Tak. Ale myślenie niektórym nie wychodzi :))) Dlatego lepiej dać im klucz, bo wtedy nie muszą myśleć. Mogą się łapać na phishingi i nic im się nie stanie.
@@NiebezpiecznikTV Czy w przypadku posiadania skrzynki na o2 jest sens przenoszenia jej na Gmaila ze względu na potencjalnie lepsze zabezpieczenia? I czy da się to w miarę prosto zrobić?
'Rozważ zakup klucza U2F, możesz go kupić w naszym sklepiku. Będzie nam bardzo miło' - to jest chyba najskuteczniejsza i najgrzeczniejsza reklama jaką w życiu słyszałem. Wy powinniście zajmować się nie tylko bezpieczeństwem, ale też marketingiem w sieci. Pierwszy raz w życiu po obejrzeniu filmu na YT kupię coś co poleca autor. Czapki z głów.
Poradnik świetny, zwłaszcza dla osób mniej technicznych. Dobra robota! Choć coś dodam od siebie: -brakowało mi wspomnienia o opcji dodania swojego smartfona jako klucza U2F na Gmailu (choć co prawda ma to trochę ograniczeń) -Pomimo tego, że mam dodany drugi adres email oraz numer telefonu, po kliknięciu "Odzyskaj hasło" Gmail prosi o klucz U2F... albo idzie przez inne etapy, takie jak kody z authenticatora, ale nie proponuje mi odzyskania SMSem lub emailem... to chyba dobrze :D -A co z kluczami U2F, które na takim amazonie są za ok. $10. Warto im ufać, czy są to jakieś chińskie podróbki nie warte pieniędzy? A może zawierają jakieś backdoory, dlatego tak tanie? :D
Jak wytimeoutuje pytanie o klucz przy resecie hasła to powinno ci pokazać "nie mam dostępu do klucza" / "spróbuj innej opcji" o tam będzie mail/tel. Klucze za 10 usd są bardzo łatwe do uszkodzenia. Te od yubico czy feitiana są bardzo dobrze zabezpieczone. Można wyprać i działają :)
Sprawdziłem, i drugi gmail, który nie ma włączonego 2FA prosi o sprawdzenie pomocniczego emaila, natomiast konto zabezpieczone kluczem U2F nie oferuje mi takiej możliwości przywrócenia. :D
Fajna piżama. A tak poważnie, mam nadzieję, że to początek serii takich porad ;-)? Jesteście wszystkim teraz potrzebni a przy okazji macie z tego zajebistą reklamę i prowizję ze sprzedaży kluczy U2F. Dzięki i pozdrawiam
Manager haseł - super. Uprzedzając pytania - co się stanie, gdy stracimy dostęp do tego managera. To nie jest problem, wystarczy, że znamy hasło do swojego e-maila, a resztę haseł będziemy mogli odtworzyć. ... :) ....
Dobra, a co w takim razie z aplikacją uwierzytelniającą YubiKey Authenticator? Czy ja tez najlepiej wyłączyć? Czy w takim razie najlepiej po włączeniu 2FA-wyłączyć wszystkie opcje logowania SMS oraz aplikacja uwierzytelniająca i pozostawić tylko klucz YubiKey?
2:46 zapamiętywanie haseł w przeglądarce bezpieczne? Nie wierzę, że to powiedziałeś... przy Chrome wystarczy zdobyć z komputera ofiary jeden plik i mamy wszystkie hasła, które można prosto odkować! Z KeePassem też bym uważał, łatwo podkraść hasła...
Nie wiem czy dobrym pomysłem jest odpiecie zapasowego maila i telefonu z gmaila. Zdarzyla mi sie sytuacja, ze nagle z jakiegos niezrozumialego dla mnie powodu wylogowalo mnie z gmaila, a on zaczal wymagac odemnie dodatkowej weryfikacji. Praktycznie rzecz biorac zablokowalem sobie skrzynke chyba na zawsze bo nie jestem na nia sie w jakikolwiek sposob dostac. Gmail chce odemnie ostatnio uzywanego hasla, ktore wpisuje automatycznie przez menedzer hasel ale i tak dostaje wiadomosc, ze nie sa w stanie uwierzytelnić mojej osoby. Po googlowaniu okazalo sie, ze byloby to latwe do naprawienia jezeli mialbym podpiety jakis telefon lub email, bez tego jest to raczej niemozliwe.
Nie. O tym mamy cały 1,5h webinar, pokazujący jak weryfikować sklepy? Jak bezpiecznie płacić? Jakie są scamy i jak nie dać się oszukać? Na co uważać? Plus co robić jak dojdzie cegła zamiast rzeczy która zamówiliśmy albo jak najsprytniej prawnie obsłużyć reklamacje/rękojmię. Tu go możesz zobaczyć: sklep.niebezpiecznik.pl/opis/9
ja to chętnie bym o tych kluczach U2F posłuchał, bo w teorii chętnie bym nabył, ale najbardziej obawiam się tego, że i ten zapasowy zgubie. Jak takie rzeczy obejść?
Czyli robić odcinek dedykowany kluczom? A proszę bardzo! Zrobimy. A co do pytania - wiele serwisów przy podpięciu pierwszego klucza wyświetla kilkunastoznakowy kod. Zapisz go sobie gdzieś w bezpiecznym miejscu. Jak zgubisz klucz, to zamkamiast klucza możesz się jednorazowo zalogować tym kodem (i odpiąć zgubiony klucz lub dokonfigurować inny). Ta opcja nie zadziała jak się ma włączoną Zaawansowana Ochrone w Gmsilu, tam trzeba mieć dwa klucze (bo kod wciąż można wyłudzić, a ludzie często go gubia lub zapominają gdzie go schowali).
@@NiebezpiecznikTV ooo to dobrze wiedzieć, że są jednorazowe klucze zapasowe. A co do gubienia, to z doświadczenia wiem, że jak sie ma jedną kopię zapasową, to lepiej niż żadnej, ale do ideału to jeszcze daleka droga. Swoją drogą, co w przypadku, gdybym jednak włączył tą zaawansowaną ochronę gmail-a i mimo to zgubił klucze? Jest jakaś opcja jeszcze odzyskania konta? Telefon do CEO googla? Cokolwiek? W pomocy wiele nie znalazłem.
@@zuraw8484 rozważ założenie awaryjnego konta, na które każesz gmailowi przesyłać wszystkie wiadomości. Nigdzie tego konta nie podawaj, ustaw super długie i skomplikowane hasło (np. hasło frazowe) i nie podpinaj żadnych kluczy, numerów telefonów, maili. Jeśli nie będziesz się na nie logował częściej niż raz na rok czy dwa lata (w celu uniknięcia usunięcia konta) i nie będziesz go realnie używał, to w ten sposób masz w miarę bezpieczną kopię zapasową wszystkich wiadomości z bardzo małym prawdopodobieństwem odkrycia takiego konta przez jakichś hakerów cwaniaków ;)
@@FrykaS. hmm, ciekawy patent. Nawet kiedys myslalem, by robic cykliczna kopie gmail-a jakims narzedziem, ale w koncu pomysl upadl. Nie jest to idealne rozwiazanie, chodz pewnie trzeba by sie przyzwyczaic, no i idelanych to nie ma. Dzieki
Poprawka, mój pomysł nie wypali, gdyż zakładając konto Google musisz podać numer telefonu, a dodatkowo G lubi zapytać o dodatkową weryfikację, więc lipa.
Kiedy można spodziewać się 5 porad jak posprzątać po włamaniu? to już ponad rok :) byłoby super gdyby udało się kontynuować serię gdyż jest bardzo pomocna!
Ja tam robię unikatowe hasła tak, że mam skrypt który mi je generuje na podstawie nazwy strony. Algorytm, prosty - wpisuję nazwę strony, skrypt dopisuje coś gdzieniegdzie, hashuje, wybiera odpowiednie znaki i mi je wyświetla. Proste, a nie ma możliwości, żeby ktokolwiek podkradł jedno konto, znając hasło drugiego.
Poczty typu o2, onet, czy interia, to syf. Jeśli ktoś posiada tam e-maila to przez samą ilość spamu na tych skrzynkach, jeśli to tylko możliwe, to warto ją zmienić.
Jeśli wyłączysz odzyskiwanie hasła poprzez nr telefonu lub zapasowy email, w jaki sposób chcesz odzyskać dostęp do Gmail jeśli np. zgubisz, uszkodzisz lub zostanie skradziony klucz U2F?
Dlatego musisz mieć 2 klucze u2f w razie jakbyś jeden zgubił/uszkodził drugi masz w sejfie. To jak z kluczami do mieszkania jak zgubisz i nie masz duplikatu to udowodnienie, że gdzieś mieszkasz może być trudne. Google przykładowo ma procedurę, że może wysłać maila po 48h, ochrona zaawansowana wydłuża ten okres. Ale spełnione musi być dużo warunków (między innymi zgadzać się system, urządzenie, adres IP z którego korzystasz w ciągu ostatnich 7 dni) etc. Inne konta mogą mieć kody zapasowe lub wymagać podania nr telefonu/aplikacji totp jako backup. Posiadacz 4 kluczy yubikey. Do usług.
Rada #1: Kiedyś się nie zastosowałem i jak ktoś mi ukradł konto gta5 to na szczęście gmail miał inne hasło bo cała reszta takie samo jak te w gta i dotarcie do ładu ze wszystkimi kontami zajęło mi masę czasu. Od tamtej pory kepass i hasła generowane wszędzie inne. Mój najtrudniejszy okres życia w sieci
od wczoraj interesuje się tematem zabezpieczeń od kąd dla mojej znajomej haker przejął konto na FB zmienił email wykasował jej nr tel wyslala do FB prosbe o odzyskanie konta filmik video i skan dowodu ale zeby się zalogować musi kupić ten klucz u2F ja na razie powłączalem u siebie Authenticator wcześniej o dziwo o tej aplikacji nie słyszalem jak pewnie większość osob ale zamierzam też zakupić klucz u2F dziekuje za swietny film !
Czy Wy, tam na Podlasiu, nie znacie przecinków? To bardzo przydatne znaczki, które potrafią zmienić całkowicie znaczenie i sens wypowiedzi (albo uczynić ją bezsensowną) - warto się ich nauczyć. Serio! Przy okazji: nie istnieje słowo "kąd".
A czy menadżer haseł da radę zhakować? Bo jeżeli tak, to lepiej mieć hasła zapisane w specjalnym zeszycie. W takim razie pozostanie im siłowe łamanie hasła. Osoba nie techniczna. Tak, klucz to dobra alternatywa i do wszystkiego nawet powinno być do odpalania systemu. Jako osoba nie techniczna sam za bardzo nie wiem jak to działa ale czytałem o gośćiu, który używał pen drivea do odpalania linuxa. Miał tam coś zapisane na tym pendku bez, którego system nie odpalił by się.
Panie Niebezpiecznik, co pan sądzi o użyciu smartfona w roli klucza U2F? Google udostępniło taką możliwość. Klucz wprowadzany jest nie przez USB, tylko przez Bluetooth. Warto, nie warto?
Dzięki za tą audycję ! Polboxa pamiętam. Płatna onetpoczta jest niestety hmmm mało skuteczna w wyłapywaniu spamu od Indiry z Kirgystanu ( Pisownia oryginalna..), nie kumam jak ich algorytm może być tak słaby, a jak pisałem do nich kpiącego maila na temat antyspamu to niekompetentna odpowiedź przyszła od jakiegoś chyba amatora w IT : kogo na miły Bóg oni tam zatrudniają haha ? Poza tym protona oczywiście...
A co gdy się taki klucz U2F zgubi (i ma się tylko jeden)? Na przykładzie GMaila - konto jest już nie do odzyskania (po wcieleniu rady nr 4 i przy braku aktywnych sesji)?
OK, a jaki pomysł na całkowite usuwanie up...wego spamu (np. z od tej samej osoby albo w nazwie ciągle to samo imię z fikcyjnymi nazwami kont) poza folder spam? Na przykład aby skrzynka e-mail nie przyjmowała (umieszczonych w filtrze) określonych nazw. Pisanie do Google, to jak gadanie do obrazu. Zastanawiam się czy to nie jest pozwolenie Google za kasę.
pracując w urzędzie próbowałem drożeć mozillę thunderbird ze składnikiem enigmail . Działało to nawet całkiem całkiem ale był duży opór pracowników . Obecnie rozszerzenie enigmail jest blokowane przez mozillę .
