Blog

Dlaczego należy pozbyć się haseł?

Niemal codziennie używamy zbieraniny znaków w celu uzyskania dostępu do telefonu, komputera, portalu społecznościowego, elektronicznej skrzynki pocztowej czy banku. Podawanie haseł i loginów weszło nam w nawyk i utrwala nas w przekonaniu skutecznej ochrony, dając poczucie bezpieczeństwa. Tymczasem metodologia dostępu oparta o hasła (notabene wymyślona w 1963 roku) niechybnie stała się bezużyteczna, niebezpieczna i już dawno powinna być ciekawostką historyczną a nie podstawą współczesnej praktyki.

Według raportu Digital Shadows Photon Research Team z 2020 roku, w Darknecie, można kupić lub odnaleźć (zupełnie za darmo) około 15 miliardów loginów i haseł: do portali społecznościowych, chmur wymiany danych, mediów strumieniowych, VPN-ów oraz stron z treściami dla dorosłych. Kilka razy do roku słyszymy o dużych wyciekach danych popularnych serwisów, które swoją skalą doprowadzają do zawrotu głowy.

  • W 2011 Playstation Network – 77 milionów kont użytkowników (wraz z niezaszyfrowanymi danymi kart kredytowanych) ;
  • 2014 roku Yahoo – 3 miliardy kont użytkowników;
  • eBay – 145 milionów kont;
  • w 2016 Uber – 57 milionów kont;
  • rok 2019 – Facebook – 540 milionów kont,

…a to tylko kilka z najbardziej porażających wycieków w cyfrowej współczesności. W ostatnich tygodniach zrobiło się również głośno o rzekomej kradzieży kodów źródłowych gier takich jak Witcher 3 czy Cyberpunk 2077, czyli produktów, które mogły do tej pory, przynieść twórcom dochód w wysokości 2 miliardów dolarów. Jakkolwiek nie szlifowalibyśmy systemów bezpieczeństwa, jakkolwiek nie przeszkolilibyśmy ich administratorów – ba, moglibyśmy nawet zastąpić ich nieomylnymi robotami, niepodatnymi na socjotechnikę, to wszystko nie przyniesie rezultatu, ponieważ uwierzytelnianie za pomocą haseł oponuje do pojęć faktycznego bezpieczeństwa.

Istnieje możliwość weryfikacji, czy nasz adres e-mail, powiązany z popularnymi serwisami www, nie został opublikowany w darknecie wraz z którymś z wycieków danych. Możemy to sprawdzić na stronie https://haveibeenpwned.com. Serwis poinformuje nas w którym wycieku doszło do kradzieży danych. W moim przypadku – zarówno adres e-mail, hasło jak i moja lokalizacja, przechowywane i zarejestrowane w serwisie Canva (internetowe narzędzie umożliwiające tworzenie projektów graficznych) zostały wykradzione w roku 2019, co dotknęło również 137 milionów innych użytkowników.

W pułapce “bezpiecznych” polityk

Wszystkie rekomendacje dotyczące złożoności haseł oraz ich długości, to budowanie złudzeń, niczym układnie coraz wyższego domku z kart, który zawsze będzie bezbronny wobec jednego fałszywego ruchu, zaś jego zawalenie stanie się jeszcze bardziej spektakularne.  Musimy uświadomić sobie, że współczesne techniki cyberprzestępców nie polegają na łamaniu haseł, lecz ich wykradaniu. Mówiąc wprost – kradzież hasła 30-znakowego jest tak samo trudne, jak kradzież hasła 6-znakowego. Metod jest wiele. Podsłuch publicznych sieci, ataki phishingowe, złośliwe oprogramowanie (instalowane dzięki lukom w przeglądarkach), ataki na źle zabezpieczone brzegi sieci czy też socjotechnika, niewymagająca specjalistycznej wiedzy komputerowej. Budowa długiego i skomplikowanego hasła często uniemożliwia jego zapamiętanie. Powoduje to konieczność korzystania z cyfrowych menadżerów haseł (zgrozo, wszystkie hasła w jednym miejscu), albo zapisaniu gdziekolwiek – czasem na biurku, czasem w portfelu, a czasem na pulpicie komputera. I całe to śrubowanie poziomu bezpieczeństwa spala na panewce. W myśl przepisywanych od lat w niemal w ten sam sposób polityk bezpieczeństwa, administratorzy sieci firmowych, starają się konfigurować systemy tak, aby wymuszały one na użytkownikach często zmianę haseł. Na pewno pogłębia to frustrację wśród pracowników i również na pewno nie przekłada się na wyraźny wzrost bezpieczeństwa. Sfrustrowany pracownik, muszący pamiętać co najmniej kilka haseł dostępu, zmienianych co miesiąc albo kwartał – obierze drogę na skróty, dopisując na końcu najprawdopodobniej numer miesiąca. Tym samym, wykradając jedno hasło, z łatwością będzie można odgadnąć hasła z przyszłości, pomimo, że nie zostały one jeszcze zastosowane. Warto wspomnieć o niesamowitej brawurze nierozsądku, jaką jest stosownie tego samego hasła do wielu systemów. Jednak uważam, że nie warto pogłębiać tematu ani rozdzielać praktyk dotyczących haseł na dobre i złe – to jak wybierać między klasycznym papierosem a elektronicznym. Jeszcze parę lat temu ludzie wierzyli w mit nieszkodliwości e-papierosa. Tymczasem, jedynym rozsądnym wyjściem jest rezygnacja z obydwu wersji zabójczego inhalowania swoich płuc.

