Hasła odchodzą do lamusa. Biometryczne metody uwierzytelniania również budzą wiele zastrzeżeń. Nic nie jest w stanie zagwarantować stuprocentowego bezpieczeństwa w sieci, ale jeśli chroni nas przedmiot, taki jak klucz U2F, to przynajmniej wiadomo, że haker go nie ukradnie.

Od lat obserwujemy pojawianie się coraz nowocześniejszych sposobów uwierzytelniania, które mają zapewnić większe bezpieczeństwo w sieci. Okazuje się jednak, że również supernowoczesne technologie, jak biometria, mogą zawodzić. Phishing, czyli metoda ataku polegająca na wyłudzeniu od ofiary poufnych informacji, takich jak loginy, hasła czy dane karty kredytowej, to poważne i rosnące z roku na rok zagrożenie. Zespół CERT Polska, działający w strukturach NASK – Państwowego Instytutu Badawczego, w 2021 r. zarejestrował 116 tys. zgłoszeń dotyczących incydentów cyberbezpieczeństwa. Najpopularniejszy wśród nich był phishing, który stanowił aż 77% wszystkich obsłużonych zdarzeń. W porównaniu z 2020 r. liczba incydentów sklasyfikowanych jako phishing wzrosła o 196%. W dobie uwierzytelniania się za pomocą SMS-ów, biometrii czy MFA – procesu absolutnie niefizycznego – sięganie po przedmiot, czyli fizyczny klucz bezpieczeństwa U2F, może się wydawać pomysłem w stylu retro. Jednak specjaliści od cyberbezpieczeństwa są zgodni co do tego, że to najlepszy jak dotąd sposób na zabezpieczenie danych logowania. W końcu klucz U2F nosi się w kieszeni, a nie trzyma w pamięci komputera, do którego tak łatwo uzyskać dostęp.

Biometryczne hakerstwo

Przyjrzyjmy się jednak na początek popularnym sposobom uwierzytelniania. Jedną z najbardziej rozpowszechnianych metod jest biometria, czyli wykorzystywanie do uwierzytelniania wizerunku twarzy lub wzoru linii papilarnych. Z technik biometrycznych można korzystać nie tylko w urządzeniach mobilnych, ale też w pecetach. Są szybkie i wygodne, więc nic dziwnego, że zyskują na popularności. Niczego nie trzeba zapamiętywać, a dostęp do urządzenia, konta użytkownika czy bankowości zapewniają w oka mgnieniu. Bezpieczeństwo jednak rzadko kiedy idzie w parze z wygodą. Wraz z rozwojem biometrii rozwijało się biometryczne hakerstwo. Już nieraz informowano, że algorytmy rozpoznawania obrazu można oszukać za pomocą zdjęcia, z kolei czytniki linii papilarnych zezwalały na dostęp po przyłożeniu do nich przygotowanego w drukarce 3D modelu palca. Głośnym przypadkiem był wyczyn niemieckiej grupy technologicznych anarchistów Chaos Computer Club, znanej ze swoich demonstracji, które miały na celu pokazać, jak słabe są zabezpieczenia w komputerach. Członkowie grupy w 2014 r. zhakowali... odcisk palca Ursuli von der Leyen, ówczesnej minister obrony Niemiec, a dziś szefowej Komisji Europejskiej. Okazało się to wręcz proste. Hakerzy na konferencji prasowej wykonali kilka zdjęć dłoni pani minister zwykłym aparatem – każde pod innym kątem – i na tej podstawie odtworzyli odcisk palca. Można powiedzieć, że „bezpieczeństwo” kolejnych metod biometrii jest niemal natychmiast rewidowane przez hakerów. Dziś już wiadomo, że biometria nie może być jedyną metodą uwierzytelniania – raczej jedną z nich.

Inny nowoczesny sposób ochrony danych logowania to uwierzytelnianie wieloskładnikowe (MFA). Istotną rolę odgrywa tu sposób dostarczania kolejnego elementu uwierzytelniania – zazwyczaj wysyła się go na inne urządzenie niż to, na jakim odbywa się logowanie. Popularne są aplikacje generujące tymczasowe, jednorazowe tokeny uwierzytelniające, które teoretycznie powinny być znacznie trudniejsze do zhakowania niż np. treść SMS-a. Niestety MFA nie gwarantuje całkowitej ochrony. Zagrożeniem jest przede wszystkim wspomniany phishing i możliwość przechwycenia danych bez względu na to, jakim kanałem są dostarczane.

Drugi element

Specjaliści cyberbezpieczeństwa są raczej zgodni co do tego, że najprostszym i najtańszym sposobem obrony przed phishingiem jest klucz bezpieczeństwa U2F (ang. Universal 2nd Factor). To małe urządzenie z wtykiem USB (choć są też klucze działające na portach lightning) służące do bezpiecznego potwierdzania tożsamości w sieci. Używa się go jako drugiego elementu podczas uwierzytelniania dwuskładnikowego (2FA). W czasie logowania dwuskładnikowego oprócz loginu i hasła należy wprowadzić drugi składnik – kod wysyłany SMS-em lub wygenerowany w aplikacji. Klucz U2F zastępuje ten właśnie element. Podczas logowania do komputera, usług cyfrowych czy stron internetowych po podaniu hasła umieszczamy w jednym z portów urządzenia (np. USB czy USB-C) klucz U2F, który dokonuje dodatkowej weryfikacji. Choć może się to wydawać skomplikowane, w gruncie rzeczy tego rodzaju uwierzytelnianie usprawnia proces weryfikacji, gdyż nie trzeba generować PIN-ów ani dodatkowych haseł.

Po wprowadzeniu wstępnego hasła do konta urządzenie komunikuje się z komputerem głównym za pomocą protokołu HID, czyli standardu upraszczającego przesyłanie danych z urządzeń zewnętrznych do komputera. Po zainicjowaniu komunikacji mechanizm uwierzytelniania challenge-response (CRAM) wysyła klucz prywatny na urządzeniu do klucza publicznego na komputerze w celu jego odblokowania.

[...]