Po skandalu z mailami politycy będą musieli używać kluczy U2F. Czy będą umieć?

Afera mailowa wybuchła niespełna dwa tygodnie temu za sprawą zrzutów ekranu z prywatnej skrzynki ministra Michała Dworczyka. Wyciek maili pokazał, że Dworczyk korespondował m.in. z premierem Polski, a na zrzutach widzimy kolejne etapy załatwiania spraw rządowych.

Już samo korzystanie z prywatnej skrzynki do celów zawodowych jest skandaliczne. Mówimy o sprawach rządowych, które powinny być załatwiane tylko przez państwowy chroniony system, a nie pełną spamu, darmową skrzynkę WP. Skrzynka ministra mogła być od dawna podglądana.

Jak informuje „Dziennik Gazeta Prawna”, polscy parlamentarzyści będą zobowiązani do korzystania z zabezpieczeń w postaci sprzętowych kluczy U2F. Takie klucze mają otrzymać wszyscy członkowie rządu, posłowie i senatorowie.

Klucz U2F to jedna z najskuteczniejszych metod ochrony, eliminująca właściwie w stu procentach ataki phishingowe polegające na kradzieży hasła dostępu.

Taki klucz jest rozwinięciem pomysłu stojącego za dwuetapowym uwierzytelnianiem (2FA). Kiedy logujemy się do konta zabezpieczonego 2FA, poza podaniem hasła i loginu czeka nas jeszcze dodatkowa weryfikacja. Może być nią np. jednorazowy kod przesłany SMS-em. To znacznie utrudnia przejęcie konta, bo wymaga od hakera poznania loginu i hasła, a także przechwycenia wiadomości SMS. To wyjątkowo trudne zadanie, ale nie jest niemożliwe.

Klucz U2F jest dla odmiany fizyczną metodą dwuskładnikowego uwierzytelnienia. Przy zabezpieczeniu konta takim kluczem w czasie logowania musimy fizycznie umieścić klucz w porcie komputera. Najczęściej ma on formę przypominającą pendrive, z końcówką USB. Kiedy klucz jest w komputerze, są na nim przeprowadzane operacje kryptograficzne.

Kiedy założymy na konto warstwę zabezpieczenia kluczem U2F, fizyczny „pendrive” będzie niezbędnym elementem do logowania. Jeśli polityk zgubi to urządzenie, straci dostęp do swoich kont. Nie będzie mógł się zalogować w żaden inny sposób. Jedynym rozwiązaniem jest przechowywanie zapasowej kopii klucza U2F.

Niestety politycy to tylko ludzie. Dużą część z nich jest zupełnie nietechniczna, co obserwowaliśmy wielokrotnie w oku kamery. Jeśli polityk jest w stanie w czasie transmisji live wprowadzić w widoczny sposób swój kod pin do smartfona, to stawiam dolary przeciwko orzechom, że jest też w stanie zapomnieć o swoim kluczu U2F. Zostawić go w domu, w hotelu w czasie delegacji, wyprać razem ze spodniami, zostawić w sejmowym korytarzu i nigdy więcej nie odzyskać.

Nie krytykuję tu samej idei klucza U2F, ale ta metoda weryfikacji wymaga tego, by użytkownik miał głowę na karku i pilnował swojego klucza. Pozostaje mieć nadzieję, że politycy rzeczywiście są w stanie zachować się dojrzale, mając taki gadżet.