TL;DR

MFA to nie magiczny trik rozwiązujący wszystkie problemy. Technologicznie zostaje jeszcze dużo do dopracowania, ale zmierza to w dobrym kierunku. Bo nie technologia jest tutaj problemem, a przeważnie my sami.

Mamy problem z hasłami. Nie tylko taki, że ich zapominamy. Polega on na tym, że hasła przestały nas efektywnie chronić. Rozwiązania takie, jak używanie różnych haseł do różnych usług, długich haseł – to półśrodki, po prostu staramy się coś robić. Ciekawostka: to co robiliśmy kiedyś, czyli częste zmiany haseł, bardziej szkodzi niż pomaga, przynajmniej tak twierdzą m.in. brytyjscy szpiedzy i Microsoft. Podeślij link swojemu administratorowi.

Gdy rozwiązania brak – jak żyć? Na tę chwilę, głównie poprzez włączenie gdzie się da dodatkowego uwierzytelniania – MFA, magicznych kodów SMS, aplikacji i tokenów, które mają sprawić że będzie trudniej tym, którzy chcą skorzystać z usług za naszymi plecami. A co!

 Hint: nie wiesz jak włączyć MFA w swojej usłudze, sprawdź https://twofactorauth.org/.

Dodatkowy kod/telefon/aplikacja weryfikujący nas przy dostępie do usługi nie jest idealnym rozwiązaniem, ale w większości przypadków skutecznym. Nie wtedy, gdy ktoś faktycznie nas weźmie na cel. Dlaczego? Dlatego, że nasza tożsamość nie żyje w oderwaniu w ramach jednej usługi. To co ją definiuje, to szereg usług, które są ze sobą powiązane. I niestety, nadal w tym łańcuchu znajdzie się miejsce, które pozwala na przejście weryfikacji w sposób dostępny dla osoby trzeciej.

I used MFAI I’ve got hacked!

A dlaczego akurat teraz? 10 czerwca, jeden z aktywistów politycznych w Stanach – DeRay Mckeeson napisał na swoim Twitter:

twt-mfa

Jak to ma się do dyskusji o MFA ? Knot DeRay nie zostało zhakowane. Atakujący skorzystał z dostępnych informacji o jego osobie, przeszedł agenta po stronie usługi telefonicznej i zmienił konfiguracje jego telefonu. Dzięki temu mógł otrzymywać SMSy wysyłane na jego numer. Reszta jest banalnie prosta. Korzystając z przejętego numeru telefonu, możemy obejść uwierzytelnienie w poczcie, z poczty przejść na Twitter itp. (hint: reset hasła to też proces, który zakłada, że ufasz innej usłudze – telefon lub e-mail).

99% z nas nie będzie na tyle ważnym celem, aby ktoś chciał przejmować nasz telefon. 

Czego nas uczy ta historia:

  • Proces weryfikacji oparty tylko o nasze dane jest do przejścia. Zostawiamy je w wielu miejscach, jest wiele sposobów na ich uzyskanie.
  • Procedury resetu hasła oparte o alternatywny e-mail, numer telefonu mogą być słabym ogniwem. Jeżeli podajemy e-mail do resetu hasła, upewnijmy się że jest on też dobrze zabezpieczony.
  • MFA oparte o SMS jest do przejścia, jeżeli stawka jest odpowiednio wysoka i warta wysiłku. Będziemy musieli wymyśleć coś lepszego.
Każde zabezpieczenie da się obejść, jeżeli stawka jest warta wysiłku. Nie ułatwiajmy życia innym, podnieśmy poprzeczkę trochę wyżej!

To wielki świat. A jak to się ma do nas i codziennego życia w tym kraju? Do wykonania operacji w banku lub u operatora GSM wymagana jest znajomość danych. Mogłoby się zdawać, że prywatnych i nigdzie nie podawanych. Tak? PESEL. Numer dowodu. W ilu miejscach zostawiliście skan dowodu osobistego lub pozostawiając dowód, umożliwiliście przejęcie danych innym (np. w wypożyczalniach)?

Prosta sytuacja z życia codziennego: telefon z banku, z „super ofertą”.
UWAGA! Tajemnica poliszynela – jeżeli to oni dzwonią do Was, to ta oferta przeważnie nie jest aż tak bardzo super.
Agent banku zdaje kilka pytań, przeważnie typu „Jaki jest Pani/Pana PESEL?”, „Czy posiada Pani/Pan kredyt?”. Przecież musi zweryfikować, z kim rozmawia! Wszyscy to znamy. Odpowiadacie na takie telefony?

Dzwoni do ciebie „Bank”? A jeżeli to nie bank? W przypadku ważnych usług zastosuj krytyczne podejście. To dostawcy usługi ma zależeć bardziej niż tobie, żeby do ciebie dotrzeć.

Popatrzmy, jak niesymetryczna jest tutaj sytuacja:

  • Dzwoni do nas nieznana osoba, przedstawiająca się jako reprezentant banku (podnosi swoją wiarygodność powołując się na “Bank”). Podaje informacje o sobie, możliwość ich weryfikacji – poziom zaufania rośnie.
  • „Bank” wymaga od nas udowodnienia, że my to my. „Bank” oczekuje, że my uwierzymy im na słowo.
  • W celu potwierdzenia, że my to my, „Bank” wymaga informacji. Te same informacje mogą być użyte w innej instytucji, już bez naszej wiedzy i w innym celu.

A gdyby okazało się, że „Bank” to jednak nie „Bank”, a ktoś, kto chce zebrać informacje o nas. Po co? Na przykład, żeby przejść taki sam proces w naszym imieniu, ale już w prawdziwym banku lub u operatora GSM?

Urzekła mnie Twoja historia. Ale mnie to nie dotyczy!

Naprawdę? Ale że co? Żyjesz w jakimś bąbelku czy innej bańce? Już po napisaniu wstępnej wersji tego wpisu, trafiłem na wpis na blogu paulapojnar.pl. Bloga nie znałem, pewnie nie będę czytał, ale historia warta poznania jako przestroga. Paula:

  1. Popełniła prosty błąd, wykonując w sieci przelew na wskazane przez anonimową osobę konto – 1 PLN, nic wielkiego. W ten sposób autoryzowała transakcję założenia konta bankowego na swoje nazwisko.
  2. Nie zostało to napisane, ale zapewne gdzieś w całym procesie musiała też podać dane ze swojego dowodu osobistego.

Rezultat prostej niby operacji? Zakupy wykonane w jej imieniu w sieci, koszty poniesione na stawianie się na policji, w prokuraturze itp. Zapewne to jeszcze nie koniec tej historii.

To może się zdarzyć tobie, mnie, twojej siostrze, bratu, dziewczynie, znajomym – listę możemy wydłużyć. Dlaczego? Dlatego, że jako społeczeństwo nie nauczyliśmy się jeszcze, że nasze dane mają wartość i powinniśmy je chronić.

Co robić? Jak żyć?

Co robić? Jak żyć? Czy nie ma już żadnej nadziei? “Na już” zostaje nam:

  • Dbać o to, żeby wszędzie tam, gdzie możemy jednak włączyć MFA, w szczególności w usługach, które mogą być użyte w takim łańcuszku – konta pocztowe, profile społecznościowe itp.
    https://twofactorauth.org/ pomoże dowiedzieć się jak.
  • Sprawdzić w swoim banku \ u dostawcy GSM itp., czy istnieje mechanizm dodatkowego potwierdzenia waszej tożsamości przy wykonywaniu operacji (dodatkowy PIN, telefon do Was itp.). Jeżeli tak – aktywować go.
  • Uważać, gdzie zostawiamy swoje dane, w szczególności takie, jak kopie dowodów, numer pesel, rachunki bankowe itp. One mogą mieć znaczenie! Ostrzega o tym chociażby GIODO (via Niebezpiecznik)
  • Nie podawać swoich danych obcym przez telefon! Jeżeli dzwoni bank czy ubezpieczyciel – to im zależy na tym, żeby z wami porozmawiać, a nie wam. Jeżeli chcą wam coś sprzedać, niech się postarają. Nie postarają się? Raczej dużo nie stracicie.

Lista paranoika? W takim właśnie świecie teraz żyjemy :).

redpill

Technologia stupid! Solucjonizm rozwiąże i ten problem.

A co na to technologia? Ano rozwija się. I będzie się rozwijała, żeby problem zaadresować.

Zanim wyjedziesz na wakacje, sprawdź jak zabezpieczyłeś swój dostęp do usług. Konto pocztowe może otworzyć dostęp do Twoich rachunków! Ty odpoczywasz, inni mają żniwa.

Zanim technologia rozwiąże nasze problemy, kilka prad praktycznych na już:

  • Włączcie MFA dla swoich usług! Mimo że nie w 100% doskonałe, to najlepsze co mamy w tej chwili pod ręką.
  • Zwracajcie uwagę, gdzie i jakie informacje podajecie! Mogą być użyte w zupełnie inny sposób niż Wam się to wydaje.
  • Zweryfikujcie jak wygląda proces dostępu \ resetu dostępu do kluczowych dla Was usług! Idą wakacje. Ale nie dla wszystkich.

Jako podsumowanie od strony technologicznej i tak zwana pożywka dla myśli: Czy potrzebujemy Invisible Identity?

Obrazek: (cc) https://www.flickr.com/photos/alon/

About Author

6 Comments

  1. What about YubiKey? Can it be treated as the higher level of security? Do you think it’s also can be compromised?

    • Tomasz Onyszko on

      Hi Greg, thank you for stopping by. Funny – I was asked same question on our company blog about MFA – to not repeat myself I will just quote it here:

      (…)
      Great question about great solution. If you will check history of our profile, we gave away few Yubico tokens some time ago.
      Yubico is great example of innovation in identity space. It is providing second factor with support for FIDO alliance standard. Doing some simplification FIDO is a way to provide proof of authentication with device where authentication is being done locally on device. In this case Yubico key, but FIDO is not limited to keys like this – it is supported on Samsung devices and Windows 10 is supporting it as well with passport and Halo.

      And you are right that SMS is not a perfect solution. Not through nature of MFA itself but because of weaknesses in mobile protocols. That’s why NIST has recommendation to stop using SMS as a method – https://www.schneier.com/…/2016/08/nist_is_no_long.html.
      Which BTW is greatly ignored by majority of users anyway – https://duo.com/…/nist-shouted-who-listened-analyzing…

      Recommended method is to move to dedicated apps like Azure Authenticator or Google Authenticator and solutions like Yubico or other physical form. Mobile app approach has advantage that it doesn’t require distribution of new hardware, which is why many organizations right now are going away from solutions like RSA tokens.

      Solution like Yubico is not limited only to be used as second factor in MFA. It has more purposes and supports wide area of protocols. Its security advantage over SMS is that you can’t intercept it over a network – you need to get access to a device.

      If it is lost\stolen you just need to go to your accounts and invalidate it – https://www.yubico.com/2014/06/lost-yubikey-practices/. Every site which supports Yubico has it implemented somehow.
      (…)

    • Tomasz Onyszko on

      And just to make answer complete – anything can be compromised. It is just equation of time, efforts and possible value \ gain.

Leave A Reply

Share This

Share This

Share this post with your friends!