Hasło żyje tylko raz

Hasła jednorazowe zostały wymyślone już dawno, jednak ich popularyzacja miała miejsce dopiero po upowszechnieniu się bankowości elektronicznej. Mając przed sobą ciągłą wizję utraty pieniędzy klientów w wyniku kradzieży danych, banki były zmuszone do wprowadzenia czegoś silniejszego niż tylko login i hasło. Te ostatnie umożliwiają zwykle jedynie "przeglądanie", zaś wykonanie transakcji wymaga hasła jednorazowego. Część banków oferuje klientom hasła jednorazowe drukowane na kartce (np. mBank), na zdrapce (np. Inteligo), część poszła jednak dalej, oferując generatory haseł jednorazowych i wyświetlające je na wbudowanym ekranie.

Rozwiązanie z tokenem było do tej pory stosowane wyłącznie w systemach o podwyższonym poziomie bezpieczeństwa. Wszystko wskazuje jednak na to, że będzie się on popularyzować. Część komórek zawiera ponadto program generujący hasła w sposób identyczny jak token (moduły RSA i SafeWords są obecne w niektórych modelach telefonów Sony Ericsson).

Na konferencji padały stwierdzenia, że tokeny będą nie tylko coraz bardziej popularne, ale także coraz częściej wykorzystywane. Przykładowo, wprowadzenie hasła jednorazowego będzie potrzebne co określony czas lub przy każdej "poważniejszej" operacji. Amerykański gigant internetowy AOL ogłosił wprowadzenie programu Premium Services, w ramach którego klienci otrzymują m.in. token RSA. Służy on do logowania się do swojego konta w AOL i zabezpiecza klientów biznesowych przed wyłudzeniem, podsłuchaniem lub zgadnięciem hasła.

Niebezpieczne metki

Na panelowej dyskusji poświęconej RFID Burt Kaliski, szef zespołu badawczego RSA, wyciągnął nad głową tekturową tabliczkę z napisem "Burt Kaliski". "To jest podstawowa forma RFID, czyli etykietka z danymi o produkcie czytana za pomocą fal radiowych. W tym przypadku czytnikiem są wasze oczy i wykorzystujecie fale elektromagnetyczne o nieco innej częstotliwości, w przedziale światła widzialnego. Nie ma się czego bać" - żartował. "Tylko że ty możesz schować tę tabliczkę, kiedy chcesz, a konsument niekoniecznie może zrobić to samo z RFID" - skontrował go jednak Rainer Fahs, zajmujący się ochroną danych w NATO.

Tak rozpoczęła się dyskusja o jednej z najbardziej kontrowersyjnych technologii tego roku - etykietkach RFID, czyli niewielkich układach pamięciowych, z których informacje odczytywane są zdalnie za pomocą fal radiowych. Fahs podał przykład etykietek RFID jako metek dla laptopów, zawierających informacje o aktualnym właścicielu sprzętu i jego konfiguracji, ułatwiając tym samym kontrolę nad przemieszczaniem się cennych urządzeń oraz ich serwisowanie. "Mamy takich komputerów ok. 60. Do zapanowania nad tym potrzebowałbym minimum dwóch administratorów, co kosztowałoby ok.120 tys. euro rocznie. To jest mniej więcej suma, jaką można zaoszczędzić dzięki zastosowaniu metek RFID" - wyjaśnia Fahs.

Producenci i handlowcy przyjęli to z entuzjazmem - toż to znacznie wygodniejsze niż kody kreskowe. Jednak hurraoptymizm związany z powszechnym wprowadzeniem RFID szybko gaszą obawy związane z ochroną danych osobowych, które są jak najbardziej realne. Masowe stosowanie etykietek radiowych w produktach oraz wszechobecne skanery podsuwają wizję horroru, w którym każdy skanuje wszystko. I raczej wątpliwe jest żeby rynek miał w tej kwestii jakieś opory moralne - zjawisko spamu świadczy o tym, że zarobek usprawiedliwia wszystko.

"Niezbyt dobrze czuję się ze świadomością, że przy wejściu do jakiegoś budynku zostanie zeskanowana marka wszystkiego co mam ze sobą, włącznie z bielizną i skarpetkami" - stwierdził ktoś z publiczności. "To jeszcze pół biedy, ale jeśli ktoś zeskanuje markę wiecznego pióra, laptopa, telefonu komórkowego i paru innych rzeczy, będzie mógł zdecydować, czy lepiej obrabować ciebie czy tego następnego, który ma Rolexa" - dodał inny uczestnik.

Snucie tych czarnych wizji przerwał Rainer Fahs, przypominając że etykietki RFID bywają różne i przeważająca większość działa z założenia wyłącznie na bardzo niewielkim dystansie - kilku do kilkudziesięciu centymetrów. Dobrze skonstruowane prawo wymuszające stosowanie odpowiednich znaczników pozwoli zatem na ograniczenie nielegalnego skanowania. Ograniczenie techniczne wymusza zatem takie skanowanie, w którym klient ma jego świadomość i bierze w nim aktywny udział, na przykład przybliżając towar do czytnika.

"Drugą barierą przed nadużywaniem RFID jest istniejące prawo o ochronie danych osobowych, które w Europie jest znacznie bardziej restrykcyjne niż na przykład w USA" - wyjaśnił Fahs. "Każda instalacja zbierająca dane osobowe klientów podlega temu prawu, niezależnie od tego czy jest zbierane za pomocą fal radiowych czy w inny sposób". Przyznał jednak, że problem istnieje, bo dużo zależy od poprawnie skonstruowanego prawa, a z tym w różnych krajach bywa różnie.

Konkluzją dyskusji o ochronie prywatności było to, że kluczowe dla przyszłości RFID jest zapewnienie klientom możliwości wyboru, czy chcą oddać część swojej prywatności w zamian za konkretne korzyści materialne (podejście typu opt-in). W ten sam sposób działają przecież programy lojalnościowe w supermarketach, z których można jednak zawsze zrezygnować (opt-out).

W panelu poruszono także wiele problemów technicznych związanych z bezpieczeństwem RFID, a zwłaszcza o tym, jak ograniczyć dostęp do informacji przechowywanych w znacznikach. Produkty konsumpcyjne nie wydają się tutaj zagrożone, ale paszporty i inne dokumenty - już nie koniecznie. Inna oczywista kwestia to możliwość podsłuchu komunikacji metek z czytnikiem i ewentualnie możliwość wykonania ataku typu man in the middle, np. zmiany informacji w locie lub nadpisania informacji zapisanej w metce.

Pomysły mówiące o tym, że prywatność konsumentów ochronią specjalne flagi "proszące o nieoczytanie" metki można włożyć między bajki. Jedynymi skutecznymi zabezpieczeniami przed nadużyciem RFID będą zabezpieczenia technicznie niemożliwe do obejścia - szyfrowanie danych lub ograniczenia fizyczne (niewielki zasięg fal radiowych wymuszających świadomą interakcję klienta). I tu jednak trzeba będzie uważać - skojarzenie z włamaniami do telefonów przez Bluetooth nasuwają się same. A więc, wiele jest jeszcze wiele do zrobienia i nadchodzący rok powinien rozstrzygnąć przynajmniej część dylematów. W którym kierunku pójdą zmiany, zależy w dużej mierze od aktywności organizacji konsumenckich.