@@UncoloredKnife Przede wszystkim gdy wiadomości są zaszyfrowane GnuPG, to nie można szybko znaleźć konkretnego maila korzystając z wyszukiwarki programu pocztowego czy wyszukiwarki w webmailu.
@@UncoloredKnife Dodatkowo jak przy dodawaniu klucza nowej osoby potwierdzić jego wiarygodność, nie mając możliwości kontaktu innym zaufanym kanałem czy też osobiście.
@@UncoloredKnife Doskonale rozumiem. Czy masz na myśli sieć zaufania? Że powinienem zaufać, że klucz, który dodaję do swojego pęku kluczy należy na pewno do mojego znajomego, bo został podpisany przez 2 innych znajomych, do których mam średnie zaufanie, że naprawdę weryfikują klucze? Czy może masz coś innego na myśli pisząc, że nie ogarniam idei PGP lub GnuPG? A sama idea PGP to oparcie szyfrowania na parze kluczy - publicznym i prywatnym czyli szyfrowanie asymetryczne, gdzie nie trzeba wcześniej ustalać klucza deszfrującego jak przy algorytmach symetrycznych. Możesz napisać, dlaczego sądzisz, że nie ogarniam idei PGP?
Autentykacja dwuskładnikowa w Google nie wymaga przepisywania kodów, Google wyświetla na urządzeniu prośbę o potwierdzenie. To wydaje się zabezpieczać przed przejęciem kodu fejkową witryną, czyż nie?
A w dzisiejszym cyber świecie jest cokolwiek za darmo? Moim zdaniem nie, więc darmowy manager haseł już brzmi podejrzanie albo naiwnie. Czy ktoś sponsoruje ten projekt w nadziei na późniejsza monettyzację?
Ja mam wszystkie hasała zapisane na kartce. Kartka mieści się w kieszonce telefonu. Jest to może bardziej obsługowe, i raz na rok-dwa lata muszę je przepisywać, ale sprawdza się i przede wszystkim nie do shakowania. Pozdrawiam.
Jak mnie wkurzają te tanie chwyty typu "Masz ? MUSISZ !" Serio, macie na tyle wartościowy kontent, że lepiej sobie darować te żenujące teksty w tytułach.
Hmm nie ma zabezpieczenia przed niemyśleniem (( bitdeffender uszkodzony dysk kpia raz w tygodniu i tragedia, dysku odszyfrować nie można hasła do archiwum Pani sobie przypomniała ale okazało się uszkodzone. Tiaaa nie ma to jak super zabezpieczenia przed myśleniem. Ludzie robią kopie ale nie patrzą by je sprawdzać. Idealnego rozwiązania nie ma. Naprawiałem laptopa który miał nano u2f w usb bo ktoś zapomniał wyjąć. Oddał laptopa z kluczem aaa ratunku
Dobrze rozumiem że jeśli zgubię lub zniszczę oba klucze u2f to już nigdy nie dostanę się do konta, i to jest właśnie powód żeby mieć więcej kluczy (np. dwadzieścia dwa) ?
To prawda, że są lepsze i gorsze skrzynki. Ale jeśli jakaś działa z kluczami U2F, to wdrożenie tych rad całkiem nieźle zabezpieczy nawet tę gorszą. Ludzie mają problem ze zmianą e-maila na inny, bo stary zostawili w wielu miejscach... Często nie pamiętają gdzie. Usunięcie maila to ryzyko (ktoś przejmie skrzynkę), więc "zapomniane" skrzynki też warto pozabezpieczać do granic możliwości i odpiąć od wszystkiego co się da (pamięta). Na wszelki wypadek.
Tylko, że ten serwer pocztowy zazwyczaj jest o wiele gorzej zabezpieczony od takiego gmaila, oraz nie dysponuje bazą setek tysięcy zagrożeń, które są automatycznie wychwytywane i oznaczane użytkownikowi.
@@kuba729 Jak jest to firma to jest wstanie zatrudnić ludzi co będą wstanie dobrze i rygorystycznie polatać coś takiego. Dalej to już pozostaje fakt, że jak ktoś lub coś chce się gdzie włamać, to nie ważne co dana osoba lub firma/organizacja zrobi, to z większym lub mniejszym trudem nastąpi
Ja osobiście mam i gmaila i maila na interii, ale oba są używane przez Outlook. Sam siedzę w IT i moją pasją w tej dziedzinie są zabezpieczenia (narazie dopiero te zagadnienia w praktyce poznaję na studiach, wcześniej sama teoria, którą poznałem sam dla siebie). I moje pytanie jest takie, czy sam Outlook lub VPN lub oba naraz wystarczą do dobrego zabezpieczenia e-maila??
A w jaki sposób program pocztowy zainstalowany na twoim komputerze lub połączenie VPN miałoby chronić przed nieautoryzowanym dostępem do twojego konta na serwerze pocztowym?
W przypadku resetowania hasła to numer telefonu czy pomocniczy adres mailowy są zakryte. Atakujący najpierw musiał by ustalić jaki to jest adres czy numer i wtedy dopiero go próbować łamać.
Jeżeli usuniesz nr telefonu jako dodatkowy kanał logowania, Google będzie przyp.dalać się przy każdej okazj, żądając dodania tego sposobu potwierdzania z powrotem i wmawiając, że jest to najbezpieczniejsze z możliwych.
@@NiebezpiecznikTV Podejrzewam, że chodzi o własną domenę podpiętą do skrzynki Gmail. W takim przypadku będzie to samo co z domeną gmail.com, bo serwer ten sam i te same zabezpieczenia.
Ale własną domenę musisz gdzieś podpiąć :) Gmail nie pozwala na wskazanie na siebie. Pozwala Google workforce, ale to usługa płatna (i jak najbardziej godna polecenia).
Ja mam tak że zalogowałem się na konto GMAIL zmieniłem hasło dałem weryfikację 2 etapową no i tak ktoś mi wchodzi na konto i zmienia hasła do facebooka,discorda,epicgames itd jak zroić tak żey nikt mi na konto nie wchodził jest to możliwe ????????🙁
A jaką mam gwarancję, że hasła nie wypłyną z menadżera haseł?. Przecież za tym, też ktoś stoi. Ja mam hasła zapisane w mózg i stąd nikt ich nie wykradnie.
@Niebezpiecznik, A znacie jakiś sposób na użycie klucza U2F wewnątrz sesji RDP? Czyli jak zalogować się np. do githuba, z 2FA ustawionym na klucz U2F, na komputerze, do którego łączę się poprzez RDP? Samo przekierowanie "urządzenia" w RDP, tak aby klucz U2F był widoczny na komputerze, do którego się łączę, to nie problem. Problem w tym, że Microsoft nie wspiera WebAuthN wewnątrz sesji RDP.
@@NiebezpiecznikTV, czyli niestety MS+RDP nie są jeszcze gotowi na U2F ... :( Zespół projektowy MS odpisał mi w tym roku, że mają to w planach, ale nie podali żadnych szczegółów
@Niebezpiecznik, jak synchronizować bazę keepass'a? Mam na komputerze służbowym, prywatnym i na telefonie keepass'a, ale w pewnym momencie zaczynają mi się rozjeżdżać...
Wpisujcie gdzie macie maile, pomoże nam to wybrać serwisy, do których bezpośrednio się odniesiemy w kolejnych filmach. PS. Kto pamięta polbox? 😜
Po ostatnich wypowiedziach JKM-a to chyba proton by się przydał :P
Wirtualna Polska
Int.pl (interia bez reklam)
o2 i onet
Wirtualna Polska
WP, onet, gmail, proton
Najważniejsze aby zawsze "myśleć" co się robi, a nie klikać jak przymulona osoba (dalej, dalej, dalej....)
Tak. Ale myślenie niektórym nie wychodzi :))) Dlatego lepiej dać im klucz, bo wtedy nie muszą myśleć. Mogą się łapać na phishingi i nic im się nie stanie.
@@NiebezpiecznikTV "Łamałem ludzi, nie hasła" Sztuka podstępu Kevin Mitnick
@@psst07 też polecam
@@NiebezpiecznikTV Czy w przypadku posiadania skrzynki na o2 jest sens przenoszenia jej na Gmaila ze względu na potencjalnie lepsze zabezpieczenia? I czy da się to w miarę prosto zrobić?
@@psst07 Dokładnie . Nawet najlepsze zabezpieczenia są nia nic jeśli użytkownik\admin to fujara. Mógłbym powiedzieć więcej ale.....
'Rozważ zakup klucza U2F, możesz go kupić w naszym sklepiku. Będzie nam bardzo miło' - to jest chyba najskuteczniejsza i najgrzeczniejsza reklama jaką w życiu słyszałem. Wy powinniście zajmować się nie tylko bezpieczeństwem, ale też marketingiem w sieci. Pierwszy raz w życiu po obejrzeniu filmu na YT kupię coś co poleca autor. Czapki z głów.
Tylko 21 tysięcy wyświetleń ? Ten film powinien mieć 21 milionów
Cześć. Zróbcie proszę coś a Apple, iCloud mail. Jak oceniacie Państwo ich bezpieczeństwo? etc. Dziekuje!
Poradnik świetny, zwłaszcza dla osób mniej technicznych. Dobra robota! Choć coś dodam od siebie:
-brakowało mi wspomnienia o opcji dodania swojego smartfona jako klucza U2F na Gmailu (choć co prawda ma to trochę ograniczeń)
-Pomimo tego, że mam dodany drugi adres email oraz numer telefonu, po kliknięciu "Odzyskaj hasło" Gmail prosi o klucz U2F... albo idzie przez inne etapy, takie jak kody z authenticatora, ale nie proponuje mi odzyskania SMSem lub emailem... to chyba dobrze :D
-A co z kluczami U2F, które na takim amazonie są za ok. $10. Warto im ufać, czy są to jakieś chińskie podróbki nie warte pieniędzy? A może zawierają jakieś backdoory, dlatego tak tanie? :D
Jak wytimeoutuje pytanie o klucz przy resecie hasła to powinno ci pokazać "nie mam dostępu do klucza" / "spróbuj innej opcji" o tam będzie mail/tel.
Klucze za 10 usd są bardzo łatwe do uszkodzenia. Te od yubico czy feitiana są bardzo dobrze zabezpieczone. Można wyprać i działają :)
Sprawdziłem, i drugi gmail, który nie ma włączonego 2FA prosi o sprawdzenie pomocniczego emaila, natomiast konto zabezpieczone kluczem U2F nie oferuje mi takiej możliwości przywrócenia. :D
Fajna piżama.
A tak poważnie, mam nadzieję, że to początek serii takich porad ;-)?
Jesteście wszystkim teraz potrzebni a przy okazji macie z tego zajebistą reklamę i prowizję ze sprzedaży kluczy U2F.
Dzięki i pozdrawiam
Zobaczymy. Bardzo męczące jest robienie filmów na YT.
To fakt, ale efekt końcowy jest bardzo wartościowy! :)
Manager haseł - super. Uprzedzając pytania - co się stanie, gdy stracimy dostęp do tego managera.
To nie jest problem, wystarczy, że znamy hasło do swojego e-maila, a resztę haseł będziemy mogli odtworzyć.
... :) ....
Poczta na wp jest dość popularna i sami o niej tu nawiązujecie, więc może wp, interia, onet..
Tak, interia by była mile widziana
Dobra, już więcej argumentów nie potrzebuję - kupiłem właśnie parę kluczy U2F.
ale po co jak jest DUPA8 ?
Win10 przy instalacji nie umożliwia rezygnacji z pytań zabezpieczających :) Dlatego trzeba tam umieszczać różne głupoty.
Przy instalacji nie podlaczaj internetu. Tworzysz wtedy konto offline i dopiero do niego podlacz konto swoje juz po instalacji.
Dobra, a co w takim razie z aplikacją uwierzytelniającą YubiKey Authenticator? Czy ja tez najlepiej wyłączyć? Czy w takim razie najlepiej po włączeniu 2FA-wyłączyć wszystkie opcje logowania SMS oraz aplikacja uwierzytelniająca i pozostawić tylko klucz YubiKey?
Poproszę o porady dotyczące e- mail na Interia
Najlepsza porada to: zmienić dostawcę emaila
2:46 zapamiętywanie haseł w przeglądarce bezpieczne? Nie wierzę, że to powiedziałeś... przy Chrome wystarczy zdobyć z komputera ofiary jeden plik i mamy wszystkie hasła, które można prosto odkować! Z KeePassem też bym uważał, łatwo podkraść hasła...
To co proponujesz w takim razie?
@@FrykaS. na pewno NIE trzymanie haseł w chmurze... które też autorzy Niebezpiecznika uznają za bezpieczne 😎
Świetny kanał, wszystko super wyjaśnione. Zajebista broda! Zazdro ;)
Tylko po co ta broda? Niby zamaskowanie w razie zbyt dużej ilości nachodźców?
Na wszystkich urządzeniach mam Kasperskiego, czy jest to faktycznie pomocne czy to za mało ?! Dzięki !🍀🍀🍀 mam konto gmail
Nie wiem czy dobrym pomysłem jest odpiecie zapasowego maila i telefonu z gmaila. Zdarzyla mi sie sytuacja, ze nagle z jakiegos niezrozumialego dla mnie powodu wylogowalo mnie z gmaila, a on zaczal wymagac odemnie dodatkowej weryfikacji. Praktycznie rzecz biorac zablokowalem sobie skrzynke chyba na zawsze bo nie jestem na nia sie w jakikolwiek sposob dostac. Gmail chce odemnie ostatnio uzywanego hasla, ktore wpisuje automatycznie przez menedzer hasel ale i tak dostaje wiadomosc, ze nie sa w stanie uwierzytelnić mojej osoby. Po googlowaniu okazalo sie, ze byloby to latwe do naprawienia jezeli mialbym podpiety jakis telefon lub email, bez tego jest to raczej niemozliwe.
Super seria :)
będzie odcinek o zakupach w sieci ?
Nie. O tym mamy cały 1,5h webinar, pokazujący jak weryfikować sklepy? Jak bezpiecznie płacić? Jakie są scamy i jak nie dać się oszukać? Na co uważać? Plus co robić jak dojdzie cegła zamiast rzeczy która zamówiliśmy albo jak najsprytniej prawnie obsłużyć reklamacje/rękojmię.
Tu go możesz zobaczyć: sklep.niebezpiecznik.pl/opis/9
@@NiebezpiecznikTV O super, dziękuję :)
Super informacje, poproszę o suplement do poczty Interia
ja to chętnie bym o tych kluczach U2F posłuchał, bo w teorii chętnie bym nabył, ale najbardziej obawiam się tego, że i ten zapasowy zgubie. Jak takie rzeczy obejść?
Czyli robić odcinek dedykowany kluczom? A proszę bardzo! Zrobimy. A co do pytania - wiele serwisów przy podpięciu pierwszego klucza wyświetla kilkunastoznakowy kod. Zapisz go sobie gdzieś w bezpiecznym miejscu. Jak zgubisz klucz, to zamkamiast klucza możesz się jednorazowo zalogować tym kodem (i odpiąć zgubiony klucz lub dokonfigurować inny). Ta opcja nie zadziała jak się ma włączoną Zaawansowana Ochrone w Gmsilu, tam trzeba mieć dwa klucze (bo kod wciąż można wyłudzić, a ludzie często go gubia lub zapominają gdzie go schowali).
@@NiebezpiecznikTV ooo to dobrze wiedzieć, że są jednorazowe klucze zapasowe. A co do gubienia, to z doświadczenia wiem, że jak sie ma jedną kopię zapasową, to lepiej niż żadnej, ale do ideału to jeszcze daleka droga.
Swoją drogą, co w przypadku, gdybym jednak włączył tą zaawansowaną ochronę gmail-a i mimo to zgubił klucze? Jest jakaś opcja jeszcze odzyskania konta? Telefon do CEO googla? Cokolwiek? W pomocy wiele nie znalazłem.
@@zuraw8484 rozważ założenie awaryjnego konta, na które każesz gmailowi przesyłać wszystkie wiadomości. Nigdzie tego konta nie podawaj, ustaw super długie i skomplikowane hasło (np. hasło frazowe) i nie podpinaj żadnych kluczy, numerów telefonów, maili. Jeśli nie będziesz się na nie logował częściej niż raz na rok czy dwa lata (w celu uniknięcia usunięcia konta) i nie będziesz go realnie używał, to w ten sposób masz w miarę bezpieczną kopię zapasową wszystkich wiadomości z bardzo małym prawdopodobieństwem odkrycia takiego konta przez jakichś hakerów cwaniaków ;)
@@FrykaS. hmm, ciekawy patent. Nawet kiedys myslalem, by robic cykliczna kopie gmail-a jakims narzedziem, ale w koncu pomysl upadl. Nie jest to idealne rozwiazanie, chodz pewnie trzeba by sie przyzwyczaic, no i idelanych to nie ma.
Dzieki
Poprawka, mój pomysł nie wypali, gdyż zakładając konto Google musisz podać numer telefonu, a dodatkowo G lubi zapytać o dodatkową weryfikację, więc lipa.
Komputer na śmietnik, gotówka w materacu, gole baby w agencjach, wiadomości w maglu i można żyć bezpiecznie a hakery wyzdychają.
No to czekamy na kodowanie sygnału poprzez splątanie kwantowe... ciekawe kiedy to zostanie wdrozone
Kiedy można spodziewać się 5 porad jak posprzątać po włamaniu? to już ponad rok :) byłoby super gdyby udało się kontynuować serię gdyż jest bardzo pomocna!
bump
bump
Ja tam robię unikatowe hasła tak, że mam skrypt który mi je generuje na podstawie nazwy strony. Algorytm, prosty - wpisuję nazwę strony, skrypt dopisuje coś gdzieniegdzie, hashuje, wybiera odpowiednie znaki i mi je wyświetla. Proste, a nie ma możliwości, żeby ktokolwiek podkradł jedno konto, znając hasło drugiego.
ProtonMail?
skąd mógłbym dostać link do tego telegrama, albo jakiś innych ciekawych kanałów
mam maila self-hosted.
nadal to testuje, bo mam w planach zrezygnować z Gmaila, probóję się odgooglować.
Poczty typu o2, onet, czy interia, to syf. Jeśli ktoś posiada tam e-maila to przez samą ilość spamu na tych skrzynkach, jeśli to tylko możliwe, to warto ją zmienić.
