Budapest
2024 november 06., szerda
image

Ez már nem plusz, ez már az alapelvárás: kapcsolja be a többfaktoros azonosítást, ahol csak tudja

A könnyen megjegyezhető jelszó könnyen kitalálható. A nehezen megjegyezhető jelszót viszont könnyű megszerezni. Az utóbbi mondat csak elsőre tűnik ellentmondásosnak, valójában nem az: a hosszúra nyúló értelmetlen karaktersorozatokat – melyekben kis- és nagybetű, valamint szám és különleges karakter is van – olyan nehéz megjegyezni, hogy a legtöbben füzetbe vagy papírfecnire írják fel, illetve elmentik számítógépükön, rosszabb esetben egy sima szöveges fájlba, jobb esetben megjegyeztetik a böngészővel.

Mindegyik jelszórögzítési módszerben van némi kockázat. Az otthon vagy az irodában papírra felírt jelszóhoz egy másik országból tevékenykedő kiberbűnöző nehezen fér hozzá – egy családtag vagy egy, az irodába bejutó idegen viszont annál könnyebben. A számítógépben vagy online szolgáltatásokban tárolt jelszavaknál épp fordítva áll fenn veszély. Léteznek persze biztonságos jelszóőrző szolgáltatások, de hát léