Pewna duża firma tworząca oprogramowanie o zamkniętym kodzie źródłowym ogłosiła niedawno, że sprzedawany przez nią system operacyjny pozwoli użytkownikom zrezygnować z haseł. Jak stwierdzono, hasłami trudno się zarządza (tu pełna zgoda) i ludzie często je zapominają lub używają tych samych haseł do wielu kont (co jest powszechnym zjawiskiem). Odtąd więc użytkownicy będą mieli możliwość korzystania z uwierzytelniania wieloskładnikowego (MFA) i zamiast haseł korzystać z innych metod uwierzytelniania, co ma zwiększyć bezpieczeństwo. Brzmi świetnie, ale tylko pozornie.
Coraz powszechniejsze jest zjawisko wykorzystywania telefonów komórkowych do MFA. Na przykład gdy logujemy się do jakiejś usługi internetowej, podczas sesji logowania na nasz smartfon wysyłana jest wiadomość z informacją, że ktoś próbuje zalogować się na nasze konto i musimy potwierdzić, że to my, np. poprzez wpisanie przesłanego kodu.
Jednak korzystanie ze smartfona wiąże się z pewnymi problemami.
Po pierwsze, nie wszyscy mają smartfony. Wielu moich znajomych jest (khm, khm) „starszych” i ma tylko tradycyjne telefony (znane również jako „telefony z klapką”), na których nie da się uruchomić aplikacji. Oczywiście większość telefonów komórkowych potrafi odbierać SMS-y. Jednak korzystanie z telefonów do MFA ma swoje konsekwencje: bardzo ważne jest, aby telefon były dostępny przez cały czas, bo jeśli w danej chwili jest niedostępny (wyładowany, zgubiony, skradziony) czy na terenie, na którym korzystanie z telefonu jest zabronione bądź nie ma zasięgu, dana osoba może zostać odcięta od swojego konta.
Ważne jest, aby wiedzieć, że większość tych technik MFA zależy nie tyle od samego telefonu, co od numeru IMSI (International Mobile Subscriber Identity), który jest przypisany do naszej karty SIM. Jeśli nasz telefon się zepsuje, możemy po prostu wyjąć kartę SIM i włożyć ją do innego telefonu. Jeśli karta SIM zostanie zgubiona, możesz zgłosić to operatorowi naszej sieci i otrzymać nową kartę SIM, która będzie miała ten sam numer telefonu (IMSI). Jednak uzyskanie nowej karty SIM i jej wymiana mogą zająć trochę czasu.
Innym sposobem przeprowadzenia MFA jest użycie różnego rodzaju „kluczy”, produkowanych przez różne firmy. Tego rodzaju klucze (zwykle wystarczająco małe, by zmieścić się w breloczku) umieszcza się w porcie USB laptopa lub telefonu; są też takie, które używają NFC do łączenia się z urządzeniem podczas próby uzyskania dostępu do konta. Klucze te są częścią MFA różnych systemów operacyjnych, obsługiwane są też przez przeglądarki internetowe i aplikacje chmurowe. Niektóre z tych kluczy są dość drogie i chociaż ten wydatek można łatwo uzasadnić z biznesowego punktu widzenia, przeciętna osoba może nie chcieć płacić za dwa urządzenia (jednego używamy na co dzień, zaś drugie przechowujemy w bezpiecznym miejscu jako kopię zapasową). Oczywiście te klucze można zgubić, ktoś może je też ukraść, podobnie jak telefon – stąd potrzeba posiadania klucza zapasowego lub innej ścieżki MFA.
Nieco inny rodzaj kluczy to urządzenia typu „karta inteligentna”, które wykorzystują technologię kontaktową (należy je włożyć do czytnika lub w inny sposób zeskanować) lub bezstykową technologię NFC w celu sprawdzenia, czy dany użytkownik jest fizycznie obecny. Czasami te karty mają miejsce na dane, takie jak informacje zdrowotne lub finansowe. Zazwyczaj karty te są powiązane z osobistym numerem identyfikacyjnym (PIN), aby chronić je w przypadku zgubienia lub kradzieży. Jednak i tego rodzaju karty i zarządzanie nimi mogą być dość drogie, zaś w niesprzyjających warunkach można je stosunkowo łatwo uszkodzić.
Mój laptop ma zarówno wbudowaną kamerę internetową, jak i czytnik linii papilarnych. Rozpoznawanie twarzy i odcisków palców same w sobie nie zapewniają pełnego bezpieczeństwa, jednak w połączeniu z fizycznym dostępem do konkretnego urządzenia (na przykład laptopa) mogą stanowić podstawę znacznie bezpieczniejszego systemu logowania.
Wszystkie wymienione wyżej metody (i wiele innych) mogą stanowić część MFA. Pojawia się jednak zasadnicze pytanie: czy użytkownicy będą z nich korzystać? Jak skomplikowany stanie się dostęp do systemów i danych?
Niedawno uczestniczyłem w seminarium internetowym poświęconym „logowaniu bez hasła”, które reklamowane było w następujący sposób:
Dołącz do ekspertów ds. cyberbezpieczeństwa, aby dowiedzieć się, dlaczego użytkownicy są bardziej skłonni do przestrzegania najlepszych praktyk w zakresie bezpieczeństwa, jeśli mają możliwość samodzielnego zarządzania i odnawiania swoich danych uwierzytelniających – bez pomocy zespołu IT.
Racja. Pamiętam, jak bardzo użytkownicy nienawidzili nawet prostych haseł wymaganych do logowania do systemu. Im bardziej skomplikowany system, tym częściej potrzebowali pomocy. Osoby, które nie potrafiły samodzielnie zainstalować aplikacji na smartfonie, będą miały pewne problemy z konfiguracją usługi MFA pod kątem obsługi różnych urządzeniach, witryn internetowych i aplikacji.
W świecie Wolnego i Otwartego Oprogramowania i Sprzętu istnieją odpowiednie narzędzia, by rozwiązać ten problem we właściwy sposób. Pora pomyśleć o takiej implementacji MFA w naszej organizacji, by była możliwie najwygodniejsza i użytkownicy chwalili łatwość obsługi.
Jon „maddog” Hall jest autorem, wykładowcą, informatykiem i jednym z pionierów Wolnego Oprogramowania. Od 1994 roku, kiedy po raz pierwszy spotkał Linusa Torvaldsa i ułatwił przeniesienie jądra na systemy 64-bitowe, pozostaje orędownikiem Linuksa. Obecnie jest prezesem Linux International®.