Gdzie jest film jak chronić urządzenie przed infekcją?
Jeśli odepnę nr telefonu i adres pomocniczy, w to w jaki sposób odzyskam zagubione hasło ?
Czy można shakować klucz U2F? :)
Klucz U2F można zgubić :) Ogólnie mówiąc zhakować też się da . Próbowaliście robić przelewy bankowe wpisując nr konta bezpośrednio w obszar pamięci ?
@@marek5070 To inaczej. Można go sklonować? :)
@@szafirmeru nie
a nie prościej jest zastosowanie szyfrów asymetrycznych ?
Pozdrowienia !!! Co sadzisz o protonmail ?
Jeśli wyłączysz odzyskiwanie hasła poprzez nr telefonu lub zapasowy email, w jaki sposób chcesz odzyskać dostęp do Gmail jeśli np. zgubisz, uszkodzisz lub zostanie skradziony klucz U2F?
Dlatego musisz mieć 2 klucze u2f w razie jakbyś jeden zgubił/uszkodził drugi masz w sejfie. To jak z kluczami do mieszkania jak zgubisz i nie masz duplikatu to udowodnienie, że gdzieś mieszkasz może być trudne.
Google przykładowo ma procedurę, że może wysłać maila po 48h, ochrona zaawansowana wydłuża ten okres. Ale spełnione musi być dużo warunków (między innymi zgadzać się system, urządzenie, adres IP z którego korzystasz w ciągu ostatnich 7 dni) etc.
Inne konta mogą mieć kody zapasowe lub wymagać podania nr telefonu/aplikacji totp jako backup.
Posiadacz 4 kluczy yubikey. Do usług.
Świetna robota. Ale… dlaczego Iwonka i Roman a nie Iwona i Romanek? I dlaczego to ona w roli ofiary, a on w roli agresora?
Dziękuję Wujku Dobra Rada! 😉
O padło słowo "durne". Fajnie :D
No dobra, a kody które można wydrukować do weryfikacji dwu etapowej? Czemu o tym nie wspomniałeś?
Rada #1: Kiedyś się nie zastosowałem i jak ktoś mi ukradł konto gta5 to na szczęście gmail miał inne hasło bo cała reszta takie samo
jak te w gta i dotarcie do ładu ze wszystkimi kontami zajęło mi masę czasu. Od tamtej pory kepass i hasła generowane wszędzie inne. Mój najtrudniejszy okres życia w sieci
od wczoraj interesuje się tematem zabezpieczeń od kąd dla mojej znajomej haker przejął konto na FB zmienił email wykasował jej nr tel wyslala do FB prosbe o odzyskanie konta filmik video i skan dowodu ale zeby się zalogować musi kupić ten klucz u2F ja na razie powłączalem u siebie Authenticator wcześniej o dziwo o tej aplikacji nie słyszalem jak pewnie większość osob ale zamierzam też zakupić klucz u2F dziekuje za swietny film !
Czy Wy, tam na Podlasiu, nie znacie przecinków? To bardzo przydatne znaczki, które potrafią zmienić całkowicie znaczenie i sens wypowiedzi (albo uczynić ją bezsensowną) - warto się ich nauczyć. Serio!
Przy okazji: nie istnieje słowo "kąd".
Miło by było jakieś porady na pocztę Onetu zobaczyć :)
wystarczy jedna, zmień pocztę :P
A czy menadżer haseł da radę zhakować? Bo jeżeli tak, to lepiej mieć hasła zapisane w specjalnym zeszycie. W takim razie pozostanie im siłowe łamanie hasła. Osoba nie techniczna. Tak, klucz to dobra alternatywa i do wszystkiego nawet powinno być do odpalania systemu.
Jako osoba nie techniczna sam za bardzo nie wiem jak to działa ale czytałem o gośćiu, który używał pen drivea do odpalania linuxa. Miał tam coś zapisane na tym pendku bez, którego system nie odpalił by się.
No no nieźle, akurat mam ten problem.. SUB i ŁAPA
🙏🙏🙏 co ja bym bez Was zrobiła 🍀🍀🍀
Przy smartfonie wlaczcie PIN karty sim bo on no w iphonie szyfruje zawartosc danych w telefonie
Bitlocker nie w każdej wersji windowsa jest dostępny :(
Piotrze gdzie można taką koszulkę kupić :) - może jako gratis do 2 kluczy u2f ?:)
OK, do kupionych kluczy będziemy dokładać adres sklepu z tą koszulką ;) /pk
Nic nie musze, wszystko moge.!
a co Państwo sądzicie o menagerze haseł: eWallet od firmy Ilium Software, Inc. Mam taki, czy jest OK?
Panie Niebezpiecznik, co pan sądzi o użyciu smartfona w roli klucza U2F? Google udostępniło taką możliwość. Klucz wprowadzany jest nie przez USB, tylko przez Bluetooth. Warto, nie warto?
Ma to pewne ograniczenia i wady, ale lepszy taki niż żaden.
Ok, ustawiając sobie uwierzytelnienie po kluczu U2F, mogę najpierw ustawić jeden klucz, a za jakiś czas dokupić drugi i go dopisać do konta?
Tak.
Czy aplikacja Last Pass też jest świetna to trzymania oraz generowania haseł??
Dzieki za poradnik ;)
Dzięki za tą audycję ! Polboxa pamiętam. Płatna onetpoczta jest niestety hmmm mało skuteczna w wyłapywaniu spamu od Indiry z Kirgystanu ( Pisownia oryginalna..), nie kumam jak ich algorytm może być tak słaby, a jak pisałem do nich kpiącego maila na temat antyspamu to niekompetentna odpowiedź przyszła od jakiegoś chyba amatora w IT : kogo na miły Bóg oni tam zatrudniają haha ?
Poza tym protona oczywiście...
A co gdy się taki klucz U2F zgubi (i ma się tylko jeden)? Na przykładzie GMaila - konto jest już nie do odzyskania (po wcieleniu rady nr 4 i przy braku aktywnych sesji)?
Przy spinaniu klucza możesz wygenerować hasło ratunkowe, ale dla wysokiego bezpieczeństwa nie polecamy. Lepiej podpiąć drugi klucz.
OK, a jaki pomysł na całkowite usuwanie up...wego spamu (np. z od tej samej osoby albo w nazwie ciągle to samo imię z fikcyjnymi nazwami kont) poza folder spam?
