Hasła maskowane. Znowu.
Co jakiś czas powraca temat haseł maskowanych i ich rzekomo większego bezpieczeństwa, niż haseł “tradycyjnych”. Nie specjalnie monitoruję te dyskusje, bo swoje zdanie na temat tego typu haseł mam, wiele razy je przedstawiłem i nie spodziewam się zmiany swojej opinii na ich temat. Echa tych dyskusji docierają do mnie przez to, że część dyskutantów odwołuje się do moich wpisów na ten temat.
Jednym z banków, które nie korzystają z haseł maskowanych jest mBank. Część klientów uważa to za wadę, w związku z czym pojawiają się różne dyskusje, na przykład takie:
- forum: hasło logowania do modułu transakcyjnego,
- w komentarzach do informacji o zmianach w serwisie i nowej stronie logowania,
- forum: Trojan czyszczący konta (najnowszy),
Wątki te przeglądam głównie po to, by poznać argumenty zwolenników haseł maskowanych i móc się do nich odnieść. Zajmę się tylko najnowszym wątkiem.
“Bo wszyscy inni mają”
Przykład argumentacji:
bo najwyższy czas na wprowadzenie hasła maskującego.
Z banków w których mam konto, to jedyny bank, w którym nie mam maski.
I uważam to za spory błąd.
Cóż, “wszyscy inni mają” właśnie dlatego, że “wszyscy inni mają”. Efekt ten jest tym bardziej widoczny, że znaczna część systemów bankowości internetowej pochodzi od jednego dostawcy. Dostawca ten hasła maskowane wykorzystał, co stworzyło masę krytyczną – nawet jeśli jakiś system był tworzony przez innego dostawcę, hasło maskowane było wykorzystywane, bo przecież nowy system nie może być gorszy, mniej bezpieczny, od konkurencji. Prawda? (patrz: Zasada podczepienia)
Tylko, że czuć się bezpiecznym i rzeczywiście być bezpiecznym to dwie różne rzeczy, polecam: Bruce Schneier: The security mirage.
Jeszcze jedno wyjaśnienie – kiedyś hasła maskowane rzeczywiście miały pewną wartość dodaną. Obecnie ich złamanie nie jest dla malware żadnym problemem. Przy znikomej wartości dodanej i sporym negatywnym wpływie na wygodę użytkowania, hasła maskowane należy odesłać tam, gdzie ich miejsce – do lamusa na półkę obok klawiaturek wirtualnych.
“Maskowane są bezpieczniejsze, bo bezpieczniejsze są maskowane”
Trudno dyskutować z takim argumentem:
(...) Jak ktoś hasła nie pamięta to niezależnie czy ma maskowane czy pełne kartkę wyjmie i nie świadczy to o mniejszym bezpieczeństwie maskowanych. Z technicznego punktu widzenia to maskowane są bardziej bezpieczne.
Przede wszystkim głównym problemem (tym najbardziej masowym) jest malware, a nie ktoś, kto rzuci okiem przez ramię na karteczkę zawierającą hasło. Malware karteczki nie odczyta (choć teoretycznie mógłby, te wszystkie kamerki internetowe). Kompletnie nie rozumiem natomiast dlaczego niby hasło maskowane mają być “z technicznego punktu widzenia” bezpieczniejsze. Bo wpisywanych jest tylko część liter? Nie jest to przeszkoda, wystarczy przecież poprosić użytkownika, by wpisał hasło ponownie. Choćby tak:
- wyświetlić komunikat o błędnym haśle i wyświetlić ponownie formatkę logowania (podstępnie pytając o inne znaki),
- zasymulować awarię aplikacji i wylogowanie użytkownika, wyświetlić ponownie formatkę logowania,
- zasymulować konieczność zmiany hasła po logowaniu (przy tej operacji hasło podawane jest w całości),
A może ktoś ma jakiś inny pomysł dlaczego to hasła maskowane mają być “z technicznego punktu widzenia bezpieczniejsze”?
Tu dobrze wpasowuje się inna wypowiedź:
Przeczytałem wzmiankowaną stronę i dalej będę się upierał przy swoim.
Wysiadając z auta chowam panel radia do skrytki, i zamykam samochód. Wiem, że jestem w kraju katolickim i religia zabrania kradzieży. Ale jestem dziwnie przekonany, że złodziej bedzie wolał otwarty samochód z radiem na wierzchu....
I dlatego chciałbym mieć maskowanie.
Pierwsza kwestia (znów dygresja) – to nie religia zabrania kradzieży, tylko normy społeczne, może nawet coś innego, bardziej pierwotnego. Jeśli ktoś ma wątpliwości, to proponuję spróbować zabrać psu jedzenie (w trakcie jedzenia)... W każdym społeczeństwie znajdą się jednak jednostki, które norm społecznych nie uznają, obchodzą/naginają je dla własnej korzyści. Tak, czekam na kolejną książkę Schneiera: Status Report: The Dishonest Minority (i aktualniejsze: A Status Report: “Liars and Outliers”). Nie to, żebym był członkiem jego kultu, ale w wielu przypadkach mam podobne zdanie a jego argumentacja do mnie zwykle przemawia.
Wracając do wypowiedzi – zaprezentowana analogia jest, moim zdaniem, nieodpowiednia. Otwarte drzwi to brak zabezpieczeń. Wówczas jedynym czynnikiem chroniącym przed kradzieżą jest wspomniana norma społeczna. Przypadek z hasłem “zwykłym”, hasłem maskowanym i (dodaję) uwierzytelnieniem dwuskładnikowym należy porównać raczej do trzech różnych zamków w tych samych drzwiach (typie drzwi, a nie trzech różnych zamkach w jednych drzwiach jednocześnie). Wszystkie te (hipotetyczne) zamki można otworzyć, różni się natomiast koszt (czas, narzędzia, umiejętności) osiągnięcia sukcesu.
