Dostałem dzisiaj rano maila od PKO BP, w którym trzymam swoje obligacje skarbowe. Jakaż była moja radość, gdy zobaczyłem, iż mail dotyczy tego, iż PKO zaimplementowało w swoim systemie możliwość uwierzytelnienia się podczas logowania przy pomocy klucza bezpieczeństwa U2F np. Yubikey. Myślę sobie „WOW! W końcu branża bankowości wstępuje w XXI wiek”. Czy jednak faktycznie jest się z czego cieszyć i zostało to wprowadzone prawidłowo? No niestety według mnie nie do końca…
Zacznijmy jednak od tego, iż polska (nie wiem jak to wygląda na arenie międzynarodowej, bo może jest taka samo) branża bankowości jest w totalnym średniowieczu w zakresie IT. Mówię tu głównie o zabezpieczeniach i procedurach, które są przysłowiowe „sto lat za murzynami”. Pewnie częściowo jest to związane z tym, iż sektor finansów jest dość mocno obwarowany regulacjami i przepisami, a jak wiadomo wszędzie gdzie jest silna kontrola urzędowa tam wszystko idzie po prostu wolniej i wprowadzenie świeżości jest naprawdę niekiedy karkołomne. Weźmy taki Santander Consumer Bank, w którego polityce dotyczącej haseł możemy wyczytać:
Pamiętajmy, hasło do Bankowości Internetowej Santander Consumer Banku:
– Składa się z minimalnie 10 i maksymalnie 20 znaków;
Że co proszę? Maksymalny limit 20 znaków? Wszystkie moje hasła mają aktualnie powyżej 30. Dlaczego?
- Bo znacznie utrudnia to ich złamanie poprzez wykładnicze zwiększenie z każdym kolejnym znakiem liczby możliwych kombinacji, a co za tym idzie wydłużenie czasu potrzebnego do „zgadnięcia” hasła,
- Bo używam menedżera haseł i ich długość nie jest dla mnie żadnym ograniczeniem, tj. mogą mieć choćby 256 znaków i nie będzie to dla mnie stanowiło żadnego utrudnienia,
- Bo po prostu mogę (no nie w przypadku Santander’a…).
Pomijam już fakt, iż logowanie do Santander’a to istna katorga dla korzystających z menedżera haseł, a to za sprawą tego, iż bank przy logowaniu nie wymaga zwykłego podania loginu i hasła, a jedynie np. 3, 7, 11, 12, 13 i 19 znaku hasła, czego nie rozumie chyba żaden menedżer i trzeba to robić manualnie. Ktoś kto to wymyślił powinien zostać srogo ukarany za najgłupszy pomysł na „zabezpieczenie” procesu logowania.
Cóż, jak to pisze Santander „silne hasło to podstawa”, ale na pewno nie jest to wystarczające rozwiązanie, które uchroni nas przed każdym rodzajem ataku. Takim rozwiązaniem może być w wielu przypadkach silne hasło i właśnie klucz U2F, czyli Universal 2nd Factor (z ang. uniwersalny drugi składnik). Taki klucz U2F to oprócz loginu i hasła kolejna bariera do pokonania przez oszustów, która (przynajmniej póki co) jest niemożliwa lub bardzo trudna do pokonania. Toteż dodanie takiego sposobu uwierzytelnienia przez PKO BP jako pierwszy polski bank może nieść pewnego rodzaju pocieszenie i nadzieję na to, iż już niedługo we wszystkich bankach zacznie się nieco bardziej dbać o cyberbezpieczeństwo na poziomie użytkownika.
Brzmi pięknie i wiele portali informacyjnych wpadło w natychmiastowy zachwyt. Problem w tym, iż redaktorzy, w nich pracujący, przeczytali jedynie notatkę prasową i nie zgłębili tematu. Okazuje się, iż PKO na ten moment pozwala na skonfigurowanie tylko jednego klucza bezpieczeństwa… Każdy kto ma choć zgrubne pojęcie jak to działa wie, iż pierwszą zasadą używania kluczy U2F jest posiadanie dwóch sztuk. Robi się tak ze względu na to, iż jeden nosimy cały czas przy sobie, a drugi trzymamy w bezpiecznym miejscu. Ten drugi to zabezpieczenie na wypadek np. zgubienia klucza głównego. Bez takiego podejścia gubiąc klucz utracilibyśmy całkowicie dostęp do tego co zabezpiecza, bo przecież ta metoda ma sens tylko wtedy, gdy bez klucza nie jesteśmy w stanie uzyskać dostępu do zabezpieczonego zasobu. Taka para kluczy bliźniaczych jest właśnie rozwiązaniem tego problemu. Oczywiście o ile ktoś ma paranoję to może mieć ich więcej. Wszystko aby tylko nie jeden!
No, ale dobra fakty są takie, iż PKO pozwala na jeden klucz. Zapytasz zatem co w przypadku, gdy zgubimy taki klucz? Otóż jak czytamy w materiale prasowym, PKO ma na to takie rozwiązanie:
W przypadku utraty klucza bezpieczeństwa np. jego zgubienia czy kradzieży, klient powinien zadzwonić na infolinię banku, aby zmienić narzędzia do potwierdzenia logowania do serwisu iPKO i usunąć klucz bezpieczeństwa.
No przyznam, iż śmiech na sali. Zrozumiałbym jeszcze jakby konieczne było stawienie się do placówki banku okazanie dokumentu potwierdzającego tożsamość i poddanie się prześwietleniu do 5 pokoleń wstecz. Zamiast tego bank wymaga kontaktu telefonicznego, co jest jawnym zaproszeniem do próby socjotechniki. Dla mnie taka forma zabezpieczenia nie zabezpiecza niczego, więc póki nic się z tym tematem nie zmieni nie ma co bić brawa PKO BP za wprowadzenie kluczy (nie)bezpieczeństwa. Brawa należą się na razie tylko za chęci, ale póki co dam 2+ i czekam na poprawę, co nie będzie trudne, bo wystarczy tylko zmienić kilka małych rzeczy w polityce banku.
Skwituję to wszystko cytatem z piosenki Fix You zespołu Coldplay:
When you try your best, but you don’t succeed…