Autoryzacja przez SMS? Nie, dziękuję

August 30, 2016 Articles

Transakcje online są nieodzownym elementem funkcjonowania obecnych systemów. Konieczność ich bezpieczeństwa jest bezdyskusyjna. Przez lata instytucje finansowe korzystały z rożnego typu zabezpieczeń, których celem było potwierdzenie, że człowiek dokonujący transakcji jest właściwą do tego osobą. W idealnym modelu tylko jednostka do tego uprawniona wpisuje kod przysłany za pośrednictwem SMSa, aby potwierdzić transakcję. Znamy ten system chyba wszyscy z własnego doświadczenia.

Wydaje się on nam bezpieczny. Kluczem tutaj jest sformułowanie: „wydaje się”.

Od dłuższego czasu wiadomo jednak, że cyberprzestępcy potrafią włamać się do transmisji podczas, której następuje potwierdzenie transakcji. My nadal, jesteśmy tymi, którzy zgodnie z ideą systemu, otrzymują SMSa na własne urządzenie. Jesteśmy podmiotem autoryzującym. To nadal my potwierdzamy transakcję. Tylko, że autoryzujemy operację inną od zamierzonej i np. środki wędrują na konto cyberprzestępcy.

To, że są oni bardziej zaawansowani w swoich poczynaniach od systemów również jest znane nie od dziś. Pełna świadomość zagrożenia, wykorzystywanych technik, słabości systemu – wszystko jest znane dla specjalistów, oraz zwykłych użytkowników… Ale, jak to kiedyś śpiewał jeden z bardzo znanych artystów, „Wszyscy zgadzają się ze sobą, a będzie nadal tak jak jest…”

Pytanie nasuwa się następujące – ile milionów użytkowników musi stracić miliony/miliardy złotych-euro-dolarów, aby nastąpiła zmiana w pojmowaniu bezpieczeństwa transakcji?

Doskonale zdajemy sobie sprawę, że system jest tak silny, jak jego najsłabsze ogniwo. I czy coś w związku ze słabością SMSów się dzieje? Nic. Business as usual. Wypracowano pewien status quo, którego się trzymamy – używamy system wykorzystujący SMSy, straty są nieuniknione, wliczamy to w koszty i staramy się tak wpłynąć na regulacje, żeby to użytkownika obciążyć odpowiedzialnością za ataki cyberprzestępców.

Do czasu.

Niedawno amerykański instytut NIST (National Institute of Standards and Technology) opublikował rekomendacje dotyczące systemów cyfrowej identyfikacji. Jednym z nich jest kanał zewnętrzny – Out of Band (OOB) który może wykorzystywać w procesie autoryzacji transakcji narzędzie, jakim jest SMS. NIST stwierdza: „W związku z ryzykiem, że wiadomości SMS mogą zostać przechwycone lub przekierowane, wszyscy, którzy będą implementować nowe systemy (identyfikacji – przyp. aut.) POWINNI bardzo poważnie rozważyć alternatywne sposoby identyfikacji.” I dalej: „OOB wykorzystujące SMS nie jest już aprobowane i nie będzie więcej dozwolone, jako rozwiązanie w przyszłych wydaniach rekomendacji.” (tłumaczenie własne)

Oczywiście, jest to dopiero rekomendacja, która ma dotyczyć nowych systemów. Niestety nie wpłynie ona na drastyczną i nagłą zmianę podejścia do narzędzia jakim są SMSy, czyli ich wycofanie z użytku przez np. instytucje finansowe. Nie mniej jest nadzieja, że podmioty oferujące dokonywanie transakcji, i w związku z tym zmuszone do stosowania dwustopniowej identyfikacji, będą we wprowadzanych systemach zwracać się ku innym rozwiązaniom, a za ich przykładem – walcząc o klienta – pójdą następne.

Dla naszego własnego bezpieczeństwa warto oczekiwać dnia, kiedy zostaną wycofane z użytku tego rodzaju narzędzia identyfikacji. Rozwiązań alternatywnych nie brakuje, ale w pełni bezpiecznych jest naprawdę niewiele. Warto ostrożnie implementować nowe narzędzia, aby za chwilę nie okazały się one słabe i podatne na ataki, tak samo jak SMS. Nasza firma przygotowała rozwiązanie, które daje pełne bezpieczeństwo dla użytkownika przy dokonywaniu transakcji. Jest nim aplikacja Cyberus Key – klucz do prawdziwego bezpieczeństwa w sieci.

Blog