YubiKey do kryptowalut – jak skonfigurować sprzętowy klucz bezpieczeństwa?

Konfiguracja YubiKey do kryptowalut polega na zalogowaniu się na wybraną giełdę, przejściu do ustawień bezpieczeństwa w sekcji 2FA i fizycznym dotknięciu włożonego do portu USB klucza sprzętowego po wyświetleniu monitu. Taki proces natychmiastowo wiąże Twoje konto z unikalnym układem kryptograficznym urządzenia, całkowicie blokując zdalne próby kradzieży środków przez ataki phishingowe. To fizyczna bariera nie do przejścia dla hakerów. Zwykłe hasła dawno przestały działać.

Prawda jest zresztą absolutnie taka, że jeśli trzymasz na giełdzie równowartość dobrego samochodu, a logujesz się tam za pomocą kodu z SMS-a, to prosisz się o tragedię. Kod z wiadomości tekstowej można przechwycić w piętnaście minut. Wystarczy atak typu SIM swap. Pracownik salonu operatora komórkowego wyrabia duplikat Twojej karty na podstawie fałszywego dowodu i haker ma dostęp do wszystkiego. YubiKey do kryptowalut ucina ten wektor ataku w ułamku sekundy. Masz klucz w dłoni, wchodzisz na konto. Nie masz klucza, odbijasz się od ściany. I tyle.

Dlaczego YubiKey do kryptowalut to obecnie jedyna sensowna opcja?

Siedziałem niedawno w naszym starym biurze na Pradze Północ w Warszawie. Deszcz lał, a my próbowaliśmy podpiąć nowe tokeny FIDO2 pod stare laptopy działu księgowości z mocno wyrobionymi portami USB-C. Połowa z nich nie stykała. Musieliśmy dosłownie podkładać złożone kartki papieru pod wtyczki, żeby certyfikat sprzętowy w ogóle przeszedł przez styk. Ale nawet przy takich problemach z fizycznym sprzętem wiedzieliśmy jedno. To najbezpieczniejsze rozwiązanie na rynku. Żadna aplikacja na telefon nie daje takiego poziomu ochrony.

Google Authenticator czy Authy to dobre narzędzia dla forów dyskusyjnych. Kiedy logujesz się na giełdę Binance lub Kraken, potrzebujesz standardu U2F. Hakerzy potrafią postawić fałszywą stronę giełdy, która wygląda identycznie jak oryginał. Wpisujesz tam hasło, a potem przepisujesz sześciocyfrowy kod z aplikacji Authenticator. Skrypt atakującego natychmiast przekazuje ten kod na prawdziwą giełdę i loguje się na Twoje konto. To tak zwany atak Man-in-the-Middle. Sprzętowy klucz bezpieczeństwa sprawdza pod maską prawdziwy adres URL witryny. Jeśli domena różni się choćby jednym znakiem, YubiKey po prostu odmówi podpisania żądania logowania. Milczy.

Jak działa standard FIDO2 i U2F w praktyce?

My w branży często zapominamy, jak to wyjaśnić zwykłemu użytkownikowi. Standard FIDO2 opiera się na kryptografii asymetrycznej. Kiedy rejestrujesz swój YubiKey na giełdzie krypto, urządzenie generuje parę kluczy. Klucz publiczny trafia na serwery giełdy. Klucz prywatny NIGDY nie opuszcza czarnego, plastikowego korpusu Twojego pendrive’a. Nie da się go skopiować, wyciągnąć ani odczytać przez złośliwe oprogramowanie na komputerze. Nawet jeśli masz na dysku wirusy, klucz prywatny jest bezpieczny.

Marek z naszego działu bezpieczeństwa zawsze powtarza jedno zdanie. Jak nie masz fizycznego tokena, to jesteś o jeden klik myszką od wyzerowania portfela. To brutalne, ale prawdziwe. Wymieniliśmy w firmie wszystkie stare metody weryfikacji na sprzętowe tokeny po tym, jak jeden z naszych klientów stracił bez mała prawie osiemdziesiąt procent swoich oszczędności przez fałszywego maila od rzekomego supportu giełdy.

Jak skonfigurować sprzętowy klucz bezpieczeństwa na giełdzie Binance?

Binance to wciąż największy gracz, więc od niego zaczynamy. Konfiguracja sprzętowego klucza bezpieczeństwa na tej platformie jest prosta, ale wymaga dokładności. Wiele osób gubi się w gąszczu opcji profilowych. Zrobiliśmy to wczoraj na robocie w pięć minut. Zaloguj się na swoje konto z komputera stacjonarnego lub laptopa. Nie rób tego z telefonu z pękniętą szybką w tramwaju.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

• Rozwiń menu swojego profilu w prawym górnym rogu ekranu, kliknij w zakładkę “Bezpieczeństwo” i znajdź sekcję opisaną jako Uwierzytelnianie Dwuskładnikowe (2FA), gdzie na samej górze listy powinien znajdować się przycisk dodania klucza sprzętowego opartego na protokole FIDO. Zignoruj wszystkie monity o pobieranie aplikacji mobilnych.
• Kliknij “Zarządzaj” przy opcji Passkeys/Klucze sprzętowe.
• Włóż YubiKey do portu USB, poczekaj na systemowy monit z przeglądarki i dotknij złotego styku na urządzeniu.
• Nadaj kluczowi rozpoznawalną nazwę, na przykład “Czarny Yubi domowy”.

Binance poprosi Cię o potwierdzenie tej operacji Twoimi starymi metodami. Musisz wpisać kod z maila i kod z aplikacji Authenticator ten ostatni raz. Od tego momentu Twoje konto jest zabetonowane. Nikt bez tego małego kawałka plastiku nie zaloguje się na Twój profil. To u nas w sumie chyba hipoteza z wczoraj, że giełdy w końcu wymuszą to na wszystkich użytkownikach. Na razie to opcja dobrowolna.

Giełda Kraken a YubiKey – gdzie kliknąć żeby to działało?

Kraken podchodzi do tematu bezpieczeństwa znacznie bardziej rygorystycznie niż konkurencja. Mają tam osobną kategorię ustawień. Zaloguj się na Krakena i wejdź w ustawienia profilu. Wybierz sekcję “Security”. Zobaczysz opcję “2FA Settings”. W przeciwieństwie do innych platform, Kraken pozwala przypisać osobne zasady logowania, osobne dla wypłat środków i osobne dla handlu margin.

Wybierz logowanie. Zmień metodę na “Hardware Key”. Włóż urządzenie do komputera. System poprosi o dotknięcie przycisku. Kraken pozwala na dodanie wielu kluczy sprzętowych do jednego konta. To niesamowicie ważna funkcja. Zawsze powinieneś mieć dwa klucze. Jeden nosisz przy sobie. Drugi leży głęboko w szufladzie u rodziców albo w skrytce bankowej. Zgubienie jedynego klucza sprzętowego oznacza potężny ból głowy i tygodnie użerania się z pomocą techniczną giełdy, wysyłania im zdjęć z dowodem osobistym przy twarzy.

Tabela wyraźnie pokazuje rozkład sił. YubiKey deklasuje wszystko. Oczywiście ktoś zapyta o Passkeys. To technologia oparta na tym samym standardzie FIDO, ale klucz prywatny jest przechowywany w module TPM Twojego laptopa lub smartfona. To wygodne. Ale my wolimy fizyczny token, który można odpiąć od komputera i schować do kieszeni.

Czy portfel sprzętowy typu Ledger gryzie się z YubiKey?

To pytanie pojawia się na forach bez przerwy. Zastanawiacie się zresztą, dlaczego trzeba kupować dwa różne urządzenia. Sam się nad tym borykałem dzisiaj u siebie w biurze. Odpowiedź jest prosta. Te urządzenia robią dwie zupełnie inne rzeczy. Ledger czy Trezor to portfele kryptowalutowe. Służą do przechowywania kluczy prywatnych do samych monet w sieci blockchain. Podpisujesz nimi transakcje wychodzące z Twojego własnego adresu w sieci Bitcoin lub Ethereum.

YubiKey to z kolei strażnik dostępu do usług webowych. Chroni Twoje logowanie na giełdę, na pocztę Gmail czy do menedżera haseł. Giełda to usługa scentralizowana. Trzymasz tam środki, ale technicznie należą one do giełdy, dopóki ich nie wypłacisz. YubiKey pilnuje Twojego konta u nich. Ledger pilnuje środków, które masz u siebie. Te urządzenia się nie wykluczają. One się uzupełniają. Używamy YubiKey, żeby bezpiecznie wejść na giełdę, kupić Bitcoina, a potem wypłacić go na Ledgera.

Yubico Authenticator – jak wycisnąć więcej z tego urządzenia?

Nie każda giełda i nie każdy serwis obsługuje protokół FIDO2 i U2F. Niektóre mniejsze platformy nadal wymagają przepisywania sześciocyfrowych kodów z aplikacji. Tu wchodzi do gry Yubico Authenticator. To aplikacja na komputer i telefon. Różni się od Google Authenticator tym, że kody nie są zapisane w pamięci telefonu.

