Jedno hasło do wszystkiego. "Zanim rząd wdroży pomysł, świat będzie kilka dobrych pomysłów dalej"
Osoby związane z bezpieczeństwem złapały się za głowę, gdy usłyszały o nowym pomyśle ministerstwa cyfryzacji. Jedno hasło miałoby wpuszczać Polaków do wielu serwisów. Zapytaliśmy ekspertów, czy to rzeczywiście zły pomysł.
Jeden login do urzędów i portali publicznych, a nawet do banków oraz sklepów internetowych. Rząd przedstawił projekt ustawy o usługach zaufania oraz identyfikacji elektronicznej.
- Celem projektowanej ustawy o usługach zaufania oraz identyfikacji elektronicznej jest zapewnienie Polakom dostępu do usług i portali publicznych za pomocą jednego loginu i hasła - powiedział we wtorek w Sejmie cytowany przez PAP minister cyfryzacji Marek Zagórski.
Nie wiemy jeszcze, jak miałoby wyglądać "jedno hasło do wielu instytucji" w wykonaniu ministerstwa - nie wiadomo, czy wszystkie sklepy internetowe i banki byłyby zainteresowane wdrożeniem takiego systemu - ale sama idea budzi wiele wątpliwości.
Dwa podejścia
Pomysł całkowicie przeczy jednej z najważniejszych zasad bezpieczeństwa w sieci - nie korzystać z tego samego hasła w wielu serwisach. Powód jest prosty: w przypadku wycieku danych z jednego portalu, zdobyte hasło otwiera przestępcom dostęp do wszystkich pozostałych. Wpadka np. sklepu internetowego może skończyć się tym, że złodzieje przejmą też konta w mediach społecznościowych czy banku. Właśnie dlatego powinno mieć się kilka haseł. A na dodatek najlepiej często je zmieniać.
Choć jest też inna filozofia. Niedawno Microsoft zachęcał, by użytkownicy trzymali się swoich haseł, zamiast je co jakiś czas zmieniać, jak radzą niektórzy. Jak pisał Niebezpiecznik, "najnowsze sugestie organizacji standaryzującej NIST są takie same — nie powinno się na użytkownikach regularnie (np. co miesiąc) wymuszać zmiany haseł". Dlaczego? Im częściej zmienia się hasła, tym bardziej spada kreatywność podczas ich wymyślania.
- Ujednolicenie metod logowania jest pożądane - konieczność zapamiętywania dziesiątek czy setek haseł powoduje, że osoby, które nie potrafią korzystać z menedżera haseł, wszędzie używają tych samych danych do logowania, wystawiając się na cel cyberprzestępców - mówi w rozmowie z WP Tech Adam Haertle, redaktor naczelny serwisu ZaufanaTrzeciaStrona.pl.
Na dodatek wymyślane hasła są słabe i oczywiste. Wśród najpopularniejszych polskich haseł znajdziemy "123456", "111111", "qwerty", "polska", imię + rok urodzenia, imię żony, męża lub dziecka. Strach pomyśleć, ilu użytkowników korzystających z takich "zabezpieczeń", mogłoby stracić dane w urzędowych serwisach, w których przechowywane są bardzo wrażliwe dane.
Oczywiście portale coraz częściej wymagają tworzenia bardziej skomplikowanych haseł - zawierających również wielkie litery, znaki czy cyfry. Tyle że to nie rozwiązuje problemu, bo istotne jest, jak takie hasła są przechowywane.
- Oczywiście mamy do czynienia z kwestią zaufania do danej organizacji - czy będzie ona w stanie zapewnić należyte bezpieczeństwo przechowywanych informacji. Ważne jest także to, w jaki sposób hasła są przechowywane: czy np. nie są zapisane otwartym tekstem. Niestety doświadczenie pokazuje, że wycieki danych związanych z uwierzytelnianiem zdarzają się nawet największym serwisom online, a biorąc pod uwagę poziom wrażliwości danych, które mogą być przechowywane w serwisach urzędowych, można się spodziewać, że cyberprzestępcy będą takimi atakami żywo zainteresowani - przyznaje w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab Polska.
To za mało
Kupczyk zwraca uwagę na to, że da się stworzyć bezpieczny system - wystarczy wdrożyć dodatkowo uwierzytelnianie dwuskładnikowe. Ale i to rozwiązanie ma swoje wady.
- Wówczas użytkownik podaje nie tylko login i hasło, ale także dodatkową informację uwierzytelniającą, np. hasło jednorazowe wysyłane na jego numer telefonu. Tutaj jednak także mamy do czynienia ze słabym ogniwem w postaci samego użytkownika i tego, jak dba o swoje urządzenie mobilne. Jeżeli np. smartfon zostanie zainfekowany szkodliwym programem, przestępcy będą mogli przechwytywać kody jednorazowe. Jakiś czas temu w taki właśnie sposób funkcjonował trojan bankowy Zeus - wyjaśnia Kupczyk.
Z kolei Adam Haertle przypomina, że zabawa w hasła powoli odchodzi w zapomnienie. Są inne metody, by się bezpiecznie logować.
- Niedawno ogłoszony został standard Webauthn, który prawdopodobnie wyeliminuje w większości przypadków konieczność posiadania haseł, opierając uwierzytelnienie na sprzętowych elementach zaufania, takich jak np. telefon komórkowy wyposażony w czytniki biometryczne. Zapewne zanim rząd wdroży opisywane mechanizmy jednolitego logowania, świat technologii będzie już o kilka generacji dobrych pomysłów dalej - zauważa redaktor naczelny ZTS.
Standard WebAuthn pozwala logować się do serwisów za pomocą odcisku palca, skanowania twarzy czy specjalnego klucza USB, który podpina się do komputera. Wdrożenie go już zapowiedzieli twórcy Firefoksa, Chrome'a czy Microsoft Edge. Takie logowanie możliwe jest w niektórych mobilnych aplikacjach, niebawem stanie się powszechne także podczas korzystania z internetowej przeglądarki. Nowy standard w teorii mógłby też wyeliminować phishing - dziś przestępcy podstawiają fałszywe strony, służące do wyłudzenia kombinacji. W przypadku logowania za pomocą np. odcisku palca, jego zdobycie byłoby niemalże niemożliwe. Zaplanowane zmiany pozwalają więc wierzyć, że wielkie wycieki haseł, jak dane miliarda kont Yahoo, mogą przejść do historii.
Na szczegóły związane z pomysłem ministerstwa musimy jeszcze poczekać. Ale już dziś idea wydaje się ryzykowna i przestarzała.