Posłowie oraz członkowie rządu dostaną klucze U2F, które mają zabezpieczyć ich konta poczty elektronicznej. To efekt niemałej afery z ostatnich tygodni, której głównym elementem jest szef Kancelarii Prezesa rady Ministrów, Michał Dworczyk.
O tym, co wydarzyło się się z kontami poczty elektronicznej ministra Dworczyka pisaliśmy już tutaj. Wystarczy przypomnieć, że najpewniej w wyniku ataku phishingowego, skrzynka na serwerach wp.pl ministra Dworczyka znalazła się pod kontrolą atakujących. Nieco później dowiedzieliśmy się, że również skrzynka poczty sejmowej szefa KPRM została zhakowana, ale Michał Dworczyk nie był jedyną ofiarą tych ataków. Z oświadczeń ABW i SKW dowiedzieliśmy się także, że za atakami ma stać grupa UNC1151, czyli rosyjscy hakerzy, powiązani ze służbami specjalnymi tego kraju. W efekcie ataku na ministra odpowiedzialnego również za cały program szczepień przeciwko SARS-CoV-2 w Polsce codziennie na światło dzienne wypływają skany pism, zrzuty ekranów, maile, itp. rzekomo pochodzące właśnie ze skrzynki mailowej ministra.
Jest jednak również pozytywny efekt całej afery. Posłowie, senatorowie oraz członkowie rządu mają być, przynajmniej w teorii, bezpieczniejsi za sprawą kluczy U2F, które mają otrzymać – jeszcze w tym miesiącu – i które pozwolą zabezpieczyć ich konta poczty elektronicznej, donosi Dziennik Gazeta Prawna. Wreszcie chciałoby się powiedzieć, choć nie wszyscy są optymistami co do takiego rozwiązania.
W przypadku poczty sejmowej to wystarczyłoby uwierzytelnienie dwuskładnikowe z potwierdzeniem za pomocą zwykłego SMS-a. Obawiam się, że przy codziennych obowiązkach często będą sytuacje, gdy ktoś taki klucz zgubi i utraci dostęp do poczty. Wydaje mi się, że na poczcie sejmowej nie ma aż tylu istotnych rzeczy, by je jakoś specjalnie zabezpieczać. Jest taka zasada w cyberbezpieczeństwie, że koszty zabezpieczenia nie powinny znacząco przekroczyć kosztów, które możemy ponieść w razie włamania, twierdzi poseł Michał Gramatyka z Polska 2050.
Problem zgubienia klucza U2F faktycznie istnieje, bowiem w takim przypadku praktycznie uniemożliwia to dostęp do usługi. Twierdzenie jednak, że koszt klucza za około 100 złotych przewyższa ewentualne straty wycieku z kont poczty sejmowej przyjmujemy z lekkim uśmiechem. Jeśli na takiej poczcie nie ma rzeczy, które należałoby zabezpieczyć, to gdzie wobec tego są? Poseł Gramatyka myli się również w innej stawianej przez siebie tezie. Owszem, dwuskładnikowe uwierzytelnianie za pomocą SMS również jest jakimś rozwiązaniem, ale nie jest rozwiązaniem tak bezpiecznym, jak fizyczne klucze. Doświadczenie specjalistów od bezpieczeństwa komputerowego wyraźnie pokazuje bowiem, że i takie zabezpieczenie można skutecznie obejść przy dobrze zaplanowanym ataku ukierunkowanym.
Fizyczny klucz U2F
Fizyczny klucz U2F (Universal Second Factor) to urządzenie przypominające swoim wyglądem pamięć zewnętrzną i tak też się z niego korzysta. Urządzenie to jest wpinane w port USB komputera. Skonfigurowane na stronie obsługującej takie uwierzytelnianie za pomocą klucza sprzętowego generuje parę kluczy, które tam też (w danym serwisie) są przetrzymywane. Powoduje to, że klucza możemy teoretycznie użyć na nieskończonej ilości serwisów. Po skonfigurowaniu go, przy próbie logowania serwis w którym mamy konto wysyła tzw. challenge, który zostaje podpisany przez nasze urządzenie i wysłany z powrotem. Nasz klucz współpracuje bezpośrednio z przeglądarką co czyni go niepodatnym na ataki typu keylogger czy phishing.
Konfiguracja i użycie
Klucza sprzętowego możecie używać w przeróżnych serwisach. Jako przykład niech posłuży nam w tym przypadku Facebook. Uwierzytelnianie dwuskładnikowe możecie skonfigurować wchodząc w Ustawienia i prywatność, Ustawienia oraz opcję Bezpieczeństwo i logowanie. Znajdziecie tam Uwierzytelnianie dwuskładnikowe i opcję Klucz zabezpieczeń.
Konfiguracja jest banalna, w pewnym momencie będziecie musieli po prostu dotknąć złotego, podświetlonego miejsca klucza. Tak samo będzie w momencie, kiedy po skonfigurowaniu go będziecie chcieli się w jakimś serwisie zalogować. Nie ma praktycznie możliwości, żeby takie zabezpieczenie obejść. Klucz musicie mieć jednak przy sobie, niektóre serwisy proponują wydrukowanie i zachowanie w bezpiecznym miejscu kodów ratunkowych, które pozwolą wam odzyskać konto w przypadku uszkodzenia lub zagubienia klucza. I choć nie spotkałem się jeszcze z uszkodzeniem takiego urządzenia, to zgubić można je oczywiście bardzo łatwo. Jeśli chodzi o uciążliwość tego typu metody logowania to jest to kwestia przyzwyczajenia. Uciążliwość nie jest na tyle wielka, żeby mogła przysłonić nam plusy, jakie generuje w kwestii bezpieczeństwa naszych zasobów i kont.
Różne rodzaje kluczy
Na rynku znajdziecie różne rodzaje kluczy U2F. Najtańsza i podstawowa wersja tak naprawdę wystarczy większości z użytkowników. Obsługuje podstawowe protokoły U2F oraz FIDO2 oraz posiada wsparcie dla NFC. Inne, droższe modele, obsługują również karty inteligentne, OpenPGP, OTP lub są dedykowane dla urządzeń Apple.
Testowany przeze mnie klucz to Yubico Security Key NFC przekazany przez Zaufana Trzecia Strona, który obecnie służy również do zajęć ze studentami oraz uczniami technikum na kierunku cyberbezpieczeństwo.
Zobacz więcej