mObywatel z logowaniem biometrycznym! To też udało się… zrobić źle

Tak! W końcu doczekaliśmy się logowania biometrycznego w mObywatel. Jednak, jeżeli zastanawialiście się, co chciałem ukryć pod trzema kropkami i przychodziły Wam do głowy same niecenzuralne słowa, to macie całkowitą rację. Naprawdę przechodzi wszelkie pojęcie, jakim trzeba być ignorantem, aby umieć aż tak źle wdrożyć logowanie za pomocą Touch ID lub Face ID. Niestety nie mam powodów do uśmiechu, wbrew zachętom w opisie aktualizacji.

„Logowanie biometryczne […] jest mniej bezpieczne od logowania hasłem”

To kuriozum przeczytałem podczas uruchamiania funkcji w aplikacji mObywatel. Miałem nadzieję, że to po prostu tekst skopiowany z wersji dla Androida, bo tam rzeczywiście może mieć uzasadnienie. Myliłem się.

Jeżeli logowaniu biometrycznemu na iOS zaufały banki, instytucje finansowe, sklepy internetowe, systemy płatności, wydawcy kart płatniczych, Ministerstwo Cyfryzacji… tak to nie pomyłka! Ministerstwo Cyfryzacji, czyli wydawca aplikacji mObywatel, to chyba nie jest z tym logowaniem tak źle?

Osobom odpowiedzialnym za mObywatela, przypomnę, że jeszcze nie tak dawno temu sami radzili, jak objeść brak możliwości logowania za pomocą biometrii. Opisywałem to pod koniec listopada zeszłego roku: mPojazd w mObywatel dla iOS oraz biometria.

Jakoś wtedy Ministerstwo Cyfryzacji nie miało wątpliwości co do bezpieczeństwa hasła powierzanego systemowemu pękowi kluczy, zabezpieczonemu właśnie biometrią i Bezpieczną enklawą w procesorach Apple.

Może jednak chodzi o bezpieczeństwo implementacji tej funkcji wdrożone przez programistów zatrudnionych w ministerstwie?

Pin od 4 do 8 cyfr

Po tej pierwszej irytacji przystąpiłem do uruchamiania logowania za pomocą Touch ID. Początkowo szło gładko, jednak zaskoczony zostałem prośbą o zdefiniowanie pinu. OK zdefiniowałem 6-cyfrowy. Jednak za chwilę zirytowałem się jeszcze bardziej. Okazało się, że pomimo włączonego logowania za pomocą biometrii muszę podawać pin! Kuriozum!

Zacząłem się zastanawiać, co mObywatel koduje za pomocą systemowych funkcji bezpieczeństwa. Bardzo prawdopodobne wyjaśnienie znalazłem po próbie zmiany pinu na 4-cyfrowy. Ta zmiana, choć wg aplikacji „przebiegła pomyślnie” uniemożliwiła logowanie za pomocą Touch ID. Jaki wniosek z tego wynika? Autorzy mObywatel postanowili zapamiętywać w bezpiecznej enklawie hash pinu lub – co gorsza – i niestety jest to bardziej prawdopodobne sam pin. I w tym momencie doznałem olśnienia!

To dlatego Ministerstwo Cyfryzacji uważa logowanie z pinem i biometrią jako mniej bezpieczne, bo po prostu takim je uczyniło! Jednak dlaczego postanowili tak kombinować i jak sami twierdzą obniżać bezpieczeństwo aplikacji, zamiast wdrożyć metody stosowane przez poważne instytucje na całym świecie, pojąć nie potrafię. Może mi to ktoś wytłumaczyć?

Mam wielką prośbę do osób zarządzających aplikacjami w Ministerstwie Cyfryzacji. Wynajmijcie normalnych programistów dla iOS, a nie dynamitem oderwanych od Androida. Przestańcie „równać w dół”. Prawdziwy rozwój osiąga się tylko, wykorzystując wszystko, to co najlepsze tam, gdzie to możliwe.