Klucze sprzętowe Yubico – co to jest i jak ich używać?

x-kom
Poradniki
Klucze sprzętowe Yubico – co to jest i jak ich używać?

Wyłudzanie danych, ataki hakerskie, włamania na konto, phishing – to tylko kilka zagrożeń, na jakie trafisz w sieci. Jak się przed nimi chronić? Z odsieczą przychodzą klucze bezpieczeństwa Yubico. Te przypominające pendrive’a akcesoria zabezpieczą Twoje dane. Wystarczy, że włożysz je do portu USB i za ich pomocą zalogujesz się dwuskładnikowo. Bez konieczności przepisywania kodu z maila lub SMS-a.

Co to są klucze bezpieczeństwa?

Klucz bezpieczeństwa (inaczej klucz sprzętowy, klucz szyfrujący, klucz USB) to zewnętrzne urządzenie podobne do pamięci przenośnej. Służy ono do bezpiecznego logowania na portalach społecznościowych lub w usługach internetowych. Klucze szyfrujące obsługują złącza:

USB-A;
USB-C;
Lightning.

Akcesorium to ma jeden główny cel – zwiększyć Twoje bezpieczeństwo w sieci, szczególnie w przypadku logowania dwuskładnikowego. W jaki sposób?

Uwierzytelnianie poprzez użycie sprzętowego klucza zabezpieczeń USB ma tę przewagę nad uwierzytelnianiem za pomocą aplikacji i kodów SMS (czyli treściami wyświetlanymi na ekranie smartfona lub laptopa), że klucza nie da się podejrzeć, ani szpiegować. Działa on niezależnie od Twoich urządzeń, w dodatku nie ma ruchomych części i nie sposób go modyfikować.

Klucze Yubico

Podczas logowania dwuskładnikowego z reguły masz dwa etapy do przejścia. Pierwszym z nich jest podanie loginu i hasła. Drugim etapem jest wpisanie w odpowiednie miejsce kodu, który przychodzi na maila lub SMS-em. Jest to dosyć bezpieczne rozwiązanie, ale problem jest jeden – zarówno do skrzynki, jak i do smartfona haker może stosunkowo prosto się włamać. Jeśli to zrobi, uzyska dostęp do Twoich wiadomości, a potem z łatwością się pod Ciebie podszyje. Z kluczem bezpieczeństwa ten problem nie istnieje.

Pamiętaj jednak, że klucze USB zabezpieczają Cię głównie przed wyłudzaniem danych, ale już nie przed wirusami. Nie traktuj ich zatem jako remedium na wszystkie zagrożenia, które napotkasz w sieci.

Jak w praktyce działają klucze bezpieczeństwa?

Przejdźmy zatem do praktyki i zobaczmy, w jaki sposób działają klucze szyfrujące. Logując się, np. do swojej poczty czy Facebooka, musisz wpisać login i hasło. Później system prosi Cię o weryfikację tożsamości. W tym momencie po prostu wetknij klucz USB do portu w swoim urządzeniu, dotknij go w odpowiednim miejscu (jeśli obsługuje biometrię) i gotowe. Unikniesz SMS-ów, maili i przepisywania z nich kodów, które bywają łatwym celem dla oszustów. Klucz wiąże szyfrowane połączenie z wiarygodną stroną i kończy logowanie. To naprawdę wszystko.

A co, kiedy strona tylko podszywa się pod oryginał, a tak naprawdę ma służyć wyłudzeniu danych? Klucz nie nawiąże z nią połączenia i uniemożliwi logowanie. Dzieje się tak, dlatego że klucz bezpieczeństwa komptabyliny jest tylko z tymi serwisami, z którymi został wcześniej sparowany. W przypadku kluczy FIDO2 narzędzie sprawdza czy domena, do której się logujemy pasuje do domeny, która zapisana jest w kluczu. Urządzenia U2F próbują natomiast rozszyfrować KeyHandle zapamiętanych domen i porównują go z domeną, do której chcesz się zalogować. Jeśli klucz rozpozna, że domeny są rózne, automatycznie blokuje stronę.

Nawet jeśli dasz się nabrać na to, że jakiś link jest wiarygodny, to klucz USB już tego nie zrobi. I właśnie dlatego to rozwiązanie jest tak bezpieczne. Człowiek jest omylny. Wpisze dane, przepisze kod, zaloguje się. Klucz natomiast nie wpadnie w tę pułapkę.

Rodzaje kluczy Yubico

Jak skonfigurować klucz Yubico?

Zanim zaczniesz używać klucza Yubico, należy go najpierw skonfigurować. Jak to zrobić? Sprawdźmy na przykładzie usług PKO Banku Polskiego. Bank właśnie rozpoczął współpracę z Yubico i umożliwił logowanie do serwisu internetowego iPKO za pomocą kluczy bezpieczeństwa.

