Klucz U2F powszechnie jest uznawany za najsilniejszą metodę uwierzytelniania. Nikt nie będzie w stanie zalogować się na nasze konto bez naszego osobistego udziału. To najlepsza ochrona dla naszych finansów, e-maili i mediów społecznościowych. Jak z niej skorzystać? Jakie są zalety, a jakie wady kluczy zabezpieczających? Niedługo takie klucze wykorzystają klienci ING Banku. Czy inne banki też wdrożą takie rozwiązanie. Zapytałem i…
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Zmiana pokoleniowa (coraz więcej pełnoletnich ludzi obeznanych z nowoczesną technologią) i postęp cyfryzacji (coraz więcej rzeczy dostępnych do realizacji przez internet, a nawet przez smartfon) powodują, że coraz częściej spotykamy się z cyberatakami.
Jak wynika z badania ING Banku („cyberbezpieczeństwo” – do pobrania tutaj), niemal co drugi z nas spotkał się z oszustem internetowym (na szczęście nie zawsze kończyło się to utratą pieniędzy). Najczęściej spotykamy się z kłamstwami internetowymi, phishingiem, smishingiem i złośliwym oprogramowaniem.
Inne badania z kolei pokazują, że aż 95% problemów związanych z cyberbezpieczeństwem można przypisać błędom ludzkim! To oznacza, że przestępcy bazują na naszych słabościach (np. wykorzystują sytuację, w której się spieszymy i nie zweryfikujemy dokładnie, czy strona, na której się logujemy, jest prawdziwa i w ten sposób przejmują nasz login i hasło).
Eksperci są zgodni, że najlepszym zabezpieczeniem przed phisingiem – poza oczywiście ciągłą edukacją w zakresie cyberbezpieczeństwa – jest korzystanie z kluczy U2F w jak największej liczbie serwisów. Niestety niewielu użytkowników się na to decyduje.
Czym są klucze U2F?
Klucz U2F (Universal 2 Factor) to niewielkie, zewnętrzne urządzenie, które wyglądem przypomina pendrive’a. Zapewnia nam ono dodatkową warstwę ochrony, bo musimy je wpiąć podczas logowania do danego serwisu i np. podać PIN lub nacisnąć wbudowany przycisk.
Takie klucze mogą być dodatkową warstwą ochrony (tzw. U2F – po podaniu loginu i hasła zostaniemy poproszeni o włożenie klucza i zatwierdzenie logowania) lub udoskonaleniem ochrony (tzw. FIDO2 – nie musimy podawać swojego hasła).
Są różne rodzaje kluczy – posiadają różne złącza (w tym np. NFC), pełnią różne funkcje i są różnej wielkości. Zanim zaopatrzycie się w taki klucz, warto się zastanowić, jak i gdzie będziecie go używać. Na szczęście nie ma potrzeby wymiany klucza, bo działa on z przejściówkami. Poniżej kilka screenów kluczy ze strony producenta (Yubikey to najbardziej popularny klucz U2F w Polsce, poleca go m.in. Niebezpiecznik).
Dzięki takim kluczom, nawet jeżeli się zagapimy i zaczniemy proces logowania na fałszywej stronie (a to bardzo popularny sposób oszustwa w Polsce), to nikt nie przejmie naszego konta. Będzie znał login i hasło, ale będzie mu brakować fizycznego elementu niezbędnego do zalogowania się.
Podczas logowania taki klucz U2F sprawdza, czy użytkownik znajduje się na dobrej stronie internetowej, a więc uniemożliwia przekazanie informacji oszustom. Działa podobnie do autoryzacji mobilnej z tą różnicą, że nie ma fizycznej możliwości przekazania danych z klucza przestępcom (a wyłudzić np. kod z SMS-a już mogą).
Takie klucze mają wiele zalet (poza poprawą naszego bezpieczeństwa). Działają dożywotnio, nie wymagają ładowania ani baterii (są zasilane z portu), można je wykorzystywać w wielu serwisach, działają na zasadzie Plug & Play (nie musimy nic instalować), są proste w obsłudze (poza zakupem i pierwszą konfiguracją), a dane zapisane na kluczu są bezpieczne (nawet jak go podepniemy do komputera w hotelu, to się nic nie stanie).
Co warto zabezpieczyć za pomocą kluczy zabezpieczających? Po pierwsze wszystkie serwisy związane z naszymi finansami. Niestety banki nie lubią wspierać tego rozwiązania (o tym poniżej). Po drugie adresy e-mail, bo to ogromna baza informacji o nas i często jest to sposób odzyskiwania haseł w innych serwisach. Po trzecie media społecznościowe, aby się nie wstydzić dziwnych komentarzy i nie być posądzonym o okradanie znajomych. Po czwarte wszystkie inne serwisy, które wspierają klucze U2F (np. Amazon, Skrill, Ebay, Youtube, Apple, Dropbox, Microsoft itd.).
Czy są jakieś wady kluczy U2F? Każde zabezpieczenie ma słabe strony. Po pierwsze to nie jest darmowe zabezpieczenie. Klucz U2F trzeba kupić, a kosztuje on około 200 zł (w zależności od tego, który model wybierzemy). Po drugie warto mieć dwa takie klucze, aby jeden z nich służył nam jako zabezpieczenie na wypadek zgubienia podstawowego klucza.
Po trzecie wiele serwisów ciągle nie oferuje wsparcia dla kluczy U2F, więc nie jesteśmy w stanie za ich pomocą zabezpieczyć się kompleksowo. Po czwarte pierwsza konfiguracja klucza U2F może być kłopotliwa dla mniej technicznych osób. Po piąte musimy nosić taki klucz ze sobą wszędzie tam, gdzie zamierzamy się logować (po pierwszym logowaniu możemy dodać przeglądarkę do zaufanych, ale nigdy nie ma pewności, czy akurat nie zostaniemy poproszeni o dodatkową autoryzację).
Po szóste klucz U2F nie zabezpieczy nas przed wszystkim. Jeżeli damy się nabrać np. na rozmowę z podstawionym pracownikiem banku, podamy mu kod Blik i go zatwierdzimy w aplikacji mobilnej, to i tak nas okradną (ale trudniej i na mniejszą sumę). Klucz nie ochroni nas też przed złośliwym oprogramowaniem. Zabezpieczymy się jednak przed przejęciem naszego konta (nikt się na takie konto nie zaloguje).
Klucz U2F w ING Banku jeszcze w tym roku!
Dotychczas największym mankamentem kluczy zabezpieczających było to, że serwisy, do których się logujemy, muszą wykazać się dobrą wolą i wspierać takie zabezpieczenie. Tak jak możemy sobie założyć dowolny e-mail i używać go w każdym serwisie, tak kupno klucza U2F nic nam nie da, jeśli nie są one wspierane przez serwisy, z których korzystamy. Ten problem zgłosiła nam m.in. pani Gabriela:
„Nie jest to dla mnie zrozumiale. Skoro phishing jest tak bardzo popularny, a ja kupiłam narzędzie, żeby się przed nim bronić, to dlaczego więc bank nie daje mi takiej możliwości?”
Do niedawna żaden bank w Polsce nie wykorzystywał tej metody zabezpieczenia podczas logowania. Na szczęście to się zmienia. W lutym media obiegła informacja, że ING, jako pierwszy bank w Polsce, udostępni możliwość wykorzystania kluczy U2F do uwierzytelniania logowania.
Postanowiłem upewnić się u źródła, czy faktycznie prace nad kluczami zabezpieczającymi są zaawansowane (bo plany były już kilka lat temu, co widać na powyższym screenie z Twittera). Uspokoiła mnie pani Magdalena Klejment:
„Tak, planujemy wprowadzić uwierzytelnienie podczas logowania się do Mojego ING z wykorzystaniem sprzętowych kluczy zabezpieczających FIDO2. Możliwość rejestracji w Moim ING sprzętowych kluczy zabezpieczających wprowadzimy w drugim, trzecim kwartale tego roku.”
ING Bank zasługuje na pochwałę za to, że będzie pierwszym polskim bankiem, który wdroży takie zabezpieczenie. Mam nadzieję, że w pozostałych bankach powstanie teraz presja na to, by wdrożyć klucze U2F. Rozumiem, że nikt nie chciał wychodzić przed szereg, ale teraz to jest już kwestia przewagi konkurencyjnej – a ING Bank właśnie „puścił oczko” do bardziej świadomych klientów i niejako zaprasza ich: „chodźcie do nas”.
Czy inne banki pójdą śladem ING?
Zapytałem w pozostałych bankach o to, czy i kiedy planują wprowadzić możliwość logowania się z wykorzystaniem kluczy U2F, a – jeżeli nie – to dlaczego i na jakie inne metody bank postawił. Otrzymałem odpowiedzi z siedmiu banków, które poniżej sortuję alfabetycznie.
Czego się dowiedziałem? Niestety żaden z banków nie zapewnił mnie, że takie rozwiązanie zostanie wdrożone. Najczęściej była to bezpieczna odpowiedź w stylu „analizujemy, myślimy, rozważamy”. Po prostu nie wypada zaprzeczyć, ale prace, jeśli są, to w bardzo początkowej fazie. Na pierwszy ogień Zenon Biedrzycki, dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity w banku BNP Paribas:
„Kilka lat temu Bank BNP Paribas podjął decyzję o wdrożeniu w systemach bankowych dla pracowników dwuskładnikowego uwierzytelnienia, które wykorzystuje standard FIDO2 (Fast Identity Online 2). W ramach prowadzonych analiz rozważano także możliwość wprowadzenia kluczy U2F (Universal Second Factor), jako elementu uwierzytelnienia klientów w systemach bankowości elektronicznej. Ustalono wtedy, że urządzenie U2F może być wykorzystane wyłącznie w procesie uwierzytelnienia i nie może być używane do autoryzacji operacji, z racji braku możliwości przekazania kontekstu autoryzowanej operacji do urządzenia U2F, w którym realizowana jest operacja kryptograficzna. Z tego względu oraz z uwagi na komfort klienta, Bank BNP Paribas nie wdrożył kluczy U2F w bankowości elektronicznej.”
Czyli w banku nie chcieli oddzielnych metod uwierzytelniania logowania i transakcji, a szkoda, bo każde dodatkowe zabezpieczenie zwiększa nasze bezpieczeństwo. Dużo mniej wylewne było Biuro Prasowe Banku Ochrony Środowiska:
„Użycie kluczy U2F jest jednym z analizowanych przez BOŚ rozwiązań zwiększających bezpieczeństwo Klientów, w szczególności w zakresie uwierzytelnienia – i tylko w tym aspekcie ich użycie podlega analizie”.
Więcej dowiedziałem się od pana Jarosława Górskiego, dyrektora departamentu bezpieczeństwa w mBanku:
„Obecnie prowadzimy prace nad nowymi czynnikami uwierzytelniającymi i wśród nich są również klucze U2F. W pierwszej kolejności skupiamy się na czynnikach, które są dostępne dla większości naszych klientów. Po ich uruchomieniu skupimy się na U2F. Kryterium, którym się kierujemy przy doborze priorytetów wdrożeń bezpieczeństwa, jest zasięg działania i liczba klientów których ochronimy przed oszustami.”
Generalnie problem z zasięgiem jest jednym z głównych, na który zwracali mi uwagę przedstawiciele banków. Rozumiem to, ale w bankach też mogliby zrozumieć, że dopiero udostępnienie tej możliwości na szeroką skalę i kampania informacyjna zwiększy taki zasięg. Na razie zasięg byłby niewielki, bo sporo osób po prostu nie wie, co to jest klucz U2F.
„Aktywnie przyglądamy się nowym narzędziom (należy do nich również możliwość wykorzystania w logowaniu kluczy U2F) i rozwojowi usług w tym zakresie. O wprowadzeniu nowych rozwiązań informujemy po zakończonej sukcesem implementacji”
– to z kolei opinia Krzysztofa Kurka z Banku Millennium. Pora na państwowe banki. Czego dowiedziałem się w Banku Pekao?
„Bank Pekao na bieżąco analizuje dostępne rozwiązania i wdraża różnego rodzaju zabezpieczenia logowania w aplikacji PeoPay. W ostatnim czasie wprowadziliśmy między innymi możliwość zapamiętania numeru klienta, jeśli korzysta on z zaufanego urządzenia. Dzięki temu klient podaje na stronie do logowania wyłącznie wybrane znaki z hasła maskowanego. Przekłada się to na kolejny element odróżniający nasz proces logowania od standardowych stron phishingowych przygotowywanych w zorganizowanych działaniach przez oszustów. Dodatkowo od niedawna klienci mogą ustanowić także limit aktywnych aplikacji PeoPay, dzięki czemu nie ma możliwości zainstalowania i aktywowania aplikacji przez osobę trzecią bez wcześniejszych zmian ustawień licznika, który wymaga dodatkowej autoryzacji.”
Mój błąd, bo zapytałem też o inne sposoby zwiększające bezpieczeństwo logowania, które banki planują wdrożyć. Nie spodziewałem się jednak, że główne dwa pytania pozostaną bez komentarza (zabrakło nawet informacji, że… analizują takie rozwiązanie). Niewiele więcej odpowiedział mi Michał Tkaczuk z PKO BP:
„Temat cyberbezpieczeństwa jest dla nas bardzo ważny i cały czas analizujemy możliwości przygotowania nowych rozwiązań dla naszych klientów. Jednak o wdrożeniach w naszym banku informujemy dopiero w momencie ich udostępnienia.”
Na koniec Velo Bank. Artur Newecki wyjaśnił mi, że klucz U2F na razie nie jest brany pod uwagę w banku, gdyż jest to niezbyt popularne urządzenie, które wymaga edukacji społeczeństwa:
„Oczywiście na bieżąco śledzimy nowe rozwiązania w zakresie zwiększania bezpieczeństwa użytkowników aplikacji bankowych i stale analizujemy możliwości ich implementacji. Niestety urządzenia U2F nie są popularne wśród ogółu społeczeństwa, a ich wykorzystywanie przez przeciętnego klienta może w istotny sposób wpłynąć na wygodę korzystania z aplikacji, szczególnie w przypadku zgubienia urządzenia U2F. Warto również pamiętać, że U2F ma wpływ tylko na jeden z obszarów bezpieczeństwa konta bankowego. Samo zalogowanie do bankowości nie pozwala na dokonywanie istotnych zmian na koncie lub zlecanie transakcji zewnętrznych. Do realizacji tych dyspozycji potrzebny jest jeszcze kod autoryzacyjny.”
