Bezpieczeństwo

Nie będzie haseł, nie będzie czego kraść?

Michał Rosiak

11 kwietnia 2018

World Wide Web Consortium (W3C), odpowiedzialne za standardy obowiązujące w sieci internet, ogłosiło, że Google, Microsoft, and Mozilla dołączyły do projektu pozwalającego używać autentykacji biometrycznej przy korzystaniu z internetu. Oznacza to - ni mniej, ni więcej - że w naszych przeglądarkach do logowania będziemy mogli używać twarzy, głosu i odcisków palców, bez konieczności instalowania dodatkowych rozwiązań zewnętrznych.

Było to możliwe dzięki opublikowaniu przed FIDO (Fast IDentity Online) Alliance standardu Web Authentication (WebAuthn), definiującego jak przeglądarki mogą używać komponentów na stronach WWW w odniesieniu do hardware'owych czytników, bez użycia oprogramowania firm trzecich. WebAuthn dopuszcza również użycie rozwiązania zewnętrznego, jak fizyczny "klucz", czy smartfon, przy użyciu połączenia USB, Bluetooth, czy NFC.

Śmierć haseł?

Co to znaczy dla nas, jako użytkowników internetu? W dłuższej perspektywie zapewne śmierć haseł, przynajmniej w odniesieniu do zwykłego użytkownika sieci. Palce nosimy przy sobie, głos i twarz też, a co więcej - wykradnięcie ich przy wykorzystaniu phishingu jest niemożliwe. To nie loginy i hasła, które niefrasobliwie potrafimy podawać na tacy przestępcom.

Pytanie oczywiście w jaki sposób developerzy wdrożą te rozwiązania w życie. Wielokrotnie byliśmy świadkami udanych prób ataku na systemu rozpoznawania twarzy w telefonach, które dawało się oszukać zdjęciem i akurat ten sposób logowania do banku nie budzi zaufania. Głos? Tu już bardziej, ale przy założeniu, że np. będziemy wypowiadać jakieś abstrakcyjne hasło, w rodzaju: "Gwiazda ma koła z różowego szpinaku". W innym przypadku, mając świadomość, że nasz głos można nagrać na różne sposoby, nie znając szczegółów jego analizy, ciężko byłoby zaufać również tej metodzie. Najlepsze wydają się być skany tęczówki i odcisku palca - oczywiście przy założeniu, że nie instalujemy na telefonie nieznanego oprogramowania. A co jeśli mamy dostęp do informacji o ciężarze strategicznym (czy to dla kraju, czy przedsiębiorstwa)? Cóż - tu pozostają hasła, albo wycieranie wszystkiego, czego dotkniemy w miejscach publicznych. Za prezydentem USA chodzą odpowiedzialni za tym funkcjonariusze Secret Service...

Zdjęcie autorstwa Andri Koolme (Flickr) na licencji CC-BY-2.0

Please prove you are human by selecting the star.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

pablo_ck 10:04 12-04-2018

Moim zdaniem odcisk palca i obraz tęczówki jest najbezpieczniejszą metodą rozpoznania użytkownika. Cyfryzacja świata zmienia podejście do bezpieczeństwa użytkownika w sieci 🙂

Odpowiedz

MAURYCY 10:26 12-04-2018

Niby tak, ale pod warunkiem że użytkownik jest przytomny. Jak dostanie fangę w nos, zemdleje, a złodziej użyje jego palca czy tęczówki to ma bezproblemowy dostęp. Gdyby było hasło to wtedy od nieprzytomnego nie wyciągnie nic. Jak zawsze wszystko ma swoje + i -.

Odpowiedz

mike278 12:30 12-04-2018

Maurycy popieram. W calej rozciaglosci.

Odpowiedz

Piotrekk85 13:21 12-04-2018

Tak naprawdę nie wymyślono porządnego mechanizmu na ograniczenie dostępu do pewnych informacji. Bo taka jest idea haseł. Kiedyś ileś lat temu zrobiono coś po najmniejszej linii oporu – ktoś wymyślił hasła. Ale jak dla mnie to jest mocno anty-user-friendly. Biometria też do końca nie rozwiąże problemu choć przeniesie go gdzieś indziej.

Odpowiedz

MAURYCY 13:40 12-04-2018

Linia najmniejszego oporu a nie najmniejsza linia oporu 😉

Odpowiedz

Tomasz 14:27 12-04-2018

Biometryka ale dobrze zrobiona ma sens. Problem w tym „dobrze zrobiona”.

Odpowiedz

Bez palca 16:17 18-04-2018

Biometryka nadaje się co najwyżej do identyfikacji osobnika, ale uwierzytelnienie musi być oparte o coś innego. To jak z PESEL – identyfikuje osobę, ale sam w sobie nie jest specjalnie tajny (patrz np. baza KRS – publicznie dostępna baza PESEL wszystkich prezesów).
https://www.computerworld.pl/news/Sprytny-atak-na-system-biometryczny,77175.html
Nie chciałbym za konto na facebooku czy banku stracić palca. Nie tylko straciłbym kasę, ale i palec. Bez sensu.
A co mają robić osoby np. bez ręki?
Odciski palców zostawiamy wszędzie, z drugiej strony popularne czytniki są podatne na np. drukowane modele palca. Czy można zmienić odciski palca? Bo hasło się da prosto zmienić.

Odpowiedz

Astis 12:54 19-04-2018

Michale …. Uwielbiam Cię ! ????

Odpowiedz