43

Zabezpiecz konto na Facebooku kluczem USB i NFC

Dwustopniowa weryfikacja to w mojej ocenie niezbędne zabezpieczenie naszych kont internetowych. W grę wchodzi nasza prywatność i bezpieczeństwo danych - rozmów, zdjęć i innych plików. Warto więc przyjrzeć się nowości od Facebooka, który postanowił uczynić możliwym zastąpienie jednorazowych kodów fizycznymi kluczami bezpieczeństwa.

Zabezpieczenie konta na Facebooku polecam każdemu użytkownikowi tego portalu. Niektórzy, nie zdając sobie sprawy jak dużym źródłem wrażliwych informacji i powodem do kłopotów może być takie konto, lekceważąco wypowiadają się na temat moich zaleceń, ale mam nadzieję, że nie będą musieli doświadczyć jakichkolwiek konsekwencji z powodu włamania.

Dla osób ceniących sobie maksymalny stopień bezpieczeństwa (i korzystających na co dzień z fizycznych kluczy) ostatnia nowość od Facebooka powinna okazać się przydatna. Serwis zdecydował się wykorzystać standard U2F (Universal 2nd Factor), który posłuży do poświadczenia naszej tożsamości za pomocą fizycznych kluczy.

Jaką przewagę mają takie klucze nad kodami wysyłanymi w wiadomościach SMS lub generowanymi w specjalnych aplikacjach (Facebooka, Google czy Microsoftu)? Jesteśmy praktycznie odporni na phishing, gdyż zamiast ciągu cyfr w grę wchodzi klucz zapisany w pamięci jednego urządzenia. Poza tym, klucze U2F są kompatybilne również z innymi usługami, takimi jak Dropbox, GitHub oraz Google, natomiast sam nośnik nie zawiera historii użycia. Nie sposób nie wspomnieć o większym komforcie takiego rozwiązania – po wpisaniu hasła pozostaje nam jedynie wsunięcie klucza w port USB urządzenia lub…

…zbliżenie go do smartfona wyposażonego w moduł NFC, co Facebook umożliwia jako pierwsza z pośród najpopularniejszych platform. Jak na razie taka metoda logowania nie jest obsługiwana wewnątrz aplikacji Facebooka, więc zrobimy to tylko w mobilnej przeglądarce internetowej na Androidzie. Do działania wymagana jest także obecność najnowszej wersji aplikacji Google Authenticator.  Na chwilę obecną największą przeszkodą jest brak natywnego API pozwalającego zaimplementować rozwiązanie w aplikacjach.

Użytkownicy desktopowej odsłony Firefoksa nie będą zachwyceni, ponieważ do działania klucza wymagana jest najnowsza wersja Google Chrome lub Opery.

  • Marcin W.

    A ktoś podpowie, gdzie można taki kluczyk kupić?

    • Np na yubico.com

    • Camis
    • a

      Są tańsze ale w stylu yubico nano?

    • Dawid

      Tak, ja używam tego: https://www.amazon.co.uk/gp/aw/d/B01N8ZOPVC/ref=mp_s_a_1_1?ie=UTF8&qid=1485640021&sr=8-1&pi=AC_SX236_SY340_FMwebp_QL65&keywords=Feitian
      Tylko jedna uwaga, ten klucz obsługuje tylko U2F. Ale ma moduł NFC dzięki czemu działa też z telefonem. Facebooka nie mam więc nie sprawdzę ale używam z githubem, google. Wcześniej miałem w ogóle jakiś tani ale był bez NFC.

    • Marco

      Ten, który podajesz jest tak na oko w wystającej części z 10 razy większy niż Nano z yubicona.

    • Dawid

      OK, nie wiedziałem że chodzi ci o wymiary, a raczej o NFC i żeby był tańszy.

    • Wojciech

      A ja mam jeszcze kluczowe pytanie. Co się stanie jak zgubię/ukradnie mi ktoś ten klucz?? Jak się wtedy zaloguję?

    • Papaj

      Na FB nie mogłem włączyć samego klucza. Niezbędny był dodatkowy składnik w postaci kodów SMS albo generatora kodów na telefon.

    • Dawid

      Możesz skonfigurowac Google Authenticator, SMS na telefon z kodem, 10 awaryjnych kodów jednorazowych wygenerowanych i zapisanych w bezpiecznym miejscu. Weryfikacji 2 etapowej używam od samego początku czyli chyba od 2012 roku. Klucz USB to po prostu kolejny (b. wygodny) sposób weryfikacji użytkownika.

    • Alf/red/

      Firma zaleca kupno i podczepienie dwóch kluczy, jeden trzymasz „w sejfie” jako ratunkowy. Ha ha bardzo śmieszne.

    • gom1

      Amazon UK.

    • @marcin

      Na Amazon tego sporo jest

    • a

      Na amazonie nie ma rabatu. Na yubico dają bez problemu kilkanaście % (różne promocje).

    • Papaj

      @disqus_wLpialA9KH:disqus
      Ja mam dwa na sprzedaż. Oczywiście obydwa nowe, nieużywane. Tyle że moje klucze to YUBIKEY 4 – te bez NFC.
      Kupiłem takie do zabezpieczenia firmy i dwie sztuki mi zostały. Dlaczego bez NFC? Ze względu na mocniejsze zabezpieczenia. Jeśli jesteś zainteresowany to chętnie wystawię na allegro.

    • Papaj

      @disqus_wLpialA9KH:disqus a tu masz porównanie wersji
      https://www.yubico.com/products/yubikey-hardware/

  • mygumas

    Pytanie, za każdym razem trzeba wkładać klucz jak się logujemy czy np można jakoś ustawić bezpieczne urządzenia które będą zapamiętane i klucza nie trzeba wpinać?

  • mik

    średnio z tą prywatnością, skoro sami dajemy sprzedajnym korporacją numer telefonu, bo „bezpieczeństwo”.

    • gom1

      Na takie okazje mam osobnego prepaida.

    • czarny

      zarejestrowałeś go już na swoje nazwisko i pesel?

    • gom1

      Na swoje nie.

    • mik

      domyślam się, ze ten sam numer masz przypisany do wszystkich kont, w których masz dwustopniową weryfikację. już nie mówiąc o imieniu i nazwisku czy podpiętej karcie płatniczej.

    • gom1

      Z serwisów, które wymagają dwuskładnikowego uwierzytelniania via SMS, prawdziwe dane mają tylko banki. Wszyscy inni dostali fejkowe, a kart nie podpinam. Prawdziwego imienia i nazwiska nie podaję. Nawet płeć też wybieram dowolnie ;-)

    • Filodendron

      skoro sami dajemy sprzedajnym korporacją

  • Emiel Rohelec

    Ciekawe jaka jest gwarancja bezpieczesntwa. Watpie zeby rudy podal 100% ;)

  • Fb i bezpieczeństwo dobry żart

    • Zen_Xen_ni

      Bezpieczeństwo przecież jest dla nich priorytetem. Przecież nie chcą konkurencji na rynku wykradzionych danych. Nawet złodzieje i politycy bronią się przed kradzieżą.

  • Member Berries

    A mogę wykorzystywać taki klucz USB zamiast haseł? tzn. wpinam takie coś do komputera i nie muszę np: podawać hasła, logując się np: do banku? Albo lepiej? Wykorzystywać dwa klucze, tzn. że oba muszą być wpięte, żeby logowanie działało…

  • Sławek

    Nie mam facebooka

  • Xyzzz

    Co w przypadku uszkodzenia albo zagubienia takiego klucza? Jak się zalogować do konta i wyłączyć to zabezpieczenie?

  • Ciekawe czy pójdzie na WinAuth ;) Apka obsługuje różne konta.. jak Steam, Microsoft, czy Google… Skoro to używa GoogleAuth, to pewnie tak.

  • Papaj

    Jeśli ktoś jest zainteresowany zakupem to mogę wystawić na allegro. Mam na sprzedaż dwa nowe, nieużywane klucze, kupione w grudniu 2016. Kupione zostały wersje YUBIKEY 4 z najmocniejszym szyfrowaniem. Teraz są zbędne bo w firmie każdy już ma swój klucz.
    A co do wersji z NFC – osobiście posiadam YUBIKEY NEO z NFC i jeszcze ani raz z niego nie skorzystałem bo żywcem nie ma gdzie i jest to niewygodne, poza tym klucz trzeba wtedy mieć cały czas przy sobie przez co powstaje ryzyko zgubienia czy uszkodzenia, nie mówiąc o kradzieży.
    https://uploads.disquscdn.com/images/6a99a0d48dbb3d7e0ae1ad68e725c5957fe875f36492d6b45a4a41d4547ca574.jpg

    • Błażej Kuta

      @disqus_4OezQxEd2T:disqus chetnie nabede ;-) jak sie skomunikujemy ?

    • Papaj

      O kurcze, tutaj nie ma priv :<
      Masz jakiś pomysł? Może konto na FB? Podałbym Ci na priv nr telefonu to byśmy dogadali szczegóły.
      https://www.facebook.com/profile.php?id=100011364429506

    • Błażej Kuta

      Twittnij na @TheBadReappeR

    • Papaj

      W wolnej chwili się odezwę

    • Papaj

      I jak? Robimy coś w temacie? :)
      Jeśli się rozmyśliłeś to żaden problem :)

    • Karol Olszewski

      Jak masz daj znac (z szyfrem dasz rade) byfmnx@tzk.pb.hx

  • stefan

    Jest tańsza, szybsza i wygodniejsza opcja:

    DELETE FACEBOOK ACCOUNT.

    • Papaj

      Skasuj też gmaila, droppoxa itd. A najlepiej wypiąć wtyczkę od neta, wyrzucić telefon i wyjechać na wieś.

    • Jirek

      Pomyslales po co fejs wysyla klucze?

      Zeby dostac twoj adre domowy idioto. Ktoregos dnia agenci Mosadu zapukaja do twoich drzwi na przesluchanie.

  • Piotr

    Yubikey można kupić u oficjalnego, autoryzowanego partnera InBase, który poza sprzedażą do firm uruchomił też sprzedaż detaliczną na https://inbase.pl/sklep/ – osobisty odbiór w Warszawie „od ręki” też jest możliwy. Pewnie możecie ściągać kilak złoty taniej z zagranicy ale tutaj chociaż macie wsparcie, pomoc i gwarancję.