Heartbleed i 2FA

Zna­jo­mi pyta­ją mnie co myślę o ostat­nim kata­kliź­mie inte­re­ne­to­wym zwią­za­nym z luką OpenS­SLa, więc dziś chciał­bym podzie­lić się z Tobą jed­ną z moich reflek­sji. Trze­ba się pogo­dzić z tym, że co jakiś czas jakieś hasło gdzieś z cze­goś wyciek­nie – taka jest natu­ra tech­no­lo­gii oraz mno­gich i skom­pli­ko­wa­nych roz­wią­zań z nimi zwią­za­nych. Nie da się przed tym uciec. Ale moż­na pote­na­cjal­ne ryzy­ko zmi­ni­ma­li­zo­wać. I tutaj nie wska­żę na nic odkryw­cze­go – dla każ­de­go kon­ta inne hasło powin­no być takim samym stan­da­rem higie­ny jak zakła­da­nie codzien­nie rano świe­żych skar­pe­tek. Ale czy moż­na zro­bić coś wię­cej? Oczy­wi­ście, że tak.

Cho­dzi tutaj o wyko­rzy­sta­nie 2FA, czy­li dwu­skład­ni­ko­we­go uwie­rzy­tel­nia­nia. Więk­szość osób, któ­rym to dora­dzam zazwy­czaj trak­tu­je to roz­wią­za­nie jako cie­ka­wost­kę przy­rod­ni­czą wyma­ga­ją­cą ponad­prze­cięt­nej zaba­wy, nie zaś jako sku­tecz­ną meto­dę ochro­ny. A jest to nie­praw­dzi­we wra­że­nie. Powiem wię­cej – jeśli korzy­stasz z jakiej­kol­wiek ban­ko­wo­ści inter­ne­to­wej to na pew­no sto­su­jesz dwu­skład­ni­ko­we uwie­rzy­tel­nia­nie – i być może o tym nawet nie wiesz. 2FA to wła­śnie te zdrap­ki na spe­cjal­nych kar­tach lub kody SMS, któ­re trze­ba prze­pi­sać z komór­ki do kom­pu­te­ra by zatwier­dzić przelew.

No ok, ale jak to się ma do ochro­ny logi­nu i hasła? W tym przy­pad­ku dwu­skład­ni­ko­we uwie­rzy­tel­nia­nie dzia­ła nie­co mniej upier­dli­wie. Gdy logu­je­my się pierw­szy raz z danej prze­glą­dar­ki np. na Gma­ila czy Face­bo­oka pro­sze­ni jeste­śmy, po wpi­sa­niu logi­nu i hasła, o wpi­sa­nie takie­go kodu SMS. Użyt­kow­ni­cy nie­co bar­dziej zaawan­so­wa­ni mogą zastą­pić kody SMS spe­cjal­ny­mi apli­ka­cja­mi na smart­fo­nie – one co 20–30 sekund będą gene­ro­wać nowe jed­no­ra­zo­we hasło – nasz trze­ci ele­ment obro­ny. Po co to wszyst­ko? Ten trze­ci kod gene­ro­wa­ny w smart­fo­nie lub haslo SMS (czy­li 2FA) będzie za każ­dym razem inne. Jed­nak co naj­waż­niej­sze dla leni­wych ludzi – gdy już raz na danym kom­pu­te­rze zalo­gu­je­my się z uży­ciem 2FA, kolej­ne logo­wa­nie nie będzie od nas wyma­ga­ło poda­nia 2FA (chy­ba, że zazna­czy­my w opcjach by wyma­ga­ło) albo zażą­da go ponow­nie np. po upły­wie 30 dni. Pięk­ne i sku­tecz­ne w swej pro­sto­cie jednocześnie.

Więc nawet jeśli ktoś korzy­sta­jąc z takiej luki jak sław­ny w ostat­nich dniach heart­ble­ed wykrad­nie Twój login, hasło i kod 2FA, to nie uda mu się zalo­go­wać. Bo kod SMS będzie moż­na wyko­rzy­stać  tyl­ko raz i zro­bisz to Ty w momen­cie, w któ­rym zosta­ną Tobie wykra­dzio­ne dane dostę­po­we – lub w przy­pad­ku kodu gene­ro­wa­ne­go na smart­fo­nie – kod będzie dzia­łał tyl­ko kil­ka­dzie­siąt sekund.  Tak więc nawet prze­chwy­ce­nie wszyst­kich trzech danych dostę­po­wych sku­tecz­nie mini­ma­li­zu­je ryzy­ko. Mini­ma­li­zu­je, bo 2FA, jak wszyst­ko inne idzie pew­nym spo­so­bem złamać ;>