Biometria to też hasło

Dane logowania cechuje statyczność. Posługujemy się tym samym loginem oraz hasłem wpisywanym wielokrotnie i sporadycznie lub wcale niezmienianym. Dlatego nigdy nie będą one w stanie udowodnić tożsamości właściciela. Skąd system ma wiedzieć, czy to właśnie prawowity właściciel wprowadził właściwe dane, czy może ktoś inny, nieuprawniony? Tu, na myśl przychodzi biometria, popularne w urządzeniach mobilnych odblokowywanie za pomocą linii papilarnych lub rozpoznania twarzy. Nie ma nic bardziej osobistego. Cóż, biometria wbrew pozorom, to niestety nic innego jak statyczne zabezpieczenie oparte o substytut haseł. Unikalny atrybut fizyczny, taki jak głos czy odcisk palca, jest w rzeczywistości przetwarzany w sygnał cyfrowy (A/C) i zapisywany w pamięci urządzenia w postaci cyfrowej sygnatury. Twój odcisk palca zostaje więc zamieniony w przykładowy ciąg znaków: YUO8640100. Brzmi znajomo? Tak, to nic innego jak hasło, które trzeba podać za pomocą innego interfejsu. Do złamania biometrycznych zabezpieczeń opartych o odcisk palca, wystarczy zdjęcie odcisku pozostawionego na odpowiedniej powierzchni (np. w 2019 roku publicznie dokonała tego chińska firma Tencent Security). Jeśli dane te zostaną nam wykradzione, nie ma dostępnych metod resetu. Biometria to wyjątkowo statyczna informacja (a w przeciwieństwie do haseł niemal niezmienna); jeśli pozyskamy zdjęcie twarzy, odcisku palca albo nagranie głosu, crackowanie oprogramowania odpowiedzialnego za biometryczne uwierzytelnienie, może okazać się zupełnie zbędne. W tańszych telefonach rozpoznawanie twarzy można oszukać za pomocą zdjęcia (które, można pobrać z portalu społecznościowego – np linkedl) oraz wydrukować.  W urządzeniach wyposażonych w bardziej zaawansowana technologię (np. Face ID od Apple) skuteczne okazały się dopiero modele masek wydrukowane techniką 3D. Oczywiście urządzenie okazało się również bezbronne w stosunku do brata bliźniaka, właściciela IPhona.

Zagrożenia związane z uwierzytelnianiem via SMS

Jeśli porzucimy całkowicie ideologie statycznych metod uwierzytelniania, na myśl przychodzą rozwiązania, znane chociażby z systemów bankowych (zwłaszcza w kontach biznesowych) – oprócz statycznego hasła, należy podać dodatkowo jednorazowe, wygenerowane losowo hasło. Metoda ta, wykorzystuje numer telefonu operatora, wysyłając do niego krótka wiadomość SMS. Wydawałoby się, że dzięki uwierzytelnianiu dwuskładnikowym docieramy do rozwiązania problemu. Jednakże, nawet ta metoda, ma pewna słabość. SIM-swap-fraud, czyli podmiana kart SIM, w ostatnim czasie zyskuje na popularności wśród cybeprzestępców. Jest to pokłosie wprowadzenia obowiązku rejestracji kart. Cóż, każdy kij ma dwa końce. Jeśli przestępcom, uda się pozyskać statyczne dane osobiste swojej ofiary, zgłaszają się do operatora z informacją o potrzebie wydania nowej karty SIM. Tu, kluczowym okazuje się ochrona nie tylko własnych danych osobowych, takich jak numer PESEL, ale również niepublikowanie numer telefonu, którego używamy jednocześnie do uwierzytelnień via SMS. Czy aby na pewno na swoim Facebooku nie udostępniasz z zasięgiem publicznym numeru telefonu, którego używasz do autoryzacji w banku?

Fizyczny klucz dostępu

Ostatecznie dochodzimy do rozwiązania, które szczerze rekomenduję. Mam nadzieję, że bez zbędnej zwłoki, stanie się ono powszechne i całkowicie darmowe (a jeżeli nie – to należałoby się zastanowić, ile będzie nas kosztować utrata danych i naszej prywatności i czy nie warto zainwestować w ich ochronę?). Twórcą rozwiązania o którym opowiem, jest firma Trusona, której ideowym hasłem jest “Authenticate people. Not passwords” oraz w efekcie, całkowita rezygnacja z metod uwierzytelnienia za pomocą haseł. Rozwiązanie oparte jest o powiązanie konta użytkownika danego systemu z jego urządzeniem mobilnym (nie zaś numerem telefonu). Nie wymaga więc ono zapamiętywania dodatkowych haseł, a jedynie posiadania urządzenia mobilnego, które tym samym staje się fizycznym kluczem dostępu. Oczywiście sama jego kradzież nie wystarczy potencjalnym przestępcom. Aplikacja mobilna nie zainstaluje się w niechronionym systemie. Mowa tutaj o dowolnej metodzie odblokowania urządzenia, czy to za pomocą wzoru czy biometrii.

Trusona posiada szereg integracji, w głównej mierze przeznaczonych dla zaawansowanych użytkowników, korzystających z komercyjnych systemów, takich jak Windows 10 (Active Directory), VPN (Cisco), Zendesk czy darmowych jak SSH (Linux) czy WordPress. Oczywiście nic nie stoi na przeszkodzie aby wykorzystać ją do dwuetapowego logowania np. na Facebook’u. Jednak ustawienia FB umożliwiają jedynie uruchomienie autoryzacji przez Trusona (lub inną aplikację np. Duo, Google Authenticator) tylko w przypadku logowania na nowym urządzeniu – co oczywiście umożliwi nam skuteczne zabezpieczenie swojego konta, bo chociaż nie wyeliminujemy z procesu uwierzytelniania konieczności podawania hasła, to w przypadku jego przechwycenia, oszust nie przejdzie jego drugiego etapu – na nieznanym urządzeniu.

Konfiguracja dwuskładnikowego uwierzytelniania dla Facebook

Pobrać i przetestować aplikację możemy z Google Play dla Androida oraz App Store dla iOS. Demo obrazuje zasady działania Trusona, umożliwiając zalogowanie się na konto serwisu, za pomocą mobilnej aplikacji, skanującej kod QR.

Poniżej krótka prezentacja Trusona zintegrowanego z Windows 10 (w ramach Active Direcotry).

Windows 10 login without passwords from Trusona on Vimeo.

W ostatnim czasie zaobserwowałem jak dwoje znajomych na FB straciło dostęp do kont. Ich hasła zostały wykradzione. Włączając dodatkowe uwierzytelnienie za pomocą urządzenia mobilnego skutecznie ochroniliby swoje konta. Rekomenduję wszystkim zastosowanie tej metody.
ustawienia i prywatność -> ustawienia -> bezpieczeństwo i logowanie -> uwierzytelnianie dwuskładnikowe
Jako aplikację możemy wykorzystać wersję demo Trusona, ale również wspomniane wcześniej Google Authenticator. Jeżeli posiadamy więcej niż jedno urządzenie mobilne, warto autoryzować wszystkie. Będą one stanowić nasze fizyczne klucze dostępu.

Warto również dodać, że rozwiązania firmy Trusona, rekomenduje Frank W. Abagnale (amerykański ekspert od zabezpieczeń czeków, eks-oszust, którego historia została spopularyzowana w filmie Złap mnie jeśli potrafisz), czy Kevin Mitnick, który rozwiązania te podaje za przykład bezpiecznej przyszłości – wolnej od haseł – myślę, że tak kwestia to całkiem dobre podsumowanie tematu.

Autor

Michał Słowik

Skomentuj

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *