{"id":31068,"date":"2022-10-26T16:55:15","date_gmt":"2022-10-26T14:55:15","guid":{"rendered":"https:\/\/fotc.com\/klucze-bezpieczenstwa-u2f\/"},"modified":"2023-10-17T16:18:59","modified_gmt":"2023-10-17T14:18:59","slug":"klucze-bezpieczenstwa-u2f","status":"publish","type":"post","link":"https:\/\/fotc.com\/pl\/blog\/klucze-bezpieczenstwa-u2f\/","title":{"rendered":"Klucz bezpiecze\u0144stwa U2F \u2013 co to jest i jak dzia\u0142a"},"content":{"rendered":"\n
Dzia\u0142aj\u0105cy w strukturach NASK \u2013 Pa\u0144stwowego Instytutu Badawczego zesp\u00f3\u0142 CERT Polska w 2021 roku zarejestrowa\u0142 116 071 zg\u0142osze\u0144 dotycz\u0105cych incydent\u00f3w cyberbezpiecze\u0144stwa. Najpopularniejszy w\u015br\u00f3d nich by\u0142 phishing, kt\u00f3ry stanowi\u0142 a\u017c 76,57% wszystkich obs\u0142u\u017conych zdarze\u0144. <\/strong><\/p>\n\n\n\n W por\u00f3wnaniu z rokiem poprzednim liczba incydent\u00f3w sklasyfikowanych jako phishing wzros\u0142a o 196%. Oznacza to, \u017ce cyberprzest\u0119pcy nie tylko nie \u015bpi\u0105, ale drastycznie wzmo\u017cyli swoj\u0105 dzia\u0142alno\u015b\u0107. Na szcz\u0119\u015bcie nie pozostajesz bezbronnym wobec cyberatak\u00f3w. Istnieje prosty \u2013 i stosunkowo tani \u2013 spos\u00f3b, aby si\u0119 przed nimi chroni\u0107. A jest nim klucz bezpiecze\u0144stwa U2F.<\/p>\n\n\n\n Phishing to metoda oszustwa, w ramach kt\u00f3rej haker podszywa si\u0119 pod jak\u0105\u015b osob\u0119 lub organizacj\u0119, aby wy\u0142udzi\u0107 od swojej ofiary poufne informacje, takie jak loginy i has\u0142a czy dane karty kredytowej. To w\u0142a\u015bnie dlatego termin \u201ephishing\u201d bywa czasem t\u0142umaczony jako password harvesting fishing<\/em> (czyli \u0142owienie hase\u0142<\/em>). <\/p>\n\n\n FOTC to ni\u017csze ceny Google Workspace i wsparcie 24\/7.<\/p><\/div>\r\n Cyberprzest\u0119pcy stosuj\u0105cy phishing cz\u0119sto tworz\u0105 stron\u0119 internetow\u0105, kt\u00f3ra do z\u0142udzenia przypomina t\u0119 w\u0142a\u015bciw\u0105 (np. stron\u0119 banku, Gmaila czy Facebooka). Nast\u0119pnie przesy\u0142aj\u0105 swoim ofiarom linki do fa\u0142szywej strony i prosz\u0105, aby si\u0119 na niej zalogowa\u0107 (np. pod pretekstem konieczno\u015bci dodatkowej weryfikacji konta). Kiedy spotka Ci\u0119 taka sytuacja i na podrobionej stronie wprowadzisz login oraz has\u0142o, zostan\u0105 one przechwycone przez phisher\u00f3w. <\/p>\n\n\n\n W praktyce oznacza to, \u017ce samo has\u0142o dzi\u015b ju\u017c nie wystarczy.<\/strong> Nawet je\u015bli w procesie zak\u0142adania konta u\u017cyjesz znak\u00f3w specjalnych oraz ma\u0142ych i wielkich liter, to i tak nie mo\u017cesz mie\u0107 pewno\u015bci co do tego, \u017ce nie dostanie si\u0119 ono w r\u0119ce haker\u00f3w. Co wi\u0119cej, najcz\u0119\u015bciej sam podasz im je na tacy, przekazuj\u0105c w ten spos\u00f3b dost\u0119p do wielu informacji \u2013 pocz\u0105wszy od zdj\u0119\u0107 z wakacji, przez tre\u015b\u0107 przes\u0142anych maili po wra\u017cliwe dane, takie jak numery kart p\u0142atniczych czy informacje widniej\u0105ce na dokumentach to\u017csamo\u015bci. <\/p>\n\n\n\n Odpowiedzi\u0105 na te bol\u0105czki mia\u0142a by\u0107 weryfikacja dwuetapowa<\/a>, nazywana te\u017c uwierzytelnieniem wielosk\u0142adnikowym. Polega ona na potwierdzeniu to\u017csamo\u015bci u\u017cytkownika za pomoc\u0105 has\u0142a i jakiego\u015b dodatkowego elementu. Zabezpieczeniem drugiego poziomu mo\u017ce by\u0107 na przyk\u0142ad kod, kt\u00f3ry otrzymasz SMS-em, czy wpisanie PIN-u wygenerowanego w aplikacji. <\/p>\n\n\n\n Tyle \u017ce\u2026 no w\u0142a\u015bnie\u2026 Je\u015bli znajdujesz si\u0119 na stronie przechwytuj\u0105cej dane, to wprowadzone kody czy PIN-y r\u00f3wnie\u017c zostan\u0105 przez Ciebie przekazane przest\u0119pcom. Obecnie jedynym zabezpieczeniem, kt\u00f3re w pe\u0142ni chroni przed skutkami phishingu jest klucz U2F.<\/p>\n\n\n\n Czytaj te\u017c:<\/p>\n\n\n\n Klucze bezpiecze\u0144stwa U2F to niewielkie, proste urz\u0105dzenia zewn\u0119trzne \u2013 wygl\u0105dem przypominaj\u0105ce zwyk\u0142y pendrive \u2013 kt\u00f3rych u\u017cywa si\u0119 jako drugiego elementu podczas uwierzytelnienia wielosk\u0142adnikowego.<\/strong> W praktyce wygl\u0105da to taki spos\u00f3b, \u017ce aby zalogowa\u0107 si\u0119 do jakiego\u015b serwisu najpierw podajesz has\u0142o, za\u015b w drugim kroku musisz umie\u015bci\u0107 w jednym z port\u00f3w urz\u0105dzenia (np. USB czy USB-C) klucz U2F, kt\u00f3ry dokona dodatkowej weryfikacji.<\/p>\n\n\n\n Cho\u0107 na pierwszy rzut oka proces ten mo\u017ce wydawa\u0107 si\u0119 skomplikowany to tak naprawd\u0119 klucz sprz\u0119towy stanowi uproszczenie uwierzytelniania dwusk\u0142adnikowego. Dzi\u0119ki u\u017cyciu kluczy bezpiecze\u0144stwa nie trzeba bowiem generowa\u0107 dodatkowych hase\u0142 ani PIN-\u00f3w, a podpi\u0119cie urz\u0105dzenia przy pomocy USB trwa zaledwie kilka sekund.<\/p>\n\n\n\nCo to jest phishing, czyli jak dzia\u0142aj\u0105 cyberprzest\u0119pcy<\/h2>\n\n\n\n
Nie ka\u017cda weryfikacja dwuetapowa daje 100% ochrony<\/h2>\n\n\n\n
Co to jest klucz bezpiecze\u0144stwa U2F?<\/h2>\n\n\n\n