Politycy, klucze w dłoń!

klucze-u2f-dla-politykow

Klucze U2F dla Polityków

Zastanawiałem się ostatnio, co by było, gdyby rząd wybrał dostawcę kluczy U2F, mających chronić tożsamości naszych polityków, zupełnie przypadkowo. Na przykład poprzez „nieuwagę” kupiłby je od podmiotu współpracującego z rządem wrogiego nam kraju. Dostarczone wówczas urządzenia mogłyby wyglądać identycznie do zamówionych, ale ich mechanizmy kryptograficzne mogłyby być celowo osłabione… Aż strach rozwijać, co mogłoby stać się dalej…

Takie myślenie nie jest bezpodstawne – wciąż dobrze pamiętamy aferę z przetargiem na maseczki, które nie działały i nie miały odpowiednich atestów. Na szczęście, w przypadku kluczy U2F sprawa jest całkiem prosta – dzięki certyfikatom atestacyjnym możemy prześledzić dokładnie ich losy – od linii produkcyjnej podmiotu, który ten klucz wyprodukował, aż do pierwszego użycia. Nadzieją napawają też doniesienia dziennika DGP, który informował w zeszłym tygodniu, że zakupu kluczy ma dokonać NASK. Liczę, że Naukowa i Akademicka Sieć Komputerowa odrobi właściwie swoje zadanie.

secfense umozliwia latwe wdrozenie kluczy u2f 1
Klucze U2F dla Polityków

Mam jednak pewne obawy wiążące się z tym, że procedura korzystania z kluczy U2F ma być dobrowolna: (…) Urządzenia dostaną wszyscy chętni członkowie rządu, parlamentarzyści, ale także osoby z istotnych instytucji państwowych”. Czytamy dalej w DGP. A przecież klucze, według mnie, powinny stać się obowiązkowym standardem dla wszystkich, którzy piastują rządowe stanowiska, ponieważ aktualnie to najlepsza znana metoda zabezpieczenia systemów przed phishingiem. A taki właśnie atak spowodował problemy Dworczyka – atakujący zdobył jego login i hasło i miał otwarty dostęp do jego sekretów.

Niestety – wyposażenie wszystkich w klucz również nie rozwiązuje problemu. Samo posiadanie klucza lub używanie go “od czasu do czasu” nie wystarczy. Klucza trzeba używać codziennie. Choćby po to, by szybko zorientować się, że został zgubiony i trzeba go od razu zdezaktywować. Jeśli klucz kryptograficzny będzie w użyciu raz na tydzień lub – o zgrozo – raz w miesiącu, „nieuczciwy” znalazca będzie miał szansę go podrobić i wykraść znajdujący się na nim sekret. Co prawda, jest to długi i żmudny proces, ale jeśli “gra jest warta świeczki” – to i mikroskop elektronowy się znajdzie 🙂

Tak więc, klucze w dłoń i w kieszeń, drodzy politycy! Trzymamy kciuki za to, abyście zaczęli traktować te wspaniałe urządzenia jak kluczyki do samochodu lub portfel z legitymacją, bez której nie możecie dostać się do sejmu.

Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.