Čo je to FIDO (U2F/FIDO2) bezpečnostný kľuč ?

V tomto blogu vám zodpovieme najčastejšie otázky: 

  1. Čo je to FIDO bezpečnostný kľúč?
  2. Pred akými najbežnejšími útokmi ma ochráni ?
  3. Ako prebieha prihlásenie pomocou FIDO kľúča do Facebooku | Video?
  4. Je FIDO kľúč napájaný cez batériu ?
  5. Sú nejaké skryté alebo fixné poplatky ?
  6. Aká je životnosť kľúča?
  7. Aké e-commerce platformy podporujú prihlásenie pomocou FIDO kľúča?
  8. Aké kryptomenové burzy podporujú prihlásenie pomocou FIDO kľúča?
  9. Viem použiť FIDO kľúč na prihlásenie do Wordpressu?
  10. Prečo by som mal investovať do FIDO kľúča namiesto antivírusu ?
  11. Čo sa stane ak použijem FIDO kľúč v prípade phishingového útoku?
  12. Je inštalácia náročná ?
  13. Dá sa zistiť spojitosť medzi jednotlivými účtami?
  14. Prečo je FIDO bezpečnostný kľúč lepší ako Google authentifikátor alebo SMS?
  15. Čo je to pokročila ochrana od Google ?

Čo je to FIDO bezpečnostný kľúč?

Malé USB zariadenie, ktoré využíva princípy asymetrickej kryptografie. Dokáže rozpoznať a zabrániť cieleným útokom do vašich webových účtov. Pomocou FIDO kľúča sa prihlásite do webových služieb ako je Gmail, Facebook, Yahoo, Twitter, Dropbox, Microsoft a mnoho iných. Celkový zoznam služieb nájdete na webe: katalog (zvolte protokol FIDO U2F a FIDO2).

FIDO kľúč slúži predovšetkým ako dvojfaktorové overenie a náhrada za overovanie pomocou SMS a APP, ktoré su zaniteľné. U služieb podporujúcich passwordless (Microsoft) sa viete prihlásiť bez mena a hesla a to len s FIDO kľučom. 

Štúdia od Google poukázala, že FIDO bezpečnostné kľúče poskytujú 100% ochranu pred útokmi (overenie pomocou SMS 76% a push notifikácie 90%):

pokrocila ochrana google feitian fido u2f fido 2

Zdroj: Google

Pred akými najbežnejšími útokmi ma ochráni FIDO bezpečnostný kľúč?

Phishing

Útočník vám zašle falošný odkaz prostredníctvom emailu, SMS správou alebo iným oznámením (push notifikáciou). Tento odkaz pripomína dôveryhodnú službu, ako napríklad prihlásenie do Facebooku, Google účtu alebo banky, a je veľmi ťažké ho rozoznať od pravého. Po zadaní údajov, hacker získa prístup do účtu. FIDO kľuč využíva asymetrickú kryptografiu, vďaka ktorej dokáže zabrániť phishingovému útoku.

Dobrým príkladom je Google, ktorý zaviedol v roku 2017 povinné používanie týchto kľúčov pre viac ako 85 000 zamestnancov a odvtedy nezaznamenali ani jeden úspešný phishingový útok.

Brute force

Nazývaný útok hrubou silou. Je forma útoku kde hacker skúša rôzne kombinácie až kým nenájde tu správnu. V prípade použitia FIDO kľúča po 5 nesprávne zadaných PINov sa kľúč zablokuje. Následne je potrebné obnoviť výrobne nastavenia v aplikácii FEITIAN Manager tool, čím sa všetko bezpečne vymaže.

MITM

Je typ útoku, počas ktorého dochádza k útoku na komunikáciu medzi dvoma účastníkmi (napríklad banka a klient). Hacker (prostredník) bez ich vedomia začne komunikovať, čítať a upravovať informácie. Tým útočník ľahko získava citlivé informácie a môže používať ku krádeži či vydaní. Podobne ako pri phishingu tak aj tu FIDO kľúč funguje na princípe asymetrickej kryptografie, vďaka ktorej tento spôsob útokov neje možný.

Ako prebieha prihlásenie pomocou FIDO kľúča do FB?

Zadáte meno a heslo. Následne vás služba vás požiada o vloženie FIDO kľúča a dotknutie sa ho, niektoré služby ako napr. Facebook žiadajú PIN ( nie vždy sa vyžaduje PIN, niekedy stači len dotyk kľúča- Google ). Po úspešnom overení sa prihlásite do služby:

Je FIDO kľúč napájaný cez batériu ?

Nie. Batériu ma len model Multipass (K13) výdrž batérie je cca 3 mesiace. Následne pomocou USB kábla, ktorý je súčasťou balenia je Multipass potrebné dobiť.

Sú nejaké skryté alebo fixné poplatky ?

Nie. Jedná sa iba o jednorazovú investíciu. Nie sú potrebné žiadne dodatočné mesačné poplatky.

Aká je životnosť kľúča?

Predpokladaná životnosť je do 10 rokov. Výhodou je aj to, že väčšina FIDO kľúčov je certifikovaná na ochranu IP67 (okrem K13 a K40) a sú odolné voči prachu a vode. Bežne sa zak možu nosiť na kľúčenke, čo zaručí komfort nosenia s kľuč budete mať vždy pri sebe. 

Aké e-commerce platformy podporujú prihlásenie pomocou FIDO kľúča?

Aké kryptomenové burzy podporujú prihlásenie pomocou FIDO kľúča?

  • Kraken
  • Binance
  • Gemini
  • Coinbase
  • Bitfinex 

Viem použiť FIDO kľúč na prihlásenie do Wordpressu?

Áno, pomocou pluginov ako napríklad:. Two-Factor – WordPress plugin

Prečo by som mal investovať do FIDO kľúča namiesto antivírusu ?

  • Antivírusový softvér od Microsoftu dosahuje lepšie výsledky než väčšina konkurentov na trhu: AV-Comparatives
  • Žiadne ďalšie poplatky nemusíte platiť
  • Porovnanie nárastu phishingu vs pokles malwaru od roku 2007:

phishing vs malware

Zdroj:Google Safe Browsing

Čo sa stane ak použijem FIDO kľúč v prípade phishingového útoku?

Nič. Hacker získa vaše meno a heslo, ale bez FIDO kľúča je mu to zbytočné. FIDO kľúče sú stavané na rozpoznanie cielených phishingových útokov (app ID musí byť rovnaké ako origin). Okrem toho majú v sebe viacero vstavaných funkcií ako ochrana pred klonovaním, podpisovanie vygenerovanej challange a mnoho iných, ktoré poskytujú dodatočný level ochrany. Viac informácií o tom ako fungujú FIDO kľuče nájdete v tomto videu: 

Je inštalácia náročná ?

Nie. Pripravili jednoduchý video návod kde krok po kroku si spoločne prejdeme spárovanie kľúčov pre najznámejšie služby. 

Dá sa zistiť spojitosť medzi jednotlivými účtami?

Nie. Každá služba ma iný verejný kľúč. Ten kľúč slúži ako náhodne generovaný identifikátor pre jednotlivú službu. Facebook ma iný identifikátor (verejný kľúč) ako Google a nikto nedokáže nájsť spojitosť medzi jednotlivými účtami. Viac informácií sa dozviete v tomto článku.

Prečo je FIDO bezpečnostný kľúč lepší ako Google authentifikátor alebo SMS?

Súkromie

Pri aplikáciách sa vaše osobné údaje nielen zbierajú, dokonca môžu byť ponúknuté a predané tretím stranám, tzv. third parties. FIDO kľúč funguje off-line, nezbiera a neposiela o vás žiadne údaje.

Bezpečnosť

Mobilné aplikácie fungujú online, stačí malware v telefóne a hacker sa dostane k "hashu" potrebnému na vygenerovanie kódu. FIDO kľúč funguje offline a má v sebe čip- Secure Element, ktorý je vstavaný na rôzne formy útokov ako je napríklad malware.

Ochrana pred Phishingom

Aplikácie generujú časove kódy, väčšinou je to 30 sekúnd a tie nechránia pred phishingom, ale len pred unikom databáz hesiel. FIDO kľuč naopak využíva asymetrickú kryptografiu a dokáže odhaliť aj sofistikované phishingove útoky. Okrem toho chráni aj pred Brute force, MITM, Keylogger a inými cielenými útokmmi.

Úspora času

Nie je potrebné mať nainštalovanú žiadnu ďalšiu aplikáciu - a už vôbec netreba žiadne následné kódy vkladať manuálne. Stačí iba jeden dotyk na kľúči, ktorý môžete použiť pre neobmedzené množstvo účtov.

PIV funkcia

Drahšie verzie FIDO kľúčov, ktoré majú funkciu PIV je možne použiť na vygenerovanie certifikátov a následne použiť ako SmartCard pre šifrovacie programy (Bitlocker) alebo na prihlásenie do MacOS.

Čo je to pokročila ochrana od Google ?

Jedná sa o ochranu určenú pre rizikové osoby ako sú novinári, biznismeni a politici. Na zapnutie tejto ochrany je potrebné mať aspoň dva FIDO kľúče. Obnovenie účtu v prípade straty trvá 3-5 dní. Viac info: Nejsilnější zabezpečení účtu od Googlu v podobě programu pokročilé ochrany

Prihláste sa prosím znovu

Ospravedlňujeme sa, ale Váš CSRF token pravdepodobne vypršal. Aby sme mohli Vašu bezpečnosť udržať na čo najvyššej úrovni, potrebujeme, aby ste sa znovu prihlásili.

Ďakujeme za pochopenie.

Prihlásenie