Klienci PKO BP podczas logowania dwuskładnikowego muszą w drugim etapie potwierdzić je w aplikacji mobilnej, albo za pomocą kodu SMS lub kodu z karty kodów. Teraz mogą zrobić to kluczem USB Yubico. Można z niego korzystać zarówno na komputerze, jak i na urządzeniach mobilnych (w przypadku serwisu iPKO w wersji RWD). Logowanie do aplikacji IKO pozostanie natomiast bez zmian.

W ten sposób skonfigurujesz klucz Yubico w PKO BP.

Zaloguj się na stronę ipko.pl.
W metodach uwierzytelniania wybierz opcję klucza bezpieczeństwa: Ustawienia – Dostęp i bezpieczeństwo – Klucze bezpieczeństwa – Dodaj klucz bezpieczeństwa.
Podłącz swój klucz do portu USB i podczas konfiguracji postępuj zgodnie ze wskazówkami, jakie wyskoczą na ekranie.
Po dodaniu klucza loguj się nim do serwisu iPKO.

Po wejściu na stronę logowania ipko.pl wpisz login oraz hasło do swojego konta i potwierdź logowanie dotknięciem przycisku na kluczu włożonym do portu USB. Nastąpi wówczas automatyczna weryfikacja tożsamości i potwierdzenie logowania.

Co ciekawe, jeszcze niedawno banki w Polsce w ogólnie nie miały opcji logowania się za pomocą klucza USB. Teraz na szczęście się to zmieniło.

Gdzie jeszcze skonfigurujesz i użyjesz klucza bezpieczeństwa?

Usługi bankowe to oczywiście nie jedyne miejsce, w którym użyjesz klucza szyfrującego Yubico. Gdzie zatem jeszcze zalogujesz się za jego pomocą?

Social media (np. Facebook, Instagram, X).
Skrzynki mailowe (np. Gmail, Outlook)
Chumry danych (np. OneDrive, Dropbox).
Platformy sprzedażowe (np. Amazon).

Pełną listę kompatybilnych serwisów i aplikacji sprawdzisz na stronie Yubico w zakładce „Works with Yubikey”. Pamiętaj, że na każdej z tych stron musisz zarejestrować i skonfigurować swój sprzęt. W ustawieniach serwisu (zazwyczaj jest to zakładka „Bezpieczeństwo”), który współpracuje z kluczami szyfrującymi są odpowiednie instrukcje, które objaśniają jak go dodać.

Kiedy użyć klucza USB w firmie?

Klucze bezpieczeństwa to także coraz bardziej popularne rozwiązanie w wielu przesiębiorstwach. Szczególnie tych, gdzie przechowywane są wrażliwe dane lub mamy do czynienia z dużą ilością haseł. Poniżej podajemy kilka przykładowych sytuacji, w których klucz USB okaże się wręcz niezbędny w firmie.

Ochrona danych finansowych – firmy z sektora finansowego za pomocą kluczy zwiększą bezpieczeństwo dostępu do systemów płatności i zabezpieczą transakcje.
Zarządzanie hasłami – dobrym przykładem są tutaj agencje marketingowe. Codziennie pracują one, wykorzystując hasła i loginy do kont social media swoich klientów. To samo tyczy się kont na platformach pomagających w optymalizacji SEO czy monitorowania poczynań konkurencji. Aby je zabezpieczyć i mieć je pod ręką, duża część firm decyduje się przechowywać je w sejfach haseł (np. 1Password). Logowanie do tego typu banku za pomocą klucza jeszcze bardziej zwiększa bezpieczeństwo przechowywanych w nim danych.
Dostęp do danych w chumrze – chumry są bezpiecznym rozwiązaniem, jednak przechowywanie w nich firmowych danych może okazać się ryzykowne. Dlatego też i w tym przypadku warto użyć klucza szyfrującego.

A co, gdy zgubisz klucz sprzętowy?

W zasadzie to… niewiele. Niewiele pod kątem bezpieczeństwa. Jeśli ktoś znajdzie Twój klucz i będzie chciał go użyć, to nie da rady włamać się do zarejestrowanych portali bez znajomości Twojego loginu i hasła, lub w przypadku zabezpieczenia FIDO2 – ustalonego przez Ciebie kodu. A jeśli używasz klucza BIO (czyli tego, który używa biometrii) to zablokuje on możliwość kradzieży tożsamości nawet wtedy, gdy jakimś sposobem złodziej zna Twoje dane cyfrowe i ma Twój klucz.

Polecamy jednak kupić dwa klucze sprzętowe – to zawsze daje zabezpieczenie w przypadku zgubienia lub uszkodzenia jednego z nich. Rozwiązanie to jest szczególnie przydatne dla osób, które często logują się poza domem. Wówczas główny klucz możesz nosić ze sobą, a zapasowy zostawić w szufladzie. Kiedy coś złego stanie się z głównym sprzętem, wówczas będziesz mieć jeszcze jeden klucz w zapasie.

Jakie są rodzaje kluczy USB?

Rodzajów kluczy sprzętowych Yubico jest kilka. Omówmy teraz każdy z nich i zobaczmy, czym się one charakteryzują. Na pewno pomoże Ci to w podjęciu decyzji co do ich zakupu.

Klucze obsługujące U2F i/lub FIDO2

Szyfrowanie U2F to najpopularniejszy typ zabezpieczenia wśród kluczy sprzętowych Yubico. Zastępuje ono dwuetapowe logowanie za pomocą kodu z SMS-a czy maila. By zalogować się do swojej poczty, portalu społecznościowego, czy konta Microsoft, należy podać login i hasło, a następnie (w ramach drugiego etapu uwierzytelniania) użyć klucza sprzętowego – czyli postąpić dokładnie tak jak opisywaliśmy wyżej.

FIDO2 z kolei upraszcza logowanie do maksimum, a przy tym pozwala zachować bezpieczeństwo, które gwarantuje U2F. Jeśli denerwuje Cię ciągłe wpisywanie loginu i hasła, to FIDO2 jest dla Ciebie. Używając tego klucza, nie trzeba ich za każdym razem podawać, ponieważ zastąpisz te dane jednym kodem. Natomiast drugi etap wygląda tak samo, jak w przypadku U2F. Wpinasz zatem klucz do urządzenia i gotowe.

Pamiętaj, że wszystkie klucze Yubico obsługują U2F. Inne funkcje jak NFC czy biometria to dodatkowe opcje, które podnoszą wygodę i poszerzają funkcjonalność akcesorium. Każdy klucz Yubico natomiast zawsze zagwarantuje Ci bezpieczne, dwuskładnikowe logowanie.

Klucze obsługujące NFC

Kluczy, które obsługują NFC, użyjesz również w urządzeniach mobilnych. Dzięki temu zwiększysz bezpieczeństwo logowania, gdziekolwiek jesteś i bez względu na to, czy logujesz się na PC, laptopie lub smartfonie.

Tutaj jednak mamy drobną uwagę. Noszenie ze sobą klucza sprzętowego zwiększa prawdopodobieństwo zgubienia go. Zwróć na to szczególną uwagę, kiedy wiesz, że nie będziesz korzystać z niego tylko stacjonarnie.

Klucz Yubico NFC

Klucze obsługujące blokadę biometryczną

Yubico oferuje również klucze obsługujące biometrię. Urządzenia te mają w nazwie BIO. Jest to już praktycznie najwyższy poziom bezpieczeństwa, jakie zapewniają klucze USB. W tym przypadku akcesorium pamięta, kto jest jego właścicielem. Podczas logowania musisz przyłożyć palec do czytnika linii papilarnych znajdującego się na kluczu. Zadziała on tylko wtedy, gdy odczyta zapisany na nim kształt.

Jaki klucz bezpieczeństwa USB wybrać?

To już zależy od Twoich preferencji. Korzystając dużo ze smartfonów lub laptopów i będąc w ciągłym ruchu, naturalny wybór to klucz obsługujący NFC. Zapłacisz za niego nieco więcej, ale dzięki niemu zabezpieczysz dane nie tylko na PC, ale także na urządzeniach mobilnych.

Jeżeli jesteś osobą, która do spraw bezpieczeństwa przywiązuje jeszcze większą wagę niż statystyczny użytkownik, to śmiało stawiaj na model BIO. Zabezpieczenie za pomocą czytnika linii papilarnych to coś ekstra i dodatkowa przeszkoda dla potencjalnego oszusta.

W przypadku, gdy okazjonalnie korzystasz z social media i niezbyt często logujesz się na stronach usług, spokojnie możesz postawić na zwykły model bez NFC czy biometrii.

Polecane modele kluczy sprzętowych Yubico

Mamy dla Ciebie dwie propozycje kluczy zabezpieczających Yubico, które sprawdzą się zawsze i wszędzie.

Yubico YubiKey 5C NFC

Model dla osób, którzy nie tylko chcą zabezpieczyć logowanie, ale także mają dość podawania za każdym razem loginu i hasła. Za pomocą Yubico YubiKey 5C NFC zalogujesz się do każdego typu urządzenia – komputera stacjonarnego, laptopa, smartfona czy tableta. Akcesorium nie wymaga instalacji żadnego dodatkowego oprogramowania czy dostępu do Internetu, więc skorzystasz z niego dosłownie wszędzie.

Yubico Security Key NFC by Yubico (czarny)

Klucz bezpieczeństwa Security Key NFC by Yubico oferuje wyższy poziom bezpieczeństwa poprzez połączenie sprzętowego uwierzytelniania i kryptografii asymetrycznej (klucza publicznego), aby efektywnie chronić przed atakami phishingowymi prowadzącymi do przejęcia konta użytkownika. Security Key NFC od Yubico zapewnia proste i intuicyjne uwierzytelnianie, które nie sprawia problemów użytkownikom. Uwierzytelnianie przy pomocy klucza jest do 4 razy szybsze niż uwierzytelnianie oparte na hasłach jednorazowych (OTP) lub kodach SMS.

Nie daj się oszustom i postaw na klucze bezpieczeństwa

Klucz zabezpieczający Yubico to urządzenie, które zmieścisz w kieszeni (i nawet tego nie odczujesz), a znacząco zwiększysz dzięki niemu bezpieczeństwo swoich kont i danych. Pamiętaj, złodzieje i inni oszuści nie śpią. Perspektywa zhakowania konta na Facebooku lub nawet utraty oszczędności życia nie jest kolorowa. W dobie cyberprzestępczości dobre zabezpieczenie to podstawa i inwestycja, która jest bezcenna. Dlatego też postaw na klucze Yubico i miej spokojną głowę, że Twoje dane będą bezpieczne.

PKO Bank Polski przygotował dla swoich klientów specjalne kody rabatowe na klucze Yubico, które wykorzystasz w x-komie. Jak zdobyć kod?

Zaloguj się do serwisu iPKO, przeczytaj informację o promocji, zapoznaj się z jej regulaminem i kliknij przycisk „Odbierz do 50 zł zniżki”.
Kod zniżkowy zostanie Ci udostępniony w serwisie iPKO do 14 dni od przystąpienia do promocji.
Kup klucz na x-kom.pl. Wpisz swój indywidualny kod od PKO BP w koszyku w polu „Masz kod promocyjny?”.

Wspólnie z PKO BP przygotowaliśmy 30 tys. kodów rabatowych.

Zobacz ofertę kluczy Yubico dla klientów PKO BP, które są objęte promocją

Udostępnij

Komentarze (3)

Włodzimierz

3 miesiące temu

PKO bp reklamuje użycie kluczy w np. smartfonach. Niestety, to rozwiązanie nie działa...... Rozwiń dalej

Czy ten komentarz był pomocny?61

krzysztof

4 miesiące temu

nie wspomnieli o dodatkowym kluczu, ponieważ na podanym przykładnie PKO można podpiąć obecnie tylko jeden klucz :v... Rozwiń dalej

Czy ten komentarz był pomocny?64

Krzysztof

4 miesiące temu

Bardzo fajnie, że promujecie rozwiązania w postaci kluczy sprzętowych (choć zastanawiające jest, że w aplikacji x-kom nie ma możliwości włączenia chociażby 2FA, miejmy nadzieję, że kiedyś będzie).

Natomiast w rozdziale drugim napisaliście coś takiego: "A co, kiedy strona tylko podszywa się pod oryginał, a tak naprawdę ma służyć wyłudzeniu danych? Klucz po prostu nie nawiąże z nią połączenia i uniemożliwi logowanie. Dzieje się tak, dlatego że fałszywe strony nie znajdują się na liście zafuanych witryn i często nie mają ważnych certyfikatów SSL/TSL. Są one niezbędne do bezpiecznego połączenia. Klucz to sprawdza i jeśli coś nie gra, automatycznie blokuje stronę.".
Co to jest lista zaufanych witryn i od kiedy klucz sprzętowy sprawdza, czy strona znajduje się na liście zaufanych witryn? Wydaje mi się, że doszło tutaj do "pomyłki" lub złego nazewnictwa, gdyż lista zaufanych witryn raczej kojarzy się z dostępną (gdzieś) publicznie listą, które domeny są zaufane - a czegoś takiego (z mojej wiedzy) nie ma. Jeśli już, to klucz sprawdza, czy domena witryny na której się logujemy, pasuje z domeną zapisaną na kluczu (w przypadku FIDO2) lub próbuje odszyfrować tzw. KeyHandle otrzymany od aplikacji, w którym znajduje się m.in. domena i porównuje ją z domeną w której się logujemy (w przypadku U2F), tak w bardzo dużym i uproszczonym skrócie.

Wspomnienie o nieważnym certyfikacie w dzisiejszych czasach też wydaje mi się nieco dziwne, ponieważ wygenerowanie certyfikatu SSL/TLS na fałszywej stronie, to nie jest żaden problem (dla właściciela domeny).

Ostatnia bardzo ważna rzecz, to nigdzie nie zostało wspomniane, że zaleca się kupić co najmniej 2 klucze sprzętowe, aby nie zrobić sobie "krzywdy", w przypadku zgubienia / uszkodzenia pierwszego klucza.... Rozwiń dalej

Czy ten komentarz był pomocny?223