Czy posiadacz najlepszego zamka jest wyraźnie bezpieczniejszy od pozostałych? To zależy od... drzwi. Najlepszy zamek na niewiele się zda, jeśli drzwi można otworzyć kopniakiem. A najlepsze drzwi nie powstrzymają włamywacza, który ma w zwyczaju wchodzić oknem.
Zależność między bezpieczeństwem i kosztem zabezpieczeń nie jest liniowa. Wygląda ona raczej tak, jak na poniższym schemacie.
Oś X (w poziomie) obrazuje koszt wprowadzonych mechanizmów bezpieczeństwa. Oś Y (w pionie) pokazuje “poziom bezpieczeństwa”. Początkowe stosunkowo niewielkie inwestycje (np. zamknięcie drzwi) zwiększają wyraźnie poziom bezpieczeństwa. W pewnej chwili osiąga się już taki poziom bezpieczeństwa (właściwsze określenie – ograniczyło się ryzyko do takiego stopnia), że dalsze inwestycje przynoszą niewielkie zmiany.
Gdzie na tym schemacie umieścić hasła “zwykłe” i hasła maskowane? Moim zdaniem odległość miedzy tymi punktami na osi Y będzie niewielka. Mniejsza, niż odległość na osi X. W tym wypadku koszt (np. wygoda użytkownika) przewyższa korzyści.
Do tego trzeba pamiętać jeszcze, że:
- uwierzytelnienie nie jest jedynym mechanizmem bezpieczeństwa w systemie bankowości elektronicznej,
- uwierzytelnienie nie jest efektywnym mechanizmem obrony przed malware,
I jeszcze fragment cytowanej wcześniej wypowiedzi:
(...)
Mam swoją metodę tworzenia haseł, i na początku są problemy, ale bez kłopotu można wygenerować takie hasło, na które nikt poza wami nie wpadnie.
Malware nie będzie “wpadał” na sposób generowania hasła. On grzecznie zaczeka, aż użytkownik sam wspaniałe hasło wygenerowane jego tajną metodą wpisze...
”...więcej niż 4-5 prób”
Ten argument jest ciekawy:
(...) Hasła maskowane są lepsze. Nie twierdzę, że są cudowne bo są to wciąż hasła. Napisaliście, że potrzeba 4-5 prób aby odgadnąć wszystkie pola. Z doświadczenia z Aliorem wiem, że jest to znacznie więcej.
Tak się składa, że posiadam konto w tym banku, ustawiłem najdłuższe możliwe hasło – 15 znaków. Zobaczmy to “znacznie więcej”...
No to jak jest z tym doświadczeniem?
UWAGA: To nie są zdarzenia niezależne (dygresja)
W tym przypadku nie jest to argument zwolenników haseł maskowanych, ale myślę, że warto zwrócić uwagę na pewien niebezpieczny błąd w tym rozumowaniu.
Przy potwierdzaniu operacji SMS-em, aby narobic powaznych szkod, trzeba by przejac kontrole nad 2 kanalami: Internet i siec komorkowa(lub sam telefon).
Moim zdaniem maskowanie jest zbedne, szczegolnie, kiedy na komputerze masz wrogie oprogramowanie. (...)
Chodzi mi o pierwsze zdanie. Nie trzeba przejmować dwóch kanałów: internetu i sieci GSM, wystarczy przejąć dwa urządzenia – komputer i telefon. I tu uwaga – zdarzenie malware na komputerze i drugie zdarzenie malware na telefonie nie są zdarzeniami rozłącznymi. Celem atakującego jest nadal stacja użytkownika, bo jest łatwiejsza do zainfekowania. Po udanej infekcji malware może spróbować wykorzystać socjotechnikę do tego, by użytkownik sam zainstalował go na telefonie. Nie dlatego, że jest to jedyna możliwa droga. Po prostu tak jest (jeszcze) najłatwiej, choć niewykluczone, że w przyszłości to się zmieni.
Pewna wartość dodana jednak jest
Spotkałem się z jednym argumentem, w którego przypadku można uznać, że pokazuje pewną wartość dodaną haseł maskowanych. Nie dotyczy on jednak zabezpieczenia, ale detekcji. W przypadku wielu ataków z wykorzystaniem malware atakujący szedł na łatwiznę. Zamiast zastosować jakąś bardziej “cichą” metodę wyłudzenia pełnego hasła (wspominałem wcześniej o kilku możliwościach), prosił o podanie całego hasła. Budziło to zaniepokojenie części użytkowników, którzy informowali bank o tej sytuacji. Tylko jeśli kolejna wersja malware będzie nieco bardziej cierpliwa, również i ta “zaleta” zniknie.
Więcej do poczytania
Jeśli ktoś wcześniej nie czytał mojego bloga, a interesuje się tematem bezpieczeństwa systemów bankowości internetowej, odsyłam do starszych wpisów, które z kolei będą odsyłać do starszych wpisów, które (...):
- Zamiast slajdów z SecDay - zbiorczy post z odsyłaczami do starszych wpisów,
- Ile cyfr (nie)wystarczy II,
- Zrób kilka przelewów i nie daj się okraść,
- Jak i z jakim skutkiem atakowałem kody SMS,
- Jak i z jakim skutkiem atakowałem token C/R,
Oryginał tego wpisu dostępny jest pod adresem Hasła maskowane. Znowu.
Autor: Paweł Goleń