Kody TOTP (Time-based One-Time Password) są generowane bezpośrednio w małym chipie wewnątrz YubiKeya. Odpalasz aplikację na telefonie, a ona jest pusta. Dopiero kiedy przyłożysz YubiKey do pleców telefonu wykorzystując moduł NFC, aplikacja pokazuje kody. Zabierasz klucz, kody znikają. Ktoś kradnie Ci telefon? Nie ma dostępu do Twoich kodów 2FA. To absolutnie genialne rozwiązanie dla serwisów, które jeszcze nie wdrożyły prawdziwego logowania sprzętowego.

Ochrona maila powiązanego z giełdą krypto

Zabezpieczenie giełdy kluczem sprzętowym to połowa sukcesu. Jeśli haker włamie się na Twoją skrzynkę mailową, może narobić ogromnych szkód. Może przechwycić komunikację z supportem, wyśledzić Twoje adresy wypłat, a w najgorszym razie zresetować hasła w innych serwisach. Skonfigurowanie YubiKeya na koncie Gmail lub ProtonMail to absolutna podstawa.

• Wybierz skrzynkę, której używasz wyłącznie do finansów i kryptowalut, ignorując adresy używane do zamawiania jedzenia czy rejestracji w sklepach odzieżowych.
• Wejdź w ustawienia konta Google, przejdź do sekcji bezpieczeństwa i dodaj YubiKey jako podstawową metodę weryfikacji dwuetapowej, po czym wykasuj całkowicie numer telefonu z opcji odzyskiwania konta.

Numer telefonu w ustawieniach Google to potężna dziura w systemie. Jeśli masz przypisany YubiKey, ale zostawisz opcję odzyskiwania przez SMS, haker po prostu wybierze “zapomniałem hasła”, kliknie “wyślij kod na telefon” i ominie Twój klucz sprzętowy. Usunęliśmy numery telefonów ze wszystkich kont firmowych. Wymaga to posiadania zapasowych kluczy, o czym pisałem wcześniej, ale poziom spokoju jest tego wart.

Co zrobić gdy zgubisz swój klucz sprzętowy?

Zgubienie jedynego klucza YubiKey to koszmar. Giełdy kryptowalut mają procedury odzyskiwania konta, ale są one celowo długie i uciążliwe. Będziesz musiał nagrać filmik, na którym trzymasz swój dowód tożsamości, mówisz dzisiejszą datę i oświadczasz, że chcesz zresetować 2FA. Weryfikacja takiego zgłoszenia przez człowieka po stronie giełdy trwa często od kilku dni do kilku tygodni. W tym czasie rynek krypto może się załamać, a Ty nie masz dostępu do swoich środków na Binance.

Dlatego zawsze kupuje się dwa urządzenia. Rejestrujesz oba na wszystkich giełdach i skrzynkach mailowych w tym samym czasie. Konfigurujesz pierwszego YubiKeya, dodajesz go do konta. Od razu klikasz “Dodaj kolejny klucz” i rejestrujesz drugi. Jeden ląduje przy kluczach od domu. Drugi w bezpiecznym miejscu. Kiedy zgubisz podstawowy token, po prostu wyjmujesz zapasowy, logujesz się na konto, usuwasz stary klucz z ustawień i zamawiasz nowy. Zero stresu. Zero blokad konta.

Wielu początkujących inwestorów omija ten temat, bo szkoda im pieniędzy na dwa klucze. Wydają tysiące złotych na prowizje giełdowe i chybione inwestycje w altcoiny, a oszczędzają ułamek tej kwoty na własnym bezpieczeństwie. To jest bez mała najgorsza opcja z wszystkich. Zabezpieczenie portfela kryptowalutowego zaczyna się od porządnych fundamentów sprzętowych.

Zmieńmy te zasady na robocie. Przestań polegać na darmowych aplikacjach i wiadomościach SMS, które w sieciach komórkowych latają otwartym tekstem. Masz czas do wieczora, żeby zalogować się na swoją giełdę, sprawdzić ustawienia zabezpieczeń i zamówić przynajmniej jeden fizyczny klucz. Potem usiądź przed komputerem, wepnij go w port i wyłącz wszystkie inne metody logowania.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Bibliografia:

1. Yubico – https://www.yubico.com
2. Binance – https://www.binance.com
3. Kraken – https://www.kraken.com
4. FIDO Alliance – https://fidoalliance.org
5. Ledger – https://www.ledger.com