucza Yubikey 5NFC jako dodatkowe zabezpieczenie przy logowaniu do konta PKO BP.
Klucz ładnie został dodany (można było zobaczyć, że jest aktywny).
Po wylogowaniu się i ponownym zalogowaniu (login, hasło) pokazał się co prawda monit o kluczu, ale wtykanie klucza do USB, jego dotykanie w niczym nie pomogło – konto zostało "zamurowane".
Po kilku bezskutecznych próbach (np. przekładanie klucza do innego gniazda USB) - telefon na infolinię PKOBP – klucz został wycofany, konto zostało odblokowane.
Miła pani z infolinii próbowała dociec przyczyny, ale nic z tego nie wyszło.
Instrukcja PKOBP to streszczając: "Dodaj klucz bezpieczeństwa i postępuj zgodnie ze wskazówkami na ekranie".
Czy ktoś z Szanownych czytelników tego forum, już spotkał się z takim problemem?
Sprzęt:
W miarę nowy komputer z Debian Bookworm 12.7 (aktualny), przeglądarka Chromium 130.0.6723.91 (uruchamiana jako Incognito).
Sprawne połączenie internetowe.
Klucz dopiero co kupiony w polecanym polskim sklepie (Official e-commerce resellers) na stronie https://www.yubico.com/.
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz "wyjęty z pudełka", nie robiono z nim żadnych eksperymentów, tylko sprawdzono wersję firmware.
Pozdrawiam.
Offline
Przekopałem się przez dosyć obszerną dokumentację na stronie Yubico i...
odkryłem Amerykę:
Najpierw dla FIDO należy nadać PIN.
Wtedy po dodaniu klucza do konta możemy logować się poprawnie.
Wg:
https://support.yubico.com/hc/en-us/articles/440283 … -YubiKey-PINs
Należy pamiętać, że każdy YubiKey nie zawiera domyślnego kodu PIN FIDO2 z fabryki.
dalej
Kody PIN PIV i OpenPGP są domyślnie ustawione na 123456, ale kod PIN FIDO2 nie jest ustawiony fabrycznie.
dalej
Jeśli dostawca usług nie określił ustawienia weryfikacji użytkownika, większość nowoczesnych przeglądarek domyślnie ustawi ją na Preferowaną (zgodnie ze specyfikacją WebAuthn https://www.w3.org/TR/webauthn/), co może skutkować wyświetleniem monitu o podanie kodu PIN.
dalej
Kod PIN FIDO2 można ustawić na kluczu YubiKey za pomocą narzędzia open source Yubico Authenticator (https://www.yubico.com/products/yubico-authenticator/)
Robimy to klikając:
Menu > Klucze dostępu (Passkeys), a następnie przechodząc do menu w prawym górnym rogu aplikacji > Ustaw kod PIN (Set PIN).
Ale zanim zaczniemy, to warto zweryfikować klucz czy jest oryginalny:
Wg:
https://support.yubico.com/hc/en-us/articles/360013 … ce-is-Genuine
Tzn.
Otwieramy stronę internetową https://www.yubico.com/genuine/ i podpinamy klucz.
Jeśli widzimy komunikat „Weryfikacja ukończona”, to klucz jest autentyczny.
I to byłoby na tyle.
Wszelkie uwagi są mile widziane.
Pozdrawiam.
Offline
Mi na testingu działa.
[yampress@debian ~]$ apt show udev
Package: udev
Version: 256.7-3
To chyba zależy od wersji udev
https://support.yubico.com/hc/en-us/articles/360013 … ey-with-Linux
Offline
@Yampress
Co rozumiesz przez pojęcie: "Mi na testingu działa".
Bo nam też działał.
Problem był taki:
Po rozpakowaniu Yubikey5 z fabrycznego opakowania, podpięciu do USB i dodaniu go do konta klienta PKOBP nie można się było ponownie zalogować.
Konto trzeba było odblokowywać za pomocą infolinii.
Ale po ustawieniu ręcznie na kluczu PIN (za pomocą Yubikey Authenticator) i dodaniu go do konta klienta PKOBP wszystko działa jak trzeba.
Czy słowa "Mi na testingu działa" oznaczają, że po wyjęciu klucza z fabrycznego opakowania, podpięcia do usb, w trakcie dodawania klucza do konta bankowego, w pewnym momencie otrzymałeś monit, np. "Teraz ustaw PIN"?
Bo ja czegoś takiego nie miałem.
Nie są też zainstalowane żadne pakiety Yubico.
Polecenie
dpkg -l | grep yubi
nic nie wyświetla.
Yubikey Authenticator nie jest zainstalowany – uruchamia się po rozpakowaniu.
Na Bookworm jest
apt show udev Package: udev Version: 252.31-1~deb12u1
Pozdrawiam.
Ostatnio edytowany przez zl23 (2024-11-15 08:10:23)
Offline
Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka. Po czym chciałem dodać go do konta banku i mimo wielokrotnych prób nie wychodziło.nie miało znaczenia na jakim systemie probowałem. Telefon na infolinię. Potem pisemna reklamacja no i zrobili mi że działa. Wygląda na to, że ten mechanizm uwierzytelniania z banku nie do końca dobrze działa i długo jeszcze będą go dopracowywać. A jaka masz wersję oprogramowania klucza 5.7 ? W najnowszych jest naprawiony błąd i chyba zmieniony algorytm i podejrzewam że tutaj coś nie wspoldziala. Próbowałeś na innym systemie?
Offline
@Yampress
"Na windowsie założyłem PIN na świeżo wyciągnięty klucz z pudełka"
Ale wybacz, że dopytam.
System Windows, włożyłeś klucz do USB i Windows sam z siebie kapnął się, że nie ma kodu PIN dla FIDO na kluczu i kazał go nadać?
Czy może sam, w jakiś tam sposób, wymusiłeś nadanie PIN?
Pytam dlatego, że szeroka reklama kluczy U2F (nie tylko przez PKOBP) informuje, że jest to metoda uwierzytelniania z którą każdy, za przeroszeniem, analfabeta komputerowy sobie poradzi.
A jak zwykle diabeł tkwi w szczegółach.
Pozdrawiam.
Postscriptum
Firmware klucza najnowszy: 5.7.1 (sprawdzony za pomocą Yubico Authenticator).
Klucz Yubikey 5NFC.
Po nadaniu kodu PIN nie ma problemu z kluczem Yubikey5, który został zarejestrowany na koncie PKOBP.
Zadziałało poprawnie.
Wszystkie próby przeprowadzono na aktualnym Debian Bookworm, zarówno z Chromium jak i Firefox.
Ostatnio edytowany przez zl23 (2024-11-15 09:24:07)
Offline
Obejrzałem ileś materiałów na YouTube i przeczytałem ileś artukułów I dzięki temu wiedziałem, że trzeba zabezpieczyć klucz PINem. Potem dopiero próbowałem go dodać do konta banku i nie wychodziło. A tak reklamowali usługę, która najwidoczniej nadal jest niedopracowana i nie działa jak należy.
Piszesz wcześniej "my" to ilu was jest?
Offline
@Yampress: "Piszesz wcześniej "my" to ilu was jest?"
Na pytanie znajomego czy warto kupić Yubikey i zabezpieczyć nim konto w Banku odpowiedziałem "Tak".
Wyszła klapa.
Poczułem się współwinny i zacząłem rozgryzać temat.
Wydaje mi się, że go rozgryzłem.
Klucz działa.
Najważniejsze to PIN.
Pozdrawiam.
Offline
No ale bank powinien przeprowadzić akcję informacyjną, że takie coś należy zrobić, bo nie wszyscy są ekspertami w tej dziedzinie. A miało być tak prosto i bez komplikacji. A tu aby coś zrobić to trzeba się nieźle nagimnastykowac. Widocznie ta cudowna usługa jest tylko dla 1% ludzi, którzy są ekspertami i się orientują. Bo dla 90% społeczeństwa nie, bo nie sa zorientowani i nie są ekspertami i odpuszcza bo nie będzie im działać out-of -box
Sesesese
Offline
@Yampress
Pozwól jeszcze na odrobinę ciekawości.
W jakim banku podpinałeś klucz Yubikey?
Offline
W tym w którym pracujesz ,🤪 pkobp.
