Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Wymagajmy HTTPS i 2FA od stron instytucji państwowych (i nie tylko)

03-01-2017, 14:57

Strony instytucji rządowych powinny korzystać z HTTPS, a my powinniśmy korzystać z dwuskładnikowego uwierzytelniania (2FA) jeśli tylko mamy taką możliwość. Na co dzień te dwie kwestie nie wydają się bardzo ważne, ale eksperci nie bez powodu próbują promować sięganie po wyższe standardy bezpieczeństwa.

W ostatnim czasie dwóch różnych ludzi uruchomiło dwie niezależne "prywatne kampanie" na rzecz większego bezpieczeństwa stron, z których na co dzień korzystamy. Tak się złożyło, że obydwie te osoby zgłosiły się do redakcji Dziennika Internautów z prośbą o spopularyzowanie ich inicjatyw. Postanowiliśmy pomóc, bo te sprawy są - naszym zdaniem - bardzo ważne. 

Strony rządowe i HTTPS

Pierwszą z tych osób był Łukasz Olejnik, polski badacz zjawisk związanych z prywatnością online. W Dzienniku Internautów publikowaliśmy już wywiad z Łukaszem Olejnikiem.

Ekspert postanowił zwrócić uwagę na to, że polskie strony instytucji rządowych nie korzystają z HTTPS. a przecież HTTPS oferuje wyższy poziom bezpieczeństwa. Dostarczanie treści za pośrednictwem tego protokołu zabezpiecza poufność oraz integralność połączenia. Certyfikaty używane w HTTPS zaświadczają też o tożsamości podmiotu stojącego za stroną. 

- W praktyce, z punktu widzenia użytkownika wykorzystanie HTTPS chroni przed łatwą możliwością zdarzeń typu podsłuchanie hasła (i inne ataki na użytkownika), podszycie się pod stronę internetową (czy wchodzisz na tę stronę, o której myślisz?). Systemy, gdzie ważne jest zaufanie użytkowników - są udostępniane za pomocą protokołu HTTPS. Takimi systemami są z oczywistych powodów wszystkie strony internetowe instytucji publicznych, a brak tego typu zabezpieczeń powinien niepokoić - pisze Łukasz Olejnik w artykule na stronie Prywatnik.pl

Łukasz Olejnik zauważa też, że przeglądarki nie będą w przyszłości ograniczać się do oznaczania stron z HTTPS na zielono. Zmierza się raczej w kierunku oznaczania stron bez HTTPS jako strony niezabezpieczone. Już teraz można zmienić ustawienia w Chrome, aby korzystać z takich ostrzeżeń. W efekcie odwiedzając strony Ministerstwa Sprawiedliwości lub ZUS-u możemy zobaczyć jako niezabezpieczone ("Not secure").

Strony rządowe

Taki widok raczej nie wzbudza zaufania do stron państwowych.

Ciekawy jest przypadek Ministerstwa Obrony Narodowej. Jego serwer umożliwia łączenie się za pomocą bezpiecznego protokołu HTTPS, ale przeglądarki oznaczają stronę jako niezabezpieczoną gdyż nie zadbano o odpowiednią konfigurację. 

Łukasz Olejnik uważa, że idea oznaczania stron bez HTTPS jako niezabezpieczone jest generalnie dobra.

- Jest to rozwiązanie w pewien sposób drastyczne, ostatecznie doprowadzi do zwiększenia bezpieczeństwa i zaufania w skali internetu. Ale w fazie przejściowej stworzy to wyzwanie i ryzyko dla reputacji, zwłaszcza dla ważnych instytucji rządowych, mediów - stwierdził Łukasz Olejnik. 

Wiadomo, że Ministerstwo Cyfryzacji planuje ujednolicenie i uporządkowanie rządowych stron. Przy tej okazji będzie można uregulować kwestię HTTPS. To nie rozwiąże problemu całkowicie bo wiele instytucji wciąż będzie miało własne strony np. samorządy, Sejm, TK, ZUS itd. Te wszystkie instytucje powinny rozważyć korzystanie z HTTPS. 

 

Zobacz także:

Bezpieczeństwo systemu e-commerce, czyli jak bez ryzyka prowadzić biznes w internecie

Biznes w internecie to świetna alternatywa dla sprzedaży towarów czy usług w sposób tradycyjny. No i oczywiście "prowadzić e-biznes każdy może". Aż do pierwszego potknięcia, często związanego z niedostatecznym zabezpieczeniem systemu, w oparciu o który pracuje sklep czy też platforma e-biznesowa.*

Kto daje dwa składniki?

Przejdźmy do drugiej inicjatywy na rzecz większego bezpieczeństwa stron. Aktywista Karol Breguła (znany też jako Adam Dobrawy, który walczył o publiczne rejestry umów) poinformował nas o utworzeniu strony promującej dwuskładnikowe uwierzytelnianie (2FA) w Polsce. 

Przypomnijmy czym jest 2FA. Chodzi o mechanizmy logowania się lub potwierdzania czynności online, które wykorzystują hasła oraz dodatkowe zabezpieczenia np. kody jednorazowe z karty-zdrapki albo kody przesyłane na e-mail/SMS. Uwierzytelnianie dwuskładnikowe jest o wiele bezpieczniejsze niż samo hasło, ale wciąż nie jest ono zbyt popularne w naszym kraju. Gdy w ubiegłym roku pisałem w Niebezpieczniku o problemach z 2FA w ePUAP, dowiedziałem się że z tej metody logowania korzystało ok. 1,2% użytkowników państwowej platformy. 

Aby wypromować 2FA Karol Breguła stworzył stronę dwa-skladniki.pl (działającą na HTTPS!). Ta strona jest po prostu katalogiem stron i e-usług, które oferują dwuskładnikowe uwierzytelnianie. Jeśli klikniemy w "usługi państwowe" to zobaczymy ePUAP... i niestety tylko ePUAP. 

ePUAP w 2FA

Ze strony dowiemy się także, którzy dostawcy usług e-mail oferują 2FA, jakie systemy płatności to oferują, którzy sprzedawcy itd. Jeśli Twoja usługa oferuje 2FA i nie ma jej na tej stronie, możesz to czym prędzej zgłosić. 

Jak zauważa Karol Breguła, uwierzytelnianie dwuskładnikowe nie będzie popularne jeśli klienci nie będą go wymagać. Strona dwa-skladniki.pl ma zwracać na to uwagę i przekonać nas wszystkich, że opłaca się korzystać z usług dodatkowo zabezpieczonych. Niestety bezpieczeństwo to wartość taka sama jak zdrowie. Zazwyczaj go nie doceniamy dopóki coś bardzo nas nie zaboli. 

--

* - Linki afiliacyjne. Kupując książki poprzez te linki wspierasz funkcjonowanie redakcji Dziennika Internautów.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *