W ciągu ostatnich lat, kilka razy spotkałem się z sytuacją, że komuś ze znajomych, jakieś nieznane siły przejęły konto na facebook-u. I nie dało się w sumie, żeby nie wiem jak kontaktować się z pomocą FB, tego konta odzyskać. W znanych mi przypadkach kończyło się na założeniu nowego konta.
W obecnych czasach, właśnie FB, jest pewnego rodzaju pamiętnikiem, oraz oknem, umożliwiający kontakt z przyjaciółmi, znajomymi, a także ludźmi z którymi łączy nas np. wspólne hobby.
Nie inaczej jest w moim przypadku, mam oczywiście grono przyjaciół i znajomych, ale także rozwijam profile poświęcone moim zainteresowaniom (np. Kielce Air Collection). Z pewnością nie chciałbym utracić kontroli nad swoim kontem (choć tu przecież nie stałaby się tragedia, mój kontakt z przyjaciółmi nie ogranicza się tylko do fb), ale bardziej uderzyłaby we mnie utrata kontroli nad stronami, grupami czy profilami które tworzę, czy zarządzam, i treściami które tam się znajdują, a także utrata kontaktów z tych profili/grup/stron.
Stąd gdy tylko dowiedziałem się, że mogę wprowadzić konieczność posiadania fizycznego klucza zabezpieczeń, by zalogować się do konta na FB uznałem, że to jest to! Obecnie tą metodą mam także zabezpieczone konto Google, i to pewnie nie koniec. Klucze wspiera GMail, Facebook, Twitter, Amazon AWS, Onet, WP, Dropbox, Github, Microsoft i wiele innych serwisów.
Co to jest to Yubico?
To klucz U2F/FIDO2, bez zbytniego wchodzenia w technikalia. Jest zaszyfrowany, nie da się go skopiować, podrobić – trzeba go mieć fizycznie (oczywiście taki klucz można ukraść, ale trudno sobie wyobrazić, by jacyś hakerzy z końca świata weszli w jego posiadanie tą właśnie drogą, a i tak musieliby znać login, hasło do serwisu i PIN klucza). Z zewnątrz wygląda jak pendrive. Występuje w różnych wersjach (ja najpierw kupiłem na OLX dwa klucze, po jednym z USB i USB-C – fabrycznie zapakowane oba kosztowały mnie 300zł, ostatnio podczas wizyty na Porta Portese (duży targ staroci w Rzymie) udało mi się dokupić zapas zapasu USB-C#2 za 12 Euro, czyli ok 50zł). Co ważne klucze które posiadam mają też opcję NFC, czyli jakbym chciał użyć takiego klucza z telefonem który mam aktualnie (złącze lightning), nie powinno być problemu, zbliżę go tylko do telefonu. Sprawdziłem też, dodając dwa klucze np do FB czy Google, że nie ma problemu z użyciem w komputerze stacjonarnym klucza ze złączem USB-C, przez przejściówkę do USB. Działa.
Są różne klucze Yubico, który wybrać?
Najtańsze są klucze niebieskie Security Key NFC lub Security Key C NFC, można ich używać do logowania do Facebooka, Twittera, Gmaila, Githuba czy konta Microsoft. Większości użytkowników wystarczą takie. Pamiętajcie jednak by upewnić się, że kupowany klucz ma NFC, to się przyda (starsze niebieskie klucze bez NFC mają cyfrę 2 wybitą na kluczu). Nowy to koszt ok 160zł.
Klucze czarne YubiKey 5, nimi dodatkowo można logować się do komputera Windows/Mac, zabezpieczać aplikacje KeePass, czy generować hasła 2FA w aplikacji Yubico Authenticator. (te właśnie mam ja) Nowy to koszt ok 280zł.
Są jeszcze Klucze FIPS, chyba dla sfer rządowych. Nowy to koszt ok 280zł.
Kupiłem klucze poza sklepem, a jeden wręcz na targu staroci.
Dwa pierwsze były fabrycznie zapieczętowane, i w okazyjnej cenie. Trzeci sprawdziłem na specjalnej stronie weryfikującej https://www.yubico.com/genuine/ . Oczywiście najbezpieczniejszy jest zakup bezpośrednio z sklepie.
Jak zabezpieczyć konto kluczem sprzętowym
Procedury dodawania go do zabezpieczeń konta w poszczególnych serwisach opisane są dokładnie w internecie, generalnie wchodzimy w ustawienia, szukamy okna „Uwierzytelnianie dwuskładnikowe” -> „Klucze zabezpieczeń” i postępujemy zgodnie z komunikatami (trzeba podpiąć klucz, przy pierwszym uruchomieniu nadać mu kod PIN, dotknąć okienka kiedy dostaniemy taką informację w okienku, i nadać nazwę temu kluczowi (będzie widoczna w panelu z kluczami).
Mam trzy klucze, po co?
Wyobraźmy sobie, że chwaląc tą technologię, jako tak bezpieczną, gubię swój jedyny klucz, który chroni dostępu do moich kont. Z kluczem w zapomnienie odchodzi możliwość zalogowania się więc. To wprawdzie lepsza opcja niż przejęcie konta przez hakerów, ale nie o to przecież chodzi. Dlatego planowałem od początku zabezpieczyć konta dwoma kluczami. W razie awarii, zgubienia, zniszczenia jednego z nich, mam zapas… Nie polecam zabezpieczać konta tylko jednym kluczem – patrz pierwsze zdanie tego akapitu.
Dodaliśmy klucze do konta.
Czy klucz jest niezbędny przy każdym logowaniu? Nie, jeśli mamy urządzenia dodane jako zaufane, nie wylogowujemy się z aplikacji na telefonie czy komputerze, to klucz nie jest potrzebny. Ale jeśli jakiś czarny charakter, gdzieś w jakimś dalekim kraju będzie ostrzył sobie zęby na nasze konto, podejrzewam, że właśnie konieczność podpięcia klucza U2F/FIDO2 go powstrzyma.