Jedno hasło do wszystkiego. "Zanim rząd wdroży pomysł, świat będzie kilka dobrych pomysłów dalej"

Jedno hasło do wszystkiego. "Zanim rząd wdroży pomysł, świat będzie kilka dobrych pomysłów dalej"06.06.2018 15:28
Źródło zdjęć: © iStock.com

Osoby związane z bezpieczeństwem złapały się za głowę, gdy usłyszały o nowym pomyśle ministerstwa cyfryzacji. Jedno hasło miałoby wpuszczać Polaków do wielu serwisów. Zapytaliśmy ekspertów, czy to rzeczywiście zły pomysł.

Jeden login do urzędów i portali publicznych, a nawet do banków oraz sklepów internetowych. Rząd przedstawił projekt ustawy o usługach zaufania oraz identyfikacji elektronicznej.

- Celem projektowanej ustawy o usługach zaufania oraz identyfikacji elektronicznej jest zapewnienie Polakom dostępu do usług i portali publicznych za pomocą jednego loginu i hasła - powiedział we wtorek w Sejmie cytowany przez PAP minister cyfryzacji Marek Zagórski.

Nie wiemy jeszcze, jak miałoby wyglądać "jedno hasło do wielu instytucji" w wykonaniu ministerstwa - nie wiadomo, czy wszystkie sklepy internetowe i banki byłyby zainteresowane wdrożeniem takiego systemu - ale sama idea budzi wiele wątpliwości.

Dwa podejścia

Pomysł całkowicie przeczy jednej z najważniejszych zasad bezpieczeństwa w sieci - nie korzystać z tego samego hasła w wielu serwisach. Powód jest prosty: w przypadku wycieku danych z jednego portalu, zdobyte hasło otwiera przestępcom dostęp do wszystkich pozostałych. Wpadka np. sklepu internetowego może skończyć się tym, że złodzieje przejmą też konta w mediach społecznościowych czy banku. Właśnie dlatego powinno mieć się kilka haseł. A na dodatek najlepiej często je zmieniać.

Choć jest też inna filozofia. Niedawno Microsoft zachęcał, by użytkownicy trzymali się swoich haseł, zamiast je co jakiś czas zmieniać, jak radzą niektórzy. Jak pisał Niebezpiecznik, "najnowsze sugestie organizacji standaryzującej NIST są takie same — nie powinno się na użytkownikach regularnie (np. co miesiąc) wymuszać zmiany haseł". Dlaczego? Im częściej zmienia się hasła, tym bardziej spada kreatywność podczas ich wymyślania.

- Ujednolicenie metod logowania jest pożądane - konieczność zapamiętywania dziesiątek czy setek haseł powoduje, że osoby, które nie potrafią korzystać z menedżera haseł, wszędzie używają tych samych danych do logowania, wystawiając się na cel cyberprzestępców - mówi w rozmowie z WP Tech Adam Haertle, redaktor naczelny serwisu ZaufanaTrzeciaStrona.pl.

Źródło zdjęć: © Fotolia | georgejmclittle
Źródło zdjęć: © Fotolia | georgejmclittle

Na dodatek wymyślane hasła są słabe i oczywiste. Wśród najpopularniejszych polskich haseł znajdziemy "123456", "111111", "qwerty", "polska", imię + rok urodzenia, imię żony, męża lub dziecka. Strach pomyśleć, ilu użytkowników korzystających z takich "zabezpieczeń", mogłoby stracić dane w urzędowych serwisach, w których przechowywane są bardzo wrażliwe dane.

Oczywiście portale coraz częściej wymagają tworzenia bardziej skomplikowanych haseł - zawierających również wielkie litery, znaki czy cyfry. Tyle że to nie rozwiązuje problemu, bo istotne jest, jak takie hasła są przechowywane.

- Oczywiście mamy do czynienia z kwestią zaufania do danej organizacji - czy będzie ona w stanie zapewnić należyte bezpieczeństwo przechowywanych informacji. Ważne jest także to, w jaki sposób hasła są przechowywane: czy np. nie są zapisane otwartym tekstem. Niestety doświadczenie pokazuje, że wycieki danych związanych z uwierzytelnianiem zdarzają się nawet największym serwisom online, a biorąc pod uwagę poziom wrażliwości danych, które mogą być przechowywane w serwisach urzędowych, można się spodziewać, że cyberprzestępcy będą takimi atakami żywo zainteresowani - przyznaje w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab Polska.

To za mało

Kupczyk zwraca uwagę na to, że da się stworzyć bezpieczny system - wystarczy wdrożyć dodatkowo uwierzytelnianie dwuskładnikowe. Ale i to rozwiązanie ma swoje wady.

- Wówczas użytkownik podaje nie tylko login i hasło, ale także dodatkową informację uwierzytelniającą, np. hasło jednorazowe wysyłane na jego numer telefonu. Tutaj jednak także mamy do czynienia ze słabym ogniwem w postaci samego użytkownika i tego, jak dba o swoje urządzenie mobilne. Jeżeli np. smartfon zostanie zainfekowany szkodliwym programem, przestępcy będą mogli przechwytywać kody jednorazowe. Jakiś czas temu w taki właśnie sposób funkcjonował trojan bankowy Zeus - wyjaśnia Kupczyk.

Z kolei Adam Haertle przypomina, że zabawa w hasła powoli odchodzi w zapomnienie. Są inne metody, by się bezpiecznie logować.

- Niedawno ogłoszony został standard Webauthn, który prawdopodobnie wyeliminuje w większości przypadków konieczność posiadania haseł, opierając uwierzytelnienie na sprzętowych elementach zaufania, takich jak np. telefon komórkowy wyposażony w czytniki biometryczne. Zapewne zanim rząd wdroży opisywane mechanizmy jednolitego logowania, świat technologii będzie już o kilka generacji dobrych pomysłów dalej - zauważa redaktor naczelny ZTS.

Wyciek 500 mln haseł może się już nie powtórzyć. Wkrótce tak będziemy się logować

Standard WebAuthn pozwala logować się do serwisów za pomocą odcisku palca, skanowania twarzy czy specjalnego klucza USB, który podpina się do komputera. Wdrożenie go już zapowiedzieli twórcy Firefoksa, Chrome'a czy Microsoft Edge. Takie logowanie możliwe jest w niektórych mobilnych aplikacjach, niebawem stanie się powszechne także podczas korzystania z internetowej przeglądarki. Nowy standard w teorii mógłby też wyeliminować phishing - dziś przestępcy podstawiają fałszywe strony, służące do wyłudzenia kombinacji. W przypadku logowania za pomocą np. odcisku palca, jego zdobycie byłoby niemalże niemożliwe. Zaplanowane zmiany pozwalają więc wierzyć, że wielkie wycieki haseł, jak dane miliarda kont Yahoo, mogą przejść do historii.

Na szczegóły związane z pomysłem ministerstwa musimy jeszcze poczekać. Ale już dziś idea wydaje się ryzykowna i przestarzała.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA