Media obiegła informacja, że ING Bank jako pierwszy w Polsce wprowadzi możliwość logowania się do banku z wykorzystaniem kluczy U2F. Znaczy to mniej więcej tyle, że oprócz loginu i hasła klient będzie mógł zalogować się (uwierzytelnić swoją tożsamość) przy pomocy klucza fizycznego, który wygląda jak pendrive. I co prawda, pomimo że ta metoda ochrony przed kradzieżą konta nie jest jeszcze w ING włączona, wygląda na to, że machina zmian ruszyła wreszcie do przodu. I to dobrze! Klucz U2F to jedyna realnie chroniąca przed wyłudzeniami haseł metoda ochrony tożsamości online.
Celem ataków cyberprzestępców padają najczęściej banki i instytucje finansowe. Według badań Cisco, to firmy właśnie z tej branży są narażone na incydenty phishingowe o 60% bardziej niż kolejny najczęściej atakowany sektor naszej gospodarki, czyli szkolnictwo wyższe.
Logowanie do banku – TAK
Z pewnością, to właśnie niekorzystna statystyka oraz realne problemy z kradzieżą tożsamości w sektorze bankowym, stały się główną motywacją dla banku ING, który jako pierwszy w Polsce poinformował, że wprowadza możliwość logowania z wykorzystaniem kluczy U2F. Wcześniej, klucze U2F wykorzystywane były głównie do potwierdzania tożsamości w sieci. Dziś – jak widać na pionierskim przykładzie ING – mogą też pełnić funkcję klucza dostępowego, uwierzytelniającego otwarcie drzwi do banku (logowanie do aplikacji bankowej).
– To znaczy, że w końcu faktycznie w pełni zabezpieczymy swoje konto bankowe przed atakiem. Stosowanie klucza U2F neutralizuje bowiem wszystkie ataki związane z wykorzystaniem hasła. Więc, ani fałszywe maile, ani telefony od osoby podszywające się pod konsultantów z banku nie spowodują, że przestępcy dostaną się do naszego konta bankowego. Do tej pory żaden bank w Polsce nie posiadał takiej opcji – mówi Tomasz Kowalski, CEO i współtwórca Secfense.
Potwierdzanie transakcji – jeszcze NIE
Co istotne i często dla wielu osób mylące, samym kluczem U2F nadal nie będzie dało się autoryzować samej transakcji. Technologia nie potrafi bowiem jeszcze nieść potrzebnego do bezpiecznego działania w tym przypadku kontekstu – dawać wiedzy, jaka to transakcja, na ile złotych, do kogo wysłane zostają pieniądze. Samo już jednak „fizyczne” wejście do banku, będzie mogło być kluczem U2F chronione i w ten sposób w końcu zabezpieczone na najwyższym z dostępnych dziś poziomów.
– Jestem pewien, że już niedługo znikną też ograniczenia związane z brakiem wsparcia dla kontekstu i technologia pójdzie tak do przodu, że klucze U2F, a w szczególności ich sukcesor FIDO2, będą mogły zostać szeroko wdrożone – nie tylko w bankach na poziomie autoryzowania transakcji, ale też w instytucjach czy usługach rządowych, które takich kontekstów wymagają – dodaje Kowalski.
Klucze U2F, które ma zamiar wprowadzić ING, określane są, jako najsilniejsza metoda uwierzytelniania. Swoją renomę zyskały wśród osób odpowiadających za cyberbezpieczeństwo po tym, jak korporacja Google wprowadziła je masowo dla wszystkich swoich pracowników (ponad 85 tysięcy osób) i wyeliminowała tym samym ryzyka związane z phishingiem i kradzieżą danych uwierzytelniających. Klucze w firmie Google wykorzystywane są od 2017 roku i od tego czasu firma nie zarejestrowała ani jednego przypadku przejęcia konta pracownika.
– Banki wprowadzające klucze U2F to kolejny ogromny krok w kierunku bezpieczeństwa w sieci. W Secfense, gdzie zajmujemy się bezinwazyjną adopcją U2F oraz jego następcy FIDO2 w organizacjach, z uwagą śledzimy rosnącą świadomość na rynku. Coraz więcej firm zgłasza się do nas z prośbą o pomoc we wprowadzeniu silnego uwierzytelnianie. Co istotne takiego, które oparte jest właśnie na kluczach U2F czy FIDO2, czyli metodzie wykorzystującej biometrię twarzy czy odcisku palca. Zmianę tę przyspiesza również fakt, że pomagamy wdrożyć te technologie bezinwazyjnie, czyli bez ingerencji w kod chronionych aplikacji – dodaje Tomasz Kowalski.
Za kluczami U2F, o których w ostatnich dniach znowu zrobiło się głośno (dużo mówiono o nich też w kontekście tzw. “afery Dworczyka”), stoi organizacja FIDO Alliance – otwarte stowarzyszenie, zrzeszające gigantów technologicznych jak Amazon, Apple, Google, Meta czy Microsoft, którego misją jest zmniejszenie roli haseł i zastąpienie ich silniejszymi metodami uwierzytelniania. Znaczy to więc, że klucze U2F i wykorzystywany przez nie standard uwierzytelniania FIDO są na bieżąco rozwijane. Należy przypuszczać więc, że ich rola w zakresie bezpieczeństwa w sieci będzie jedynie stale rosnąć.
Źródło: Secfense