Politycy będą korzystać z kluczy U2F do weryfikacji przy logowaniu

„Dziennik Gazeta Prawna” informował niedawno, że po aferze mailowej rządu jego członkowie i parlamentarzyści dostaną klucze U2F do weryfikacji przy logowaniu m.in. do poczty elektronicznej.

Klucze przypominają pendrive'y, przy logowaniu na skrzynkę mailową czy do serwisu wpina się je do komputera lub zbliża do smartfona. Klucz sam przeprowadza operacje kryptograficzne, co utrudnia przejęcie go przez hakerów czy phisherów – dodaje „DGP”. Według ustaleń gazety, jeszcze w lipcu rząd ma wszcząć procedurę zakupową kluczy U2F.

Ekspert: Dziś obowiązkowo należy zabezpieczyć co najmniej skrzynkę e-mail

- Klucz U2F to rozwiązanie, które pozwala w 100 procentach ochronić użytkownika przed negatywnymi skutkami ataku phishingowego - mówi Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą w celu namierzenia błędów bezpieczeństwa w infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze. – Nawet jeśli atakującemu uda się przekonać użytkownika do wprowadzenia loginu i hasła na fałszywej stronie, a potem do użycia na niej klucza U2F, nic złego się nie stanie. Atakujący oczywiście przechwyci odpowiedź z klucza użytkownika, ale nie będzie w stanie jej wykorzystać do logowania na prawdziwym koncie. A to dlatego, że klucz korzysta z kryptografii asymetrycznej i operacji podpisu, którego elementem jest adres strony, na której ktoś klucza używa – dodaje ekspert.

- Każda osoba, której zależy na bezpieczeństwie swojego konta powinna włączyć na nim dwuskładnikowe uwierzytelnienie ale nie jako kod generowany na telefonie lub wysyłany SMS-em (bo te zabezpieczenia da się obejść), a właśnie jako klucz U2F – podkreśla Konieczny w rozmowie z Wirtualnemedia.pl. - Klucze wspiera większość popularnych usług, zarówno Gmail jak i poczta Microsoftu, Facebook, Twitter i wiele innych. Dziś obowiązkowo należy zabezpieczyć co najmniej skrzynkę e-mail, bo jeśli zostanie zhackowana, włamywacz będzie w stanie przejąć pozostałe nasze konta w innych serwisach, korzystając w nich z funkcji "przypomnij hasło". Jeśli nasza skrzynka pocztowa nie wspiera kluczy, zdecydowanie powinniśmy zmienić dostawcę na takiego, który bezpieczeństwo traktuje poważniej – dodaje szef zespołu bezpieczeństwa Niebezpiecznik.pl.

Konieczny przestrzega jednak przed postrzeganiem klucza jako „świętego Graala bezpieczeństwa". - Wciąż musimy uważać, aby nie zainfekować swoich urządzeń złośliwym oprogramowaniem i wciąż musimy tak wybrać dostawcę usługi, aby nie dał się przekonać włamywaczowi, na przykład przez infolinię, że on to my, że zgubiliśmy klucz i że prosimy o odblokowanie konta – zaznacza ekspert.

Atak hakerów na skrzynkę Dworczyka

W czerwcu szef kancelarii premiera Michał Dworczyk przekazał, że doszło do ataku hakerskiego na jego skrzynkę mailową. Na Twitterze napisał: "Pragnę podkreślić, że w skrzynce mailowej będącej przedmiotem ataku hakerskiego nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny, lub ściśle tajny. Informuję również, że oświadczenie, które zostało opublikowane w mediach społecznościowych na koncie mojej żony, jest sfabrykowane i zawiera nieprawdziwe treści".

Szef kancelarii premiera podkreślił, że o sprawie "poinformowane zostały stosowane służby państwowe". Zdaniem Dworczyka, celem ataku może być dezinformacja. "Zważywszy na to, że informacje zostały opublikowane w rosyjskim serwisie społecznościowym Telegram oraz fakt, że przez 11 lat miałem zakaz wjazdu na teren Rosji i Białorusi jako osoba aktywnie wspierająca przemiany demokratyczne na terenie byłego ZSRR, traktuję ten atak jako jeden z elementów szeroko zakrojonych działań dezinformacyjnych zawierających sfałszowane i zmanipulowane informacje" - pisze w oświadczeniu Michał Dworczyk.

Konto mailowe Dworczyka w Wirtualnej Polsce

Szybko okazało się, że Dworczyk korzystał ze skrzynki mailowej na portalu Wirtualna Polska. Premier Mateusz Morawiecki powiedział, że wiele wskazuje na to, iż był to atak hakerski skierowany ze wschodu. Zdaniem Morawieckiego jest to "nowe oblicze współczesnej wojny". "W dzisiejszych czasach mamy do czynienia z atakami różnego rodzaju: atakami hybrydowymi, cyfrowymi" - wskazał.

Szef rządu dodał, że doszło do przejęcia szeregu skrzynek mailowych założonych na portalu Wirtualna Polska. "To jest sytuacja bardzo niedobra i mam nadzieję, że skłoni wszystkich obywateli do tego, aby bardzo skrupulatnie dbali o przestrzeganie higieny zasad bezpieczeństwa w sieci" - powiedział Morawiecki.

W wydanym szybko oświadczeniu Wirtualna Polska zapewniła, że jej systemy pocztowe „są całkowicie bezpieczne, a informacje czy insynuacje jakoby miało dojść do włamania na konta WP są całkowicie nieprawdziwe”. „Wejście na konto ministra Michała Dworczyka i co za tym idzie uzyskanie dostępu do jego emaili nastąpiło na skutek podania poprawnego loginu i hasła. Niestety oznacza to, że prawdopodobnie ktoś trzeci wszedł w posiadanie tego hasła” - napisała firma. „Premier Mateusz Morawiecki mówił dziś o potrzebie uwierzytelniania dwuskładnikowego. Chcemy jasno i wyraźnie zaznaczyć, że taki system uwierzytelnienia funkcjonuje w poczcie WP od dawna. Przykro nam to stwierdzić, ale minister Michał Dworczyk w momencie tego zdarzenia nie korzystał z takiego systemu” - zaznaczyła Wirtualna Polska.