Po aferach związanych z wyciekiem prywatnych maili polityków, przy pomocy których załatwiali oni państwowe sprawy, rząd postanowił wyposażyć parlamentarzystów w dodatkowe zabezpieczenie.
Każdy polityk ma otrzymać klucz U2F. To specjalne urządzenia, które wielkością i wyglądem przypominają pendrive'a. Kosztują od 20 do 50 dolarów za sztukę.
Służą do weryfikacji przy logowaniu m.in. do poczty elektronicznej. Można ich używać w przeróżnych serwisach, m.in. – Google G Suite, GitHub, Facebook czy Dropbox.
Zdaniem ekspertów, taka inwestycja może być jednak chybiona. Bo, aby zapewnić bezpieczeństwo, samo kupienie kluczy i przekazanie ich politykom to za mało.
- Sam klucz nie wystarczy. Aby móc zaimplementować „drugi składnik”, czyli w tym wypadku klucz U2F, trzeba te dwa światy ze sobą jakoś połączyć. Zainstalować brokera, który nieinwazyjnie i bez zmian w kodach aplikacji pozwoli zastosować dowolną metodę wieloskładnikowego uwierzytelniania, w tym także kluczy kryptograficznych – mówi Tomasz Kowalski, CEO oraz współzałożyciel Secfense.
– W przeciwnym razie kupionych kluczy politycy będą mogli używać do Facebooka lub Twitttera, a nie do aplikacji rządowych, które wymagają krytycznej ochrony - tłumaczy.
Jak mówi ekspert, aby poprawnie chronić dane, klucz musi mieć wsparcie aplikacji, które będą za jego pomocą obsługiwane. Sam zakup urządzeń nie jest równoznaczny z wdrożeniem odpowiedniego zabezpieczenia.
- Klucze U2F z wielkim sukcesem zaadaptował w całej organizacji w 2017 roku Google – dodaje Tomasz Kowalski.
– Od tego czasu konto żadnego pracownika nie zostało przejęte. Myślę, że to jest wystarczający dowód na to, że dwuskładnikowe uwierzytelnianie bazujące na standardzie U2F działa i ma się dobrze bez względu na upływ czasu. Trzeba jednak myśleć od razu całościowo i globalnie. Nie może być na przykład takiej sytuacji, że parlamentarzyści klucze dostaną jutro, a zaimplementują je na służbowe skrzynki dopiero za kilka lat - komentuje.