Z pozostałych banków (a pytałem też w Alior Banku, Citi Banku, Credit Agricole, Nest Banku, Santander Banku, Santander Consumer Banku i Toyota Banku) na razie nie otrzymałem odpowiedzi. Prawdopodobnie byłaby ona jednak podobna do tych powyższych, bo gdyby jakiś bank poważnie traktował klucz U2F, to pewnie by się tym pochwalił. Aktualizacja: Banki Spółdzielcze ubiegły ING i pochwaliły się, że wdrożyły klucze U2F.
Klucz U2F w banku? Pięć wniosków
Dlaczego banki w Polsce nie spieszą się z wdrażaniem kluczy zabezpieczających? Cóż – tego mi oczywiście nie ujawnili, ale z powyższych wypowiedzi można wysnuć pewne wnioski, które pokrywają się z moimi przeczuciami.
Po pierwsze banki wolą rozwiązania, które zabezpieczą większą grupę klientów. Smartfon ma (niemal) każdy z nas, a klucz U2F nie jest zbyt popularnym urządzeniem. Nie oszukujmy się – ile znacie osób, które posiadają takie klucze? Rozumiem więc obawy banków, ale nie rozumiem tego, że nie próbują zwiększać świadomości zalet takiego rozwiązania.
Po drugie klucze U2F są płatne i pewnie w banku mają wątpliwości, czy znajdą się na nie chętni. Zgadzam się, że potrzebna byłaby szeroka kampania informacyjna, ale nie podoba mi się ignorowanie potrzeb bardziej świadomych klientów. No i bank mógłby takie klucze rozdawać w jakichś promocjach (skoro płacą za otwarcie konta, to przecież mogą zrobić promocję, w której klient otrzyma klucz U2F).
Po trzecie bankom przeszkadza brak możliwości autoryzacji operacji za pomocą takich kluczy. Skoro i tak (na razie) jest potrzebna inna metoda autoryzacji, to po co implementować oba sposoby? Moim zdaniem po to, by było bezpieczniej, ale to tylko moje zdanie. Szczególnie że technologia rozwija się tak szybko, że niebawem wykorzystanie kluczy zabezpieczających na poziomie autoryzowania transakcji powinno być możliwe.
Po czwarte banki intensywnie rozwijają swoje aplikacje mobilne, które posiadają zbliżone mechanizmy bezpieczeństwa do tych, którą oferuje klucz U2F. Autoryzacja w aplikacji mobilnej jest oczywiście bardzo dobra, ale oszuści udowodnili już, że potrafią ją ominąć (np. aktywować taką aplikację u siebie na telefonie lub namówić klienta na zdalną autoryzację), a klucz U2F musieliby fizycznie ukraść (i dodatkowo jakoś zdobyć dane logowania i odblokowany telefon komórkowy).
Po piąte klucz U2F to niezbyt intuicyjna metoda autoryzacji. Osoby mniej techniczne mogą mieć problem z jej uruchomieniem i wykorzystaniem, a to też spowoduje pewne zagrożenie. Już teraz nierzadko konsultanci muszą wyjaśniać klientom, jak działa aplikacja mobilna – to co dopiero, gdy będą musieli wyjaśnić zasadę działania klucza U2F?
Banki ostatnio intensywnie postawiły na edukację w zakresie bezpieczeństwa klientów. Trudno się dziwić, bo zgodnie z ustawą banki muszą zwracać środki okradzionym klientom. Oczywiście nie robią tego od ręki, procesy sądowe trwają latami, ale jednak w interesie banków jest, aby pieniądze klientów były bezpieczne. Banki rozwijają też analizę behawioralną, która pozwoli błyskawicznie wykryć podejrzane transakcje. Tym bardziej dziwi mnie, że z takim oporem podchodzą do sprawdzonego rozwiązania, jakim są klucze U2F.
Podsumowując, klucze U2F mogą znacząco poprawić nasze bezpieczeństwo w sieci. Jeżeli jesteście klientami ING Banku, to niedługo będziecie mogli je skonfigurować. W przypadku innych banków musicie jeszcze poczekać, ale i tak polecam posiadać takie klucze, które zabezpieczą naszą tożsamość w innych serwisach (media społecznościowe, konta e-mail, platformy zakupowe itd.).
Zdjęcie główne: Materiały prasowe ING Banku