Na przykład aby skrzynka e-mail nie przyjmowała (umieszczonych w filtrze) określonych nazw.
Pisanie do Google, to jak gadanie do obrazu.
Zastanawiam się czy to nie jest pozwolenie Google za kasę.
czemu jak 4 godziny rozmawialiscie ze złodziejami nie skontaktowaliscie sie z policja? w 4 godziny to by ich chyba jakos namierzyli
Ja mam na Interii :d
Co w przypadku, gdy np. mam klucz U2F, ale mój tablet nie posiada NFC. Co wtedy? Jak mogę się zalogować?
Poczta na iCloud od Apple.
Podobno bardzo bezpieczna.
Ale chętnie oglądane o nim film.
Czy da się używać klucza U2F z klientem poczty Thunderbird?
U2F już chyba podrabiają, więc najlepsza metoda nadal, to głowa na karku
Nie, nie "podrabiają"
@Niebezpiecznik może coś o kluczach PGP ?
Jest w kolejnym - o unikaniu inwigilacji skrzynki przez kogoś kto już się do niej dostał. 👍
pracując w urzędzie próbowałem drożeć mozillę thunderbird ze składnikiem enigmail . Działało to nawet całkiem całkiem ale był duży opór pracowników . Obecnie rozszerzenie enigmail jest blokowane przez mozillę .
@@UncoloredKnife Przede wszystkim gdy wiadomości są zaszyfrowane GnuPG, to nie można szybko znaleźć konkretnego maila korzystając z wyszukiwarki programu pocztowego czy wyszukiwarki w webmailu.
@@UncoloredKnife Dodatkowo jak przy dodawaniu klucza nowej osoby potwierdzić jego wiarygodność, nie mając możliwości kontaktu innym zaufanym kanałem czy też osobiście.
@@UncoloredKnife
Doskonale rozumiem. Czy masz na myśli sieć zaufania? Że powinienem zaufać, że klucz, który dodaję do swojego pęku kluczy należy na pewno do mojego znajomego, bo został podpisany przez 2 innych znajomych, do których mam średnie zaufanie, że naprawdę weryfikują klucze?
Czy może masz coś innego na myśli pisząc, że nie ogarniam idei PGP lub GnuPG? A sama idea PGP to oparcie szyfrowania na parze kluczy - publicznym i prywatnym czyli szyfrowanie asymetryczne, gdzie nie trzeba wcześniej ustalać klucza deszfrującego jak przy algorytmach symetrycznych.
Możesz napisać, dlaczego sądzisz, że nie ogarniam idei PGP?
A łonet?
1:48 Ja sobie zapisuje wszystkie hasła do zwykłego zeszytu i chowam w bezpieczne miejsce.
Autentykacja dwuskładnikowa w Google nie wymaga przepisywania kodów, Google wyświetla na urządzeniu prośbę o potwierdzenie. To wydaje się zabezpieczać przed przejęciem kodu fejkową witryną, czyż nie?
Nie. Iwonka się loguje? Tak. To kliknie w powiadomienie.
Ja mam pocztę na o2 :-)
A w dzisiejszym cyber świecie jest cokolwiek za darmo? Moim zdaniem nie, więc darmowy manager haseł już brzmi podejrzanie albo naiwnie. Czy ktoś sponsoruje ten projekt w nadziei na późniejsza monettyzację?
Przede wszystkim nie zostawiać na mailu idiotyzmów typu PIT, zdjęcia dowodu osobistego itd...
Chyba nie padło nic o zabezpieczeniu managera haseł. Keepas ma możliwość zabezpieczenia kluczem u2f.
Po co?
Najtańszy Yubikey nie zadziała. Trzeba do tego Yubikeya 5, który jest sporo droższy.
Ja mam wszystkie hasała zapisane na kartce. Kartka mieści się w kieszonce telefonu. Jest to może bardziej obsługowe, i raz na rok-dwa lata muszę je przepisywać, ale sprawdza się i przede wszystkim nie do shakowania. Pozdrawiam.
Dopóki nie zgubisz telefonu
No cóż, jak pech to pech...:)
A jakieś klucze z firmware open source?
Jak mnie wkurzają te tanie chwyty typu "Masz ? MUSISZ !" Serio, macie na tyle wartościowy kontent, że lepiej sobie darować te żenujące teksty w tytułach.
Dworczyk to ten specjalista od kowida?
Świetny materiał
Hmm nie ma zabezpieczenia przed niemyśleniem (( bitdeffender uszkodzony dysk kpia raz w tygodniu i tragedia, dysku odszyfrować nie można hasła do archiwum Pani sobie przypomniała ale okazało się uszkodzone. Tiaaa nie ma to jak super zabezpieczenia przed myśleniem. Ludzie robią kopie ale nie patrzą by je sprawdzać. Idealnego rozwiązania nie ma. Naprawiałem laptopa który miał nano u2f w usb bo ktoś zapomniał wyjąć. Oddał laptopa z kluczem aaa ratunku
Dobrze rozumiem że jeśli zgubię lub zniszczę oba klucze u2f to już nigdy nie dostanę się do konta, i to jest właśnie powód żeby mieć więcej kluczy (np. dwadzieścia dwa) ?
Nie używać poczt typu Interia, WP itd. GMail, a gdy się robi coś bardziej konkretnego, ma biznes czy coś to wtedy tylko własny serwer pocztowy
To prawda, że są lepsze i gorsze skrzynki. Ale jeśli jakaś działa z kluczami U2F, to wdrożenie tych rad całkiem nieźle zabezpieczy nawet tę gorszą. Ludzie mają problem ze zmianą e-maila na inny, bo stary zostawili w wielu miejscach... Często nie pamiętają gdzie. Usunięcie maila to ryzyko (ktoś przejmie skrzynkę), więc "zapomniane" skrzynki też warto pozabezpieczać do granic możliwości i odpiąć od wszystkiego co się da (pamięta). Na wszelki wypadek.
Tylko, że ten serwer pocztowy zazwyczaj jest o wiele gorzej zabezpieczony od takiego gmaila, oraz nie dysponuje bazą setek tysięcy zagrożeń, które są automatycznie wychwytywane i oznaczane użytkownikowi.
Z tego co wiem to Interia ma opcje dodania klucza U2F
@@kuba729 Jak jest to firma to jest wstanie zatrudnić ludzi co będą wstanie dobrze i rygorystycznie polatać coś takiego. Dalej to już pozostaje fakt, że jak ktoś lub coś chce się gdzie włamać, to nie ważne co dana osoba lub firma/organizacja zrobi, to z większym lub mniejszym trudem nastąpi
Ja osobiście mam i gmaila i maila na interii, ale oba są używane przez Outlook. Sam siedzę w IT i moją pasją w tej dziedzinie są zabezpieczenia (narazie dopiero te zagadnienia w praktyce poznaję na studiach, wcześniej sama teoria, którą poznałem sam dla siebie). I moje pytanie jest takie, czy sam Outlook lub VPN lub oba naraz wystarczą do dobrego zabezpieczenia e-maila??
Nie
A w jaki sposób program pocztowy zainstalowany na twoim komputerze lub połączenie VPN miałoby chronić przed nieautoryzowanym dostępem do twojego konta na serwerze pocztowym?
Pytanie: czy klucz u2f mozna przypisac do wiecej jak jednego konta?
Tak. Ten sam do wielu.
@@NiebezpiecznikTV super, dzieki za odp :)
W przypadku resetowania hasła to numer telefonu czy pomocniczy adres mailowy są zakryte. Atakujący najpierw musiał by ustalić jaki to jest adres czy numer i wtedy dopiero go próbować łamać.
Nie są zakryte w pełni. To wystarczy jak się zna pewne narzędzia i techniki osintowej :)
Czy klucz wbudowany telefonu jest równie skuteczny jak dedykowany klucz u2f?
Jeżeli usuniesz nr telefonu jako dodatkowy kanał logowania, Google będzie przyp.dalać się przy każdej okazj, żądając dodania tego sposobu potwierdzania z powrotem i wmawiając, że jest to najbezpieczniejsze z możliwych.
W ochronie zaawansowanej trzeba podpiąć dokładnie 2 klucze, nie można 3. Chore.
Prywatna domena + gmail jako klient. Czy takie rozwiązanie tworzy jakieś nowe podatności? Dzięki, b dobry materiał.
Prywatny serwer wykryje ataki? Sam się zapatchuje? Ostrzeże przy nieautoryzowanym wejściu? Po co to komplikować?
@@NiebezpiecznikTV Podejrzewam, że chodzi o własną domenę podpiętą do skrzynki Gmail. W takim przypadku będzie to samo co z domeną gmail.com, bo serwer ten sam i te same zabezpieczenia.
Ale własną domenę musisz gdzieś podpiąć :) Gmail nie pozwala na wskazanie na siebie. Pozwala Google workforce, ale to usługa płatna (i jak najbardziej godna polecenia).
Super dziękuję
czyli wystarczy zerknąć na adres strony i nie trzeba kupować kluczy U2F? :D
Nie.
Ja mam tak że zalogowałem się na konto GMAIL zmieniłem hasło dałem weryfikację 2 etapową no i tak ktoś mi wchodzi na konto i zmienia hasła do facebooka,discorda,epicgames itd jak zroić tak żey nikt mi na konto nie wchodził jest to możliwe ????????🙁
Czy to czasem nie jest reklama klucza!?
A jaką mam gwarancję, że hasła nie wypłyną z menadżera haseł?. Przecież za tym, też ktoś stoi. Ja mam hasła zapisane w mózg i stąd nikt ich nie wykradnie.
OK, wytłumaczmy to krok po kroku: Jak ktoś miałby wykraść Twoje hasła z Managera Haseł?
@Niebezpiecznik,
A znacie jakiś sposób na użycie klucza U2F wewnątrz sesji RDP?
Czyli jak zalogować się np. do githuba, z 2FA ustawionym na klucz U2F, na komputerze, do którego łączę się poprzez RDP?
Samo przekierowanie "urządzenia" w RDP, tak aby klucz U2F był widoczny na komputerze, do którego się łączę, to nie problem.
Problem w tym, że Microsoft nie wspiera WebAuthN wewnątrz sesji RDP.
Można symulować aoftwarowo. Ale to wtedy traci sens zwłaszcza jeśli jest Access po rdp do hosta. Riiiiskyyy
@@NiebezpiecznikTV, czyli niestety MS+RDP nie są jeszcze gotowi na U2F ... :(
Zespół projektowy MS odpisał mi w tym roku, że mają to w planach, ale nie podali żadnych szczegółów
Czy warto ustawiać w keepass plik klucza, bez którego nie otworzymy bazy danych?
Jakiej aplikacji do bazy keepass używacie na Androidzie?
Nie warto.
A jak takie u2f ma się do bezpieczeństwa konta emial np. W telefonie, gdzie jesteśmy zalogowani cały czas?
Tak samo jak do bezpieczeństwa laptopa gdzie jesteś zalogowany cały czas. Urządzenie powinno być blokowane i mieć szyfrowany dysk (rada 5)
Protonmail ^_^ zajmijcie się nim w pierwszej kolejności lul
Takie pytanie, czy ten sam klucz U2F może wykorzystać więcej niż jedna osoba (do dwóch osobnych kont)?
Może, o ile jej ufasz
@@NiebezpiecznikTV Kurcze, o żonie myślałem, ale daliście mi do myślenia... :D
A co z weryfikacja dwuetapową gdzie nie ma kodu lecz konieczne jest potwierdzenie w aplikacji na telefonie ? To chyba bezpieczny sposób
Tak jak pokazano na filmie - można to "kliknięcie" wyłudzić, bo przeciez ofiara mysli, ze sie loguje, wiec klika na "tak, wlasnie sie loguje".
@Niebezpiecznik, jak synchronizować bazę keepass'a? Mam na komputerze służbowym, prywatnym i na telefonie keepass'a, ale w pewnym momencie zaczynają mi się rozjeżdżać...
Przez dropbox
Tak jak na adnotacji - dowolna chmura :)
klucz U2F to fajna sprawa szkoda tylko że nie ma jakiegoś standardu który by działał na każdej stronie :)
Aplikacja authenticator jak ustawić wygenerować ? Mam tylko opcje "Klucz bezpieczeństwa" lub "Sms lub połącznie głosowa"
Wrzucisz screena?