Gmail i klucze Yubikey

[szary_wolf]

Witam

Mam takie pytanie. Czy klucze yubikey mogą dobrze zabezpieczyć gmaila? Dlaczego pytam, mam jedno z kont na gmail do którego miałem przypisany klucz yubikey. Niestety zgubiłem ten klucz. Więc teoretycznie nie powinienem mieć dostępu do gmaila(był to jedyny klucz yubikey do tego konta). Znałem jednak hasło do tego konta. Jakie było moje zdziwienie jak zalogowałem się i usunąłem bez problemu ten klucz. A przecież nie mogłem już mieć dostepu do tego konta. Więc jak to jest?

[szary_wolf]

A jeszcze tak się dopytam, co jest bezpieczniejsze, która poczta? Gmail czy płatna np. od home.pl albo inna płatna w Polsce na jakimś serwerze/hostingu?? Sam mam thecamels

[P3ch]

Jeśli mogłeś się zalogować do Gmaila tylko przy użyciu hasła, mimo że masz skonfigurowany klucz YubiKey jako metodę uwierzytelniania dwuskładnikowego (2FA), możliwe są następujące przyczyny:

1. Ustawienia 2FA (weryfikacji dwuetapowej) nie wymuszają klucza sprzętowego

Możliwe, że masz skonfigurowaną weryfikację dwuetapową z alternatywnymi metodami, takimi jak:

Powiadomienie na telefonie (Google Prompt),

Kody SMS,

Aplikację Google Authenticator,

Hasło zapasowe.

2. Sesja zaufana lub zapisane urządzenie

Jeśli wcześniej zaznaczyłeś opcję „Nie pytaj ponownie na tym urządzeniu” lub dodałeś urządzenie do zaufanych, Google może nie poprosić ponownie o klucz YubiKey przy kolejnych logowaniach.

3. Logowanie za pomocą aplikacji lub przeglądarki, która nie obsługuje WebAuthn/FIDO2

Niektóre aplikacje (np. starsze klienty poczty) mogą automatycznie przejść do trybu hasła aplikacji albo pominąć klucz, jeśli protokół logowania na to nie pozwala.

4. Nie aktywowałeś funkcji „Zaawansowane zabezpieczenia”

Google umożliwia wymuszenie klucza sprzętowego tylko po włączeniu programu Advanced Protection Program. Domyślna weryfikacja dwuetapowa pozwala na wiele opcji, z których YubiKey jest jedną z możliwych.

[szary_wolf]

OK zarejestrowałem i włączyłem to Advancad Protection Program, ale chciałbym wymusić abym mógł się logować tylko przez yubikey. Jak to zrobić?

[P3ch]

Aby wymusić logowanie wyłącznie za pomocą YubiKey w ramach Advanced Protection Program (APP) Google, musisz:

🔒 1. Upewnij się, że masz:

Dwa klucze bezpieczeństwa (np. YubiKey) — główny i zapasowy (to wymaganie APP).

Skonfigurowane logowanie przez klucz sprzętowy na koncie Google.

✅ 2. Jak wymusić logowanie tylko przez YubiKey:

Google już wymusza logowanie wyłącznie przy użyciu klucza bezpieczeństwa, jeśli:

Dołączyłeś konto do Advanced Protection Program,

Skonfigurowałeś YubiKey jako metodę logowania.

Oznacza to, że hasło i inne metody (np. SMS, Google Prompt, aplikacja Google Authenticator) zostają wyłączone. Nie musisz robić nic więcej — system sam to egzekwuje.

🔍 3. Jak to sprawdzić:

Wejdź na https://myaccount.google.com/security

W sekcji Logowanie w Google kliknij Weryfikacja dwuetapowa.

Powinieneś zobaczyć, że jedyne dozwolone metody to klucze bezpieczeństwa.

🔐 4. Opcjonalnie — usuń inne metody:

Jeśli nadal widzisz inne metody:

Usuń aplikację Google Authenticator, numery telefonów itd.

Pozostaw tylko aktywne klucze fizyczne (YubiKey).

Edytowane wczoraj o 07:17 przez P3ch

[szary_wolf]

Nie działa ten link do security. Ustawiłem sobie włączone bezpieczne przeglądanie.

[P3ch]

działa tylko usuń kropkę na końcu

[szary_wolf]

Mam tak:

 

A w "Klucze dostępu i klucze bezpieczeństwa" tylko dwa yubikey jako FIDO 2.

Edytowane wczoraj o 08:27 przez szary_wolf
pomyłka

[P3ch]

Wygląda na to, że konto jest prawidłowo skonfigurowane pod Advanced Protection Program.
Jeśli chcesz, aby dosłownie jedyną możliwą metodą logowania był YubiKey:

Usuń telefon jako metodę 2FA (jeśli jeszcze jest aktywny).

Upewnij się, że weryfikacja dwuetapowa nie zawiera Authenticatora ani SMS.

[szary_wolf]

OK usunąłem telefon do weryfikacji dwuetapowej.Tylko czy bezpiecznie jest jak zostawie sobie adres email pomocniczy i nr telefonu pomocniczy? To chyba tak do odzyskiwania haseł?

Czy możę też to usunąć?