Jedynie ING miało już wcześniej takie rozwiązanie w u nas w kraju przed pkobp
Offline
@Yampress
Małe sprostowanie.
1.
Nie jestem pracownikiem banku.
2.
To nie prawda, że ING jako pierwszy w Polsce wprowadził autoryzację kluczami U2F.
Pierwszym był Bank Spółdzielczy w Knurowie:
https://okbank.pl/aktualnosci/klucz-zabezpieczajacy-u2f
Pozdrawiam
PS
1.
Na stronie knurowskiego banku jest bardziej rozbudowana instrukcja podpinania klucza niż w PKOBP:
https://u2f.okbank.pl/
Są tam słowa: "Ustalamy numer pin do klucza, lub podajemy wcześniej zdefiniowany" – stąd wniosek, że knurowski serwer sprawdza czy na kluczu jest ustawiony PIN czy nie.
Jeżeli nie jest ustawiony, to z tego wynika, że poleca takowy PIN wpisać – czego nie czyni serwer banku PKOBP.
2. Ponoć w najbliższych dniach klucze U2F wprowadzić ma PeKaO SA – ciekawe co oni napiszą w instrukcji?
Ostatnio edytowany przez zl23 (2024-11-15 13:37:33)
Offline
Teraz to już wszystkie banki będą to miały... Kwestia czasu. Prawo konkurencji - zdążyć przed innymi. Dlatego podejrzewam że nie wszystkie mechanizmy są do konca przetestowane i dopracowane. I to będzie proces, a ulepszanie i wyłapywanie błędów potrwa jeszcze jakiś czas zanim to stabilnie i doskonale będzie działać.
Ale to jest naprawdę super rozwiązanie. Nie trzeba SMS do uwierzytelniania. A jedna z metod jest ten klucz.... W powiązaniu z dodaniem urządzenia i włączeniem analizy zachowań behawiolarnych daje naprawdę mocne narzędzie zabezpieczeń do konta. No i karty zdrapki zamiast SMS czy aplikacji. Mogliby token sprzętowy dawać jeszcze do autoryzacji transakcji
Offline
À propos pewnych mitów na powyższy temat.
1.
Nadal logujemy się poprzez login (nr klienta) i hasło – to oczywiste.
2.
Po zalogowaniu w PKOBP nadal wyskakuje okno dające wybór:
- dodaj urządzenie do zaufanych albo
- potwierdzaj kodem jednorazowym.
Jeżeli ustawisz tak przeglądarkę, że czyści wszystko po wyłączeniu (np. odpowiednie ustawienia, cache do /tmp, incognito) to dodawanie do zaufanych nic nie daje – nie zostaniesz rozpoznany i znów będziesz proszony o dodanie do zaufanych.
Pozostaje tylko 'potwierdź kodem jednorazowym' (ze zdrapki).
3.
Każda transakcja nadal jest potwierdzana kodem ze zdrapki.
Trzeba powiedzieć wyraźnie:
klucz U2F jest dodatkowym zabezpieczeniem!
Po prostu jeden schodek więcej.
Pozdrawiam.
Offline
Zapomniałeś że jeszcze trzeba znać pin do klucza
Przeglądarkę można używać na maszynie wirtualnej tylko do logowania się do banku bez czyszczenia sesji - więc spokojnie można ją dodać do bezpiecznych urządzeń/ przeglądarek. Można również katalog z ustawieniami przeglądarki trzymać w zaszyfrowanym kontenerze. .cache można zawsze zamontować w ramdysku... I nie trzeba ciągle zdrapywać zdrapek aby przeglądarkę dodać do urządzeń bezpiecznych.
Nie ma sensu popadać w tak wielka paranoje
]:>
Offline
Dziwna sprawa z tymi kluczami.
Zamówiono towar i wybrano płatność przez PayU.
Klucz Yubikey nie był w ogóle potrzebny – leżał sobie w szufladzie.
Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?
Zaczyna mnie to zastanawiać, chyba jutro pomarudzę na infolinii banku.
Pozdrawiam
Offline
Ja jak kupuje to nigdy nie wybieram przekierowania do banku z automatycznym wypełnianiem danych.
Wybieram klasyczny przelew, po czym ręcznie klasycznie się loguje i ręcznie wpisuje dane do przelewu. Kilka razy sprawdzam konto, które wstawiam
No to ciekawie się zapowiada....
]8>
Czyżby w pośpiechu wprowadzania usługi zapomnieli zaimplementować autoryzowanie logowania w mechanizmów przekierowania
Pisz reklamacje. Na piśmie to na piśmie, rozmowy w sumie są nagrywane, ale jak napiszesz reklamacje to pisemnie muszą odpowiedzieć.
Offline
Tak, prawda.
Klasyczny przelew (choć trwa to dłużej) sam zawsze wybierałem i doradzałem innym.
No ale teraz jest TEN KLUCZ!
On ma chronić konto.
PayU był kiedyś na jakiejś liście w PKOBP, że niby zaufany.
Dzisiaj nie mogę tego jakoś wyklikać.
No ale jakby był nie wiadomo jak zaufany to klucz powinien bronić konta.
Na razie klucz broni konta przed użytkownikiem, gdy ten loguje się do banku.
Sorry, ale tak to zaczynam odbierać.
Pozdrawiam.
Offline
Pisz reklamacje bo tak nie może być.
Brak profesjonalizmu. Bo kto wie czy są świadomi , że mogą mieć luke w tym mechanizmie. A wtedy dla własnego bezpieczeństwa trzeba im te dziury palcem pokazać aby naprawili . Wiesz ludzi coraz mniej do pracy i coraz mniej profesjonalnych i coraz mniej wysokiej klasy profesjonalistów.
Jak ja to nazywam " witaj w nowoczesnym świecie tandety. Szybciej. Więcej. Mocniej. Taniej"
Offline
zl23 napisał(-a):
Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?
Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku. U mnie nawet najmniejsza transakcja przechodzi weryfikację kodem sms (i czasami pinem od karty, pewnie zależnie od implementacji). Przejrzyj sobie te ustawienia.
Offline
Pavlo950 napisał(-a):
zl23 napisał(-a):
Tylko login, hasło i jeden kod ze zdrapki – forsa popłynęła.
Popłynęła tam gdzie miała, ale jednak...
Klucz miał bronić konta.
Wiec jak?Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku. U mnie nawet najmniejsza transakcja przechodzi weryfikację kodem sms (i czasami pinem od karty, pewnie zależnie od implementacji). Przejrzyj sobie te ustawienia.
A słyszał o klonowaniu karty SIM?
https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja
Dobrze chociaż że istnieje zastrzeżenie PESEL,
Co bardzo utrudnia takie podszywanie się gdy ktoś sklonuje Ci kartę SIM.
Także karta zdrapka i klucz i parę dodatkowych mechanizmów doskonale utrudnia dostanie się do twojego konta. Ewentualne grono podejrzanych zawęża się wtedy tylko do osób którzy przebywają w twoim domu, lub w jakiś " cudowny sposób" mogą dostać się do twojego domu . No ale wtedy kartę i klucz trzymamy oddzielnie ukryte
Ot to takie moje przemyślenia lamera
]:>
Ps. Do autoryzacji transakcji przydałby się token sprzętowy jako kolejny element zabezpieczajacy.
Offline
Najpierw konto miałem w BNP Paribas, zlikwidowali token z powodów "oszczędnościowych.
Przeniosłem konto do Santander. Przez jakiś czas też był token, też zlikwidowali.
Zwykły przelew, logowanie klasyczne, za to weryfikacja aplikacją mobilną z odciskiem palca. Uważam to za wystarczające.
Offline
Tylko w pkobp kiedyś mieli token sprzetowy. Tyle że za drogo to rozwiązanie ich kosztowało to znieśli, a później pojawiły się smartfony - więc zrobili aplikacje . Tylko że ja nie chcę mieć aplikacji banku w telefonie. A jak ktos nie ma smartfona? Wiec...
Offline
Pavlo950 napisał(-a):
Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...
Pablo950 – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.
Offline
archaiczne (nie cyfrowe) rozwiązania są najskuteczniejszymi metodami zabezpieczeń w dzisiejszych czasach.
Offline