Co to są Yubikeye i generalnie sprzętowe klucze 2FA/MFA? Czy należy z nich korzystać, a jeśli tak to jak to robić bezpiecznie? Jak dokładnie działają od środka? Jak wdrożyć je w swojej firmie, a jak w życiu prywatnym? Na te pytania postaramy się odpowiedzieć podczas pierwszej edycji szkolenia, stanowiącej skrót wewnętrznych technicznych warsztatów Securitum z których korzystają audytorzy firmy.
Zapraszamy wszystkich miłośników procesów uwierzytelniania, bo dookoła tego tematu będziemy cały czas krążyć.
Szkolenie prowadzi Radosław Stachowiak, na codzień prezes Securitum Audyty, największej w tej części Europy firmy pentesterskiej.
WAŻNE INFORMACJE
- Szkolenie odbyło się w ramach Sekurak.Academy 2024
- Zapisi video trwa trzy godziny.
- Ze szkolenia będzie dostępne nagranie przez 60 dni (dla uczestników Sekurak.Academy do końca 2025 r.).
Czego dowiesz się podczas szkolenia
- Poznasz dokładnie zasadę działania kluczy sprzętowych 2FA/MFA.
Co powinieneś wiedzieć przed szkoleniem
- Wymagana podstawowa wiedza z zakresu IT, w szczególności w obszarach:
- zasada działania protokołu HTTP/HTTPS
- kryptografia symetryczna i asymetryczna (podstawy)
- typowy proces uwierzytelniania aplikacji webowych
Do kogo skierowane jest szkolenie
- Szkolenie przeznaczone jest dla osób technicznych z branży IT, na poziomach od podstawowego do średniozaawansowanego chcących dokładnie zrozumieć zasadę działania i zastosowanie kluczy sprzętowych 2FA/MFA. Seniorzy też skorzystają, choć w pojedynczych punktach, np. w formie zebrania i podsumowania materiału, tak by nie musieli sami tracić czasu na research.
Ważne: Dla osób nietechnicznych i/lub niezainteresowanych aspektami uwierzytelniania, szkolenie będzie mało atrakcyjne.
Agenda
Klucze sprzętowe, wprowadzenie
- Główne zastosowania i funkcjonalności
- Przegląd rynku: producenci i modele (czyt. co kupić, a czego nie)
- Protokoły i aplikacje w ramach kluczy
- Różnice i pułapki
- Bonus: passkeys wprowadzenie (zapowiedź części 2)
Teoria Analiza protokołu: U2F/FIDO1
- rejestracja
- uwierzytelnienie
- zabezpieczenia przed klasami ataków: phishing, mitm, replay, leak, cloning
- magia wynalazku Yubico: klucze non-resident
Praktyczne wykorzystanie kluczy sprzętowych
- Konfiguracja podstawowych aplikacji zaszytych na kluczu
- Korzystanie z kluczy wraz z password managerem
- Czego używać, a czego nie, podczas użycia YK
- Krótkie wprowadzenie do użycia FDE/SSH/MacOs (zapowiedź części 2)
- Czy przesiadać Babcie na Yubikey'a?
Bezpieczeństwo kluczy
- Ataki na klucze
- Klucze sprzętowe okiem pentestera:
Czyli co sprawdza Securitum w aplikacjach korzystających z kluczy - tajniki branży :)
Pytania i dyskusja
- Ankieta
- Kwadrans na Wasze pytania
- Pięć pytań dla uważnych widzów (z nagrodami :))
Przydatne informacje
- Zapis video trwa trzy godziny.
Co zawiera cena szkolenia
- Dostęp do nagrania ze szkolenia przez 60 dni (dla uczestników Sekurak.Academy 2024 do końca 2025 r.);
O prowadzącycym
Szkolenie poprowadzi Radosław Stachowiak, na codzień prezes Securitum Audyty, największej w tej części Europy firmy pentesterskiej. Pasjonat technologii i cyberbezpieczeństwa, swojego pierwszego PC dostał w 1990, zaś w latach dziewięćdziesiątych ubiegłego wieku ukończył informatykę na krakowskiej AGH. Współbudował spółki SoftwareMind i notowany na GPW Ailleron, gdzie pełnił funkcje wiceprezesa zarządu i COO. W przeszłości mocno związany z ruchem open source (Gentoo Linux Developer). Obecnie swój czas dzieli pomiędzy rodzinę, zarządzanie Securitum i wspinaczkę sportową (7.b).