Conversation

Czy dobrze rozumiem, że całe to wprowadzanie Yubikeyów przez PKO i ING jest,­ łagodnie mówiąc, mocno średnie?

Ciężko mi znaleźć jakieś sensowne informacje na ten temat – zarówno PKO jak i firma Yubikey (hmm) informuje głównie presskitami.

Znalazłem jednak czyjś post na LinkedInie, z którego wynika co następuje:

• Wspierane są faktycznie konkretnie Yubikeye, a nie dowolne klucze wspierające FIDO2 – ING ściemnia że “urządzenie nie wspiera FIDO2” jeśli nie jest to Yubikey, a PKO bezwstydnie mówi że z każdym innym kluczem można sobie isć na drzewodo rzecznika. Trochę lipa.
• Tu informacja z drugiej ręki, ale klucze najwyra­źniej służą do logowania się, ale już nie do np. potwierdzania przelewów, gdzie jak rozumiem funkcjonują stare dobre SMSy, zdrapki, czy też te nieszczęsne aplikacje mobilne
• Post z LI mówi też że Yubikeya można używać do logowania zamiast loginu i hasła – czyli zamienić jedno 1FA na drugie 1FA. Świetnie, brawo.

Cynik we mnie widzi w tym jakięś połączenie PRowego wybryku ze “sponsoringiem” od Yubico w podzięce za ordynarny vendor lock-in.

Źle na to patrzę? Rodziciele pytają się czy warto mieć ten “pendrive od bezpieczeństwa”, i wszystko co widzę sugeruje mi że kupowanie im Yubikeya pod choinkę to jedynie dosyć drogi security theater i wspieranie gównianych praktyk.