To już koniec haseł, bla, bla, bla...
Ile razy słyszeliście już o końcu haseł? Zapewne mniej więcej tyle, ile składników logowania wdraża Wasz korporacyjny workspace. Czasy się zmieniają (ale pan zawsze jest w komisjach), a hasła mają się świetnie. I raczej nie zapowiada się na to, by coś w tej materii miało się zmienić. Chyba że…
Hasła trzymają się mocno
Uwierzytelnianie wieloskładnikowe, biometria, SMS-kody, jeden z polskich banków stosował nawet karty ze zdrapkami z kodami jednorazowymi. Wszystko jak krew w piach. Mimo coraz częstszej integracji lwiej części usług z mechanizmami uwierzytelniającymi Facebooka, Google i Apple, hasła pozostają w użytku. Bowiem gdzie pojawia się pomysł, tam ktoś z czystej przekory go niweczy. I słusznie, w tym praca białokapeluszników. I tak uwierzytelnianie wieloskładnikowe doskonale omija zaprojektowany przez polskiego programistę framework Modlishka.
Jest to fascynujący w swej prostocie mechanizm bazujący na założeniach reverse proxy. Najpierw użytkownik jest zapraszany na fałszywą stronę logowania, gdzie podaje login i hasło. Następnie te dane przekazywane są do faktycznej usługi. To wyzwala drugi składnik, np. SMS wysłany do użytkownika. Ale Modlishka i na to jest gotowa. Po uzyskaniu pierwszego składnika odświeża się i wygląda jak witryna służąca do podania drugiego składnika. Ten zostaje przechwycony przez atakującego i cały misterny plan.
Z biometrią też jest śmiesznie. Ursula von der Leyen, dziś osoba na ustach świata, a niegdyś skromna szefowa niemieckiego MON-u, była tego dowodem, o czym poczytać można tutaj. Podczas chyba mojej ulubionej konferencji, Chaos Communication Congress, jeden z uczestników dowiódł, że może dowolnie łamać zabezpieczenia biometryczne frau von der Leyen z użyciem zdjęć opublikowanych w jej własnym wirtualnym biurze prasowym. Rozdzielczość zdjęć była tak wysoka, że w drukarce 3D udało się wydrukować jej linie papilarne. Wówczas wystarczyło zapewnić odpowiednie przewodnictwo i otworem stały wszystkie drzwi, które stoją otworem przed nadzorującą Bundeswehrę.
Pragnę też podzielić się osobistym doświadczeniem. Otóż byłem zaproszony onegdaj na konferencję prasową mBanku, którego jestem klientem, stąd moje zainteresowanie. mBank wdrożył logowanie z użyciem czytnika linii papilarnych, twierdząc, że to odtąd najbezpieczniejsza metoda. Gdy zadałem pytanie, jak może być bezpieczniejsza, eliminując login i hasło (dwa składniki logowania) i zastępując go wyłącznie jednym składnikiem (ów odciskiem palca), otrzymałem informację – „nie musi Pan z tego korzystać”.
Nadchodzi zmiana?
Dziś jednak FIDO, organizacja względnie mało komercyjna, a raczej spieniężająca standaryzację, jest zdania, że znalazła Złoty Graal. Brakujący element uwierzytelniania, który raz na zawsze rozprawi się hasłami. Przyjrzyjmy się bliżej tej innowacji.
Należy zaznaczyć, że pomysł FIDO to aktualnie nietechniczny proof-of-concept – opracowanie na ten temat jest dostępne tutaj. W czym rzecz? Otóż uwierzytelnianie pozahasłowe w optyce FIDO powinno być niezauważalne, podobnie jak dziś uwierzytelnianie jest pod radarem użytkowników, którzy korzystają z menedżerów haseł – czy to przeglądarkowych, czy zewnętrznych. Ma to zapewnić ewolucja standardu WebAuthn.
Jak już jednak wspominano, FIDO posługuje się głównie teorią – nie dostarczono żadnego, choćby testowego, oprogramowania. Teoria zakłada stosowanie jednego klucza uwierzytelniania na wszystkich urządzeniach i platformach. Zupełnie, jak… menedżer haseł w Chromie czy Firefoksie.
Słowem – nic nowego pod słońcem. Standard, którego teoretyczne opracowanie zamyka się w dziewięciu stronach (swoją drogą – tyleż stron liczył teoretyczny opis BitCoina i chyba nie skończyło się to zbyt dobrze) nie oferuje nam w zasadzie żadnych konkretów. To zaś świadczy, że na zapowiadany przez wszystkie ważne korporacje IT koniec haseł przyjdzie jeszcze poczekać.