abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 19:00 | Zajímavý software

Google na svém blogu věnovaném open source představil Atheris Python Fuzzer a jeho zdrojové kódy zveřejnil na GitHubu. Jedná se o nástroj pro hledání chyb v kódu pro Python pomocí fuzz testování (fuzzing).

Ladislav Hagara | Komentářů: 0
včera 17:55 | Zajímavý článek

GitHub publikoval The State of the Octoverse 2020 aneb přehled různých statistik za letošní rok. Například nejpoužívanějšími programovacími jazyky jsou stejně jako loni JavaScript, Python a Java.

Ladislav Hagara | Komentářů: 0
včera 14:44 | IT novinky

Programovací jazyk JavaScript dnes slaví 25 let od svého oficiálního představení 4. prosince 1995.

Ladislav Hagara | Komentářů: 4
včera 14:22 | Nová verze

Raspberry Pi OS (původně Raspbian), oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2020-12-02. Představení novinek v dnešním příspěvku na blogu Raspberry Pi. Detaily v poznámkách k vydání. Zdůraznit lze přechod na PulseAudio.

Ladislav Hagara | Komentářů: 0
včera 08:00 | Zajímavý software

Beaker Browser (Wikipedie) byl vydán ve verzi 1.0. Jedná se o experimentální peer-to-peer webový prohlížeč vycházející z Chromia. Uživatel jej může používat také k publikování svých webových stránek (Hyperdrive) pomocí protokolu Hypercore (hyper://). Nepotřebuje tak klasický webový server.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Byla vydána nová verze 20.2 linuxové distribuce Manjaro (Wikipedie). Její kódové jméno je Nibia. Ke stažení je v edicích GNOME, KDE a XFCE. Přehled novinek v oficiálním oznámení.

Ladislav Hagara | Komentářů: 3
3.12. 21:55 | Zajímavý článek

Konsorcium Linux Foundation zveřejnilo čtyřiaosmdesátistránkovou Výroční zprávu za rok 2020 (pdf).

Ladislav Hagara | Komentářů: 4
3.12. 13:44 | Komunita

Hector "marcan" Martin – hacker, který jako první zveřejnil zdrojové kódy ovladače pro Kinect pod svobodnou licencí nebo dostal Linux a Steam na PlayStation 4 – se bude díky podpoře na Patreonu od ledna naplno věnovat Linuxu na Apple Siliconu aneb Linuxu na počítačích Apple s novým ARM procesorem M1.

Ladislav Hagara | Komentářů: 53
3.12. 07:00 | Zajímavý článek

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rozšířil své podpůrné materiály týkající se kybernetické bezpečnosti o dokument "Ransomware: Doporučení pro mitigaci, prevenci a reakci" (pdf).

Ladislav Hagara | Komentářů: 4
2.12. 20:22 | Nová verze

Příspěvek na blogu webové aplikace pro spolupráci na zdrojových kódech pomocí gitu Gitea (Wikipedie) představuje novinky a ukazuje náhledy nové major verze 1.13.0 této v programovacím jazyce Go naprogramované aplikace.

Ladislav Hagara | Komentářů: 0
Používáte některý systém pro správu verzí (VCS) jiný než git?
 (7%)
 (14%)
 (16%)
 (12%)
 (55%)
 (19%)
Celkem 58 hlasů
 Komentářů: 2, poslední dnes 00:12
Rozcestník

Yubico

18.5. 21:18 | Přečteno: 1996× | Linux | poslední úprava: 18.5. 21:19

Pořídil jsem autentizační klíče Yubico, jak jsem psal v deníčku. Tak popíšu první dojmy. Až dodatečně jsem našel na tomto serveru články o minulé generaci těchto tokenů (část 1, část 2 a část 3), tak se ani nebudu snažit popisovat technickou podstatu.

Rozbalení a první kroky

Klíče přišly bez jakékoliv dokumentace, jenom na druhé straně byla adresa yubico.com/start, kam se můžete podívat i sami. Pokud jde o tvar, tokeny jsou jeden jako druhý (kromě nano), jenom barva se liší. Levnější security key je modrý, dražší Yubikey 5 je pak černý. Na rubové straně je vylisovaný nápis "Powered by Yubico". Yubikey pak ještě mají na rubové straně sériové číslo a QR kód, což je pravděpodobně totéž číslo (telefon mi ho nepřečetl). Obojí je na rubu konektoru USB, jinak je rubová strana prázdná a dá se na ni něco napsat nebo nalepit, aby člověk poznal svůj token. Modré tokeny kupodivu sériové číslo na rubu nemají.

Na focení jsem dal pro srovnání minci 10 Kč.

Fotky všech klíčů

Půjdeme na https://www.yubico.com/products/services-software/download/ a podíváme se, co se dá stáhnout. Je tam ke stažení 7 kousků. Stáhl jsem si yubikey-manager-qt-1.1.4-win64.exe (přiznávám, jsem zrovna na desktopu s Windows, na notebooku se mi špatně píše) a nainstaloval. Podle nainstalovaných souborů soudím, že to je napsané v Pythonu + QT. Po instalaci jsem nechal program zrovna spustit.

Program mě vyzval "Insert your Yubikey". Detekoval správně Security Key NFC (to je ten nejlevnější token) a vypsal verzi Firmware 5.1.2 a sériové číslo (na screenshotu smazané).

V programu není moc kam klikat, tak jsem jenom zjistil, že můžu nastavit aplikaci FIDO2, což znamená, že můžu nastavit PIN, nebo to celé resetovat. Dál jsem zjistil, že můžu zakázat FIDO2 a/nebo FIDO U2F jak na USB, tak na NFC (nezávisle na sobě). Zatím docela slabota.

Tak zkusíme Yubikey 5 NFC. Při zasouvání jsem sáhl na dotykovou plošku, což systém nebo aplikaci tak zmátlo, že se neobjevilo nic. Po opětovném zasunutí to je v pořádku.

Teď vidím, že můžu nastavovat aplikace OTP, FIDO2 a PIV. A opět můžu zakázat cokoliv na kterémkoliv (ze dvou) rozhraní. Nakonec tu máme YubiKey 5 Nano. Aplikace má stejné jako Yubikey 5 NFC, ale má jenom rozhraní USB. Manipulace je trošku horší, přeci jenom je maličký a nedá se zasunout bez dotyku na příslušnou plošku.

Teď to stejné v Debianu

V článcích odkazovaných výše píše Bystroušák, že v repositáři jsou zastaralé balíčky. Má pravdu, přesto je jenom cvičně zkusíme nainstalovat.

Mám Debian 9.1, takže starou verzi. V této staré verzi jsou některé balíčky v backports. Takže si přidáme backports podle návodu na https://backports.debian.org/Instructions/. Code name pro 9.* je stretch.

Balíček Yubikey Manager nainstalujeme příkazem apt-get -t stretch-backports install yubikey-manager. Tato verze je ovšem command-lajnová.

V repositáři jsou i 2 aplikace, které mají GUI. První je yubikey-personalization-gui, což je, jak už víme, nevyvíjená verze. Vypadá to tak nějak odporně. Dále je k nalezení yubikey-neo-manager, což je nejspíš pro starší klíče, protože fungovala nějak divně.

Yubico má na stránkách balíčky pro linux, kde asi bude stejná aplikace jako pro Windows. Je tam AppImage a něco pro Ubuntu přes PPA. Až si nainstaluji nejnovější Debian, tak to vyzkouším.

Použití klíče pro login do Googlu

Na všech svých počítačích používám Firefox.

Nejdřív jsem zkusil klíče zaregistrovat (na Windows). Registrace (u Googlu) se trošku zadrhla u prvního klíče, protože varianta Security Key nebyla vidět, tak jsem omylem zvolil Backup Codes. Po rozkliknutí dalších možností už to šlo hladce. U druhého klíče se kupodivu volba Security Key objevila hned.

Po Logout/Login jsem se zkusil nalogovat a chtělo to po mně druhý faktor, tak jsem ťuknul do plošky a bylo to.

Na Linuxu jsem zkusil totéž a 2faktorová autentizace proběhla podle očekávání. Jenom text v okně je trošku jiný.

Závěr

Od doby napsání článků odkazovaných nahoře máme novou generaci YubiKey, která navíc umí NFC. Při použití NFC stačí token přiblížit, nemusí se dotýkat plošky (zkoušel jsem na telefonu).

Cena poskočila ze $40 na $45 (verze nano stojí $50). Cena v českém e-shopu tak nějak odpovídá, když uvážím, že cena v dolarech je nejspíš bez DPH.

Řekl bych, že některé věci jsem moc nedomyslel, konkrétně: Mám z Yubico takový Applovský dojem. Provedení pěkné, webová prezentace bombastická a některé věci fungují hned po rozbalení. Ale když člověk chce něco víc, tak musí hledat po různých diskuzních fórech. Asi jsem totální ignorant, ale návod k aplikacím jsem na stránkách výrobce nenašel a nějaké praktické informace k Yubikey jsem našel zakutané hodně hluboko.

Diskuse

Mám se snažit o technický popis? Ověřit práci s PGP, zkusit nějaké OTP, případně něco s PIV?

Diskutujte si o čem chcete, jenom Amiga nesmí počítat slova a/nebo znaky.        

Hodnocení: 100 %

        špatnédobré        

Obrázky

Yubico, obrázek 1 Yubico, obrázek 2 Yubico, obrázek 3 Yubico, obrázek 4

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

18.5. 21:45 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Yubico
Wow, pekny popis, moc dekuji. Libila by se mi demonstrace pouziti s pgp a pripadne ssh.
18.5. 23:03 pavell
Rozbalit Rozbalit vše Re: Yubico
Mám YubiKey 5 NFC, mám ho na klíčích, ale popravdě nevím, co s ním, resp. jsem líný hledat po fórech, trápit se proč a jak to (ne)funguje.

Vlastně ani nevím, k čemu bych to využil - všude, kde se přihlašuji, tak buď mi chodí SMS kódy (banky, pojišťovna, eBay, eIdentita), nebo mám v mobilu potvrzovací aplikaci (google, MojeID).

Pro využití v SSH je potřeba nejnovější SSH ( https://www.root.cz/clanky/bezpecne-prihlasovani-na-ssh-s-hardwarovym-u2f-tokenem/ ), což je absolutně nereálné mít tam, kde bych to potřeboval (např. Mikrotiky).

Takže to vypadá, že mám jen pěkný přívěšek na klíče, který zastará dřív, než ho vůbec využiju.
19.5. 09:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico
Pro využití v SSH je potřeba nejnovější SSH (…)

To se ale týká jen toho, když budete chtít používat SSH s U2F. Pokud nemáte klíč jen pro U2F (a případně FIDO2), má spíš smysl používat pro SSH autentizační openpgp klíč uložený v tokenu, viz např. tady.

Vlastně ani nevím, k čemu bych to využil - všude, kde se přihlašuji, tak buď mi chodí SMS kódy (banky, pojišťovna, eBay, eIdentita), nebo mám v mobilu potvrzovací aplikaci (google, MojeID).

Oproti SMS je token rozhodně praktičtější, ale člověk je samozřejmě odkázán na to, aby tuto variantu web podporoval. Smartphone aplikace má smysl pro toho, kdo je zvyklý tak jako tak mít smartphone permanentně online.

V každém případě je ale pro mne podpora U2F nebo FIDO2 spíš vedlejší funkce, mnohem zajímavější je použití pro autentizaci, podpis a (de)šifrování s openpgp klíčem, ať už s gpg nebo ssh.

19.5. 15:40 ET
Rozbalit Rozbalit vše Re: Yubico
Nekolik mesicu pouzivam Yubi 5 NFC a mam na nem cert do VPN (chraneny PINem) a zde nekolik mych poznatku k pouzivani:

* klic/csr jsem generoval na yubi, ale zatim neumeji RSA klice > 2048 (umi nejaky EC* alg.)

* pri importu certifikatu do yubi se zobrazi ve slotu vzdy jen posledni naimportovany cert, takze pak neni videt, co vsechno je importovane (CA chain jsem importoval jako posledni, takze vidim ve slotu jen "korenac", zadne info o priv. klici)

* na Win (nevim jak v 10) neni nativne driver, takze je potreba instalovat driver rucne...

* na nekterych USB portech mi Yubi nefunguje, takze je obcas potreba najit spravny USB port (USB 3.++?)

* GUI appka na administraci Yubi je pekelna, obcas zasekava, nebo nezobrazi nic, lajna je trochu lepsi...

Po rozbehnuti uz vse jede OK nekolik mesicu a az bude cas, zkusim i SSH klice, ale zatim jsem zkousel jen z widli. Je tam par failu, ale za me OK.
20.5. 17:55 hz
Rozbalit Rozbalit vše Re: Yubico
Mam 5 NFC vic nez rok a denne to pouzivam jako ssh klic (pres gnupg klic ulozeny v tokenu), pres gnupg tim podepisuju commity, par sluzeb ma i FIDO takze tam je to jako druhy faktor a zbytek sluzeb casto podporuje HOTP (google authenticator), takze tam mam v mobilu tu appku od yubika. Takze i to potvrzovani od googlu se tim da nahradit, kdyby nic jinyho ;)
Bystroushaak avatar 19.5. 14:19 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Kdysi jsem tu publikoval: Yubikey. Co to je a co to umí (1), možná by tě to mohlo zajímat.
Bystroushaak avatar 19.5. 14:22 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Teda není moc vidět, že redakce to tenkrát rozdělila na tři díly:
19.5. 14:37 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Yubico
Chtělo by to občas číst a ne všude bezmyšlenkovitě lepit selfpromo ;-)
19.5. 22:32 Ondrej Santiago Zajicek
Rozbalit Rozbalit vše Re: Yubico
Tak sem po nejake dobe zavitam, a co nevidim - falesny Ondrej 'SanTiago' Zajicek.
19.5. 23:23 Ondrej 'Santiago Zajicek
Rozbalit Rozbalit vše Re: Yubico
Tak sem po nejake dobe zavitam, a co nevidim - 2 lide s mym jmenem.
20.5. 07:28 Ondrej 'Santiago Zajicek
Rozbalit Rozbalit vše Re: Yubico
Kdyby jen dva :-(
21.5. 12:41 Marek
Rozbalit Rozbalit vše Re: Yubico
Nutno dodat, že skutečně je potřeba přidat PPA; balíky sice jsou v distribuci, ale staré a nový Yubikey 4 nevidí, za což může stará verze libyubikey0.
Nemuze byt zkompromitovane PPA?
19.5. 14:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico
Řekl bych že zajímalo, když to zmínil hned v prvním odstavci. :-)
Bystroushaak avatar 19.5. 23:37 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Ah, ok, to jsem přehlédl, pardon.
19.5. 15:39 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Yubico
Taky mam nějakou dobu přívěšek a vysírá mě, jak málo webů/služeb má pro to podporu. Třeba u internetovýho bankovnictví bych to ocenil, ale zřejmě mam smůlu.
Your rice wet, you fucked up.
19.5. 23:19 alf
Rozbalit Rozbalit vše Re: Yubico
Sorry jako.. :-)
Jinak nechápu, proč to potřebuješ třeba u eshopu... Dvaceti znakové heslo ti pro pocit bezpečí nestačí? Jestli si tam ukládáš číslo kreditky, tak ti nějakej HW token fakt nepomůže, protože hlavní riziko je, že jim to někdo naboří.
20.5. 00:48 afl
Rozbalit Rozbalit vše Re: Yubico
Ah, pardon, překoukl jsem se. Oni by prostě mohli rozdávat HW tokeny generující časově omezený hesla. Vyrábí se technologie, které stojí pár korun, a zvedlo by to bezpečnost všech.
20.5. 01:29 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Yubico
Přesně. Ptal jsem se na to kdysi podpory u Fio banky, a odpověď byla, že podporu U2F tokenů neplánují. Přitom to je paradoxně poslední služba, kde musím používat sms jako druhý autentizační faktor.
I think warning here is a bug. There is no point in being so cool in a cold world.
20.5. 08:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

Je to paradox. Když u nás internet banking začínal, bylo použití šifrovací/autentizační karty často nabízeno, někde i jako jediná možnost (aspoň pro citlivější transakce jako platební příkaz). A to přesto, že tehdy to v praxi znamenalo, že banka musela klientovi prodat/pronajmout kartu i se čtečkou a fungovalo to na jednom OS v jednom prohlížeči s jednou verzí Javy (v horším případě přes ActiveX).

Dnes máme autentizační tokeny relativně dostupné, máme otevřené a přenositelné standardy jak pro komunikaci se serverem, tak pro komunikaci s tokenem. Přesto tuhle možnost zavrhly i banky, které ji dříve nabízely, a všichni se omezují na SMS a smartphone aplikace. A navíc ještě některé banky přesvědčují zákazníky k používání smartphone aplikace jako náhrady internet bankingu, přestože se tam o dvoufaktorové autentizaci dá mluvit jen s hodně velkou dávkou fantazie (ale PSD2 to splňuje, tak co řešit, že).

20.5. 08:42 -
Rozbalit Rozbalit vše Re: Yubico
Protože málokdo chce u sebe nosit nějaký nesmyslný jednoúčelový bazmek, zatímco telefon mají všichni. I platební karty jsou nahrazované smartphonem a peněženku nenosím skoro 4 roky. Mám jen telefon a nůž, jiné krámy po kapsách tahat nepotřebuji.
20.5. 08:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

Neříkám, že to má být jediný způsob, ale mohla by to být jedna z možností.

zatímco telefon mají všichni

Ani mobil obecně, natož smartphone. A ne každý, kdo ho má, mu věří dost na to, aby mu svěřil zabezpečení finančních transakcí.

20.5. 10:13 -
Rozbalit Rozbalit vše Re: Yubico
Tak tedy dobře, mobil schopný přijímat SMS má 99% obyvatel. 99.9% těch, které lze považovat za příčetné a sociálně integrované.
20.5. 10:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

Prostě klasická logika "Já to používat nepotřebuju, takže to nemůže potřebovat nikdo."

SMS nejsou ani praktické ani bezpečné a navíc mají svá omezení - jsou např. země, kde SMS prostě nedostanu, protože tamní síť není kompatibilní s naší.

21.5. 10:52 -
Rozbalit Rozbalit vše Re: Yubico
To je prostě trh, pokud něco potřebuje jen pár nelukrativnich exotů...
21.5. 11:21 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Yubico
Prosímtě, běž radši přepisovat náhodný stringy z esemesk do počítače, když tě to tak baví, a netroll tady, kthx...
Your rice wet, you fucked up.
21.5. 13:09 -
Rozbalit Rozbalit vše Re: Yubico
Já tady trollit o nesmyslném bazmeku nezačal. Zkus před těmi autistickými výlevy vždy nějaký reality check.
22.5. 08:57 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Yubico
O tom bazmeku je ten blog, to je tady téma. Pokud tě to nezajímá nebo to považuješ za zbytečnost, tak běž jinam.

Chápu, že seš asi brutálně triggered tím, že někdo má podle tebe zbytečně autistický standard bezpečnosti, ale zkus to řešit jinak.

PS. Jeden z důvodů, proč ten bazmeg mam, je, že jeho použití vyžadují změstnavatelé pro práci s některými jejich daty.
Your rice wet, you fucked up.
Bystroushaak avatar 20.5. 12:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Tak tedy dobře, mobil schopný přijímat SMS má 99% obyvatel. 99.9% těch, které lze považovat za příčetné a sociálně integrované.
GSM Cracking: SMS w/ Kraken – Software Defined Radio Series #16

https://github.com/J4r3tt/osomcom_sms_decode
21.5. 10:53 -
Rozbalit Rozbalit vše Re: Yubico
Píšu si tě mezi paranoiky.
Bystroushaak avatar 21.5. 13:20 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Někdy si nech udělat od Jendy tour brmlabem, třeba ti to ukáže na živo.
21.5. 13:35 -
Rozbalit Rozbalit vše Re: Yubico
A co z toho? Reálně je to méně pravděpodobné než sežrání tygrem ve Stromovce. Ano, i to se může stát, nedaleko je zoo. Ale pušku si kvůli tomu do Stromovky neberu.
21.5. 14:12 roboteksihonemyl
Rozbalit Rozbalit vše Re: Yubico
bavíš se o někom kdo si jako největší retard stříka dezinfekci na potraviny kvůli koronaviru, měl jsi ho mít na seznamu dávno.
Bystroushaak avatar 21.5. 22:08 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Reálně je to méně pravděpodobné než sežrání tygrem ve Stromovce. Ano, i to se může stát, nedaleko je zoo. Ale pušku si kvůli tomu do Stromovky neberu.
To zní velmi sofistikovaně a hustě, dokud si člověk neuvědomí, že používáš slovo „pravděpodobnost“ bez jakéhokoliv použití pravděpodobnosti samotné. Je to pro tebe řečnický obrat a nikoliv nástroj na dělání rozhodnutí.

Ona teda celá ta analogie úplně zcestná, kde si prvně definuješ tygra a pak ho vyvracíš a tím si jako dokazuješ, že technologie SMS, o které očividně vůbec moc nevíš, má nějaké vlastnosti. Přitom tvoje ignorance a neschopnost jí nedělají bezpečnější, pouze vedou ve falešný pocit bezpečí.
21.5. 22:43 _
Rozbalit Rozbalit vše Re: Yubico
Jsi prostě paranoik. Že se takové věci v reálu nedějí tě prostě nezajímá.
21.5. 23:43 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Yubico
Že se takové věci v reálu nedějí tě prostě nezajímá.
Pravda, v reálu totiž útočníkům stačí mnohem snadnější typy útoků, jako např. phishing kombinovaný s malwarem.
I think warning here is a bug. There is no point in being so cool in a cold world.
22.5. 10:05 -
Rozbalit Rozbalit vše Re: Yubico
Nebo sociální inženýrství. A na obranu proti těmto věcem ti stačí běžný mobil a mozek, bazmek netřeba.
22.5. 17:37 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Yubico
A na obranu proti těmto věcem ti stačí běžný mobil a mozek, bazmek netřeba.
Jo, a proto banky neustále vydávají upozornění ve stylu: Používat sms jako druhý autentizační faktor je dost nešťastné nejen kvůli útokům na gsm, útokům na operátora a přenesení čísla, ale taky protože mobil lidi používají k mnoha věcem a nejsnáze se útočí přímo na něj.

Banky to pak řeší radami jako::
Pokud vám na telefon chodí zprávy z banky s SMS kódem, nepovolujte žádné aplikaci přístup k SMS.
Což pochybuju, že většina lidí reálně dodržuje. Případně si vytváří vlastní autentizační mobilní aplikace. A to ještě ignoruju problém, že spousta lidí na mobilu má dlouhodobě děravý a neaktualizovatelný systém.
I think warning here is a bug. There is no point in being so cool in a cold world.
Bystroushaak avatar 22.5. 10:35 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubico
Jsi prostě paranoik.
Slovo paranoik v kontextu (informační) bezpečnosti nemá takové negativní konotace, jak si očividně myslíš.
Že se takové věci v reálu nedějí tě prostě nezajímá.
Já si myslím že víš kulové o tom co se v reálu děje a neděje. Zatím jsi rozhodně nedokázal opak.
22.5. 11:37 -
Rozbalit Rozbalit vše Re: Yubico
Přesně tohle slychávám od paranoidních pacientů. Často mají neprůstřelnou logiku. A rozhodně jim nic nejde vyvrátit argumenty. Takže pokračuj, dokud se to týká tvého mobilu, nikoho tím neohrožuješ.
22.5. 12:34 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Yubico
:-D

A for effort.
Your rice wet, you fucked up.
21.5. 22:50 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico
To je jako rychlostí na dálnici: kdo jede rychleji než já, je nebezpečný šílenec, pirát a (sebe)vrah, kdo jede pomaleji, je neschopný trouba, který tam nemá co dělat. Tady je to podobné: kdo je opatrnější než já, je blázen a paranoik, kdo je opatrný méně, je nezodpovědný hazardér. :-)
To je dost přesné
22.5. 10:03 _
Rozbalit Rozbalit vše Re: Yubico
Ano, zatímco většina lidí jede 130, pár magorů 250, tak Bystrousaak s Kubeckem 50.
22.5. 11:21 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico
Podstata mého komentáře byla v tom, že téměř každý má představu, že "jede 130" (tj. že jeho úroveň je tak akorát). Ale ne každý si dokáže uvědomit, že když má někdo jiný "svých 130" jinde, neznamená to automaticky, že je úplně mimo a vůbec tomu nerozumí. Třeba se jen pohybuje v jiném prostředí, má jiné informace a riziko v případě kompromitace je pro něj větší (nebo naopak menší).
22.5. 11:34 -
Rozbalit Rozbalit vše Re: Yubico
Jenže 130 je jen jedna.
22.5. 11:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

Představa, že "tak akorát" je vždy, všude a za kterýchkoli okolností přesně tolik, kolik je povoleno značkami, je velmi nebezpečný blud. Jsou situace, kdy není na 150 km/h naprosto nic nebezpečného a stejně tak jsou situace, kdy je i 80 km/h na dálnici za hranicí přijatelného rizika.

S bezpečností je to podobné. Jiné nároky na zabezpečení svého klíče bude mít člověk, který ho používá jen tak občas pro zábavu, jiné maintainer významného softwarového projektu.

20.5. 10:18 -
Rozbalit Rozbalit vše Re: Yubico
A statistiku, kolik lidí trpí technologickou paranoiou, neznám. Znám dost případů, kdy lidé přišli o peníze svou chybou (špatné heslo, pin napsaný na kartě, sociální inženýrství apod.) ale ani z doslechu (mezi lidmi, ne co se někde píše na netu) neznám jediný případ, kdy by a ztrátu peněz z účtu mohl smartphone jako takový.
20.5. 12:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Yubico
To je jednoduché., Pro každou takovou možnost si spočítejte:
náklady na vývoj a provoz takové možnosti : počet uživatelů
Podle této hodnoty si banka jednotlivé možnosti setřídí a někde v tom seznamu udělá čáru – co je nad čarou, to se jí vyplatí a implementuje to, co je pod čarou, to se nevyplatí.
20.5. 15:08 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Yubico
Jo, bohužel to tak je. Blbý je, že z toho pak je feedback loop, tzn. (lidi to nepoužívaj) ⇒ (banky to neimplementujou) ⇒ (lidi to nepoužívaj) ...
Your rice wet, you fucked up.
20.5. 15:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

Navíc to není jen ano/ne, zájem uživatelů hodně ovlivní i to, jak banka (nebo obecně poskytovatel služby) danou funkci propaguje, jak moc ji uživatelům zpříjemní nebo naopak znepříjemní atd. Takže to rozhodně není tak, že by byli jen trpným pozorovatelem, tu poptávku do značné míry i sami ovlivňují.

Názorně je to třeba vidět na neustálých průzkumech na téma "jak si Češi oblíbili (bezpinové) bezkontaktní platby". Ještě že se aspoň nepodařilo pod záminkou koronaviru protlačit to zvýšení univerzálního limitu.

21.5. 10:57 Petr
Rozbalit Rozbalit vše Re: Yubico
Jo není nad to stát ve frontě za kokotem, který musí zdržovat kontaktní platbou za jednu mrkev a indulonu.
Josef Kufner avatar 20.5. 16:05 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Yubico
Ještě je druhá cesta, kdy si banka spočítá, kolik by ušetřila, kdyby to lidi používali. Pokud to vyjde dobře, tak to banka lidem vnutí.
Hello world ! Segmentation fault (core dumped)
20.5. 16:29 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Yubico

To je jen speciální případ, kdy jsou provozní náklady záporné. :-)

Ve skutečnosti to ale nefunguje tak, jak to bylo napsané, dělit náklady počtem uživatelů je nesmysl. Pro banku je v tomto případě podstatné, kolik zákazníků jim funkce může přilákat resp. kolik jich může její absence odradit.

Proto se, zejména v oligopolním prostředí jako jsou mobilní operátoři, často stává, že nějaká funkce nebo featura se v nabídce vůbec neobjeví, přestože by o ni uživatelé stáli. Prostě proto, že když to nenabízí nikdo, nehrozí, že by kvůli ní někdo utekl ke konkurenci. Ale jakmile se jeden rozhodne ji zavést, prakticky okamžitě změní názor i ostatní. Což je problém, protože chybí motivace zavést to jako první, když z toho stejně bude konkurenční výhoda jen na chvíli.

22.5. 11:47 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Yubico
Pro banku je v tomto případě podstatné, kolik zákazníků jim funkce může přilákat resp. kolik jich může její absence odradit.
Nejde jen o odrazení - když se někomu povede prostřelit zabezpečení (tj. ukradne vám přihlašovací údaje a zároveň zaviruje smartphone, aby se dostal k potvrzovací SMS) a vyluxuje vám účet, tak je to chyba banky a banka vám musí ty peníze vrátit ze svého. Jedině by prokázali, že jste se choval tak nebezpečeně, že si za to prozrazení údajů můžete sám.

Tj. ušetřené peníze, když lidi budou funkci používat, svoji roli hrají také.
Quando omni flunkus moritati
21.5. 08:14 j
Rozbalit Rozbalit vše Re: Yubico
Presne takhle to zadna, ani jedna jedina banka nedela, ale co cekat od jirsaka ... zalez na ruut.

Banka implementuje to, co se libi jejimu vrchnimu managorovi, i kdyby to byla totalni kravina kterou nebude pouzivat vubec nikdo. A naopak, primitivne trivialni veci, ktery by vyuzili prakticky vsichni zasadne temer zadny banky neimplementujou, protoze by se pak ten managor musel chlubit leda tim, ze dodavaji auto i s motorem ...

A pak to presne podle toho vypada. V nasem pripade jsou extraspecielni pripady trebas KB ... kdy kvuli importu csvcka musi mit zakaznik nainstalovanych par GB M$SQL a jejich sileny appky, a pokazdy kdyz se to nekde zprovoznuje, tak to je woodoo instalace 20 vsemoznych opravnych a pomocnych balicku a pak to mozna nekdy zacne fungovat.

---

Bezte s tim guuglem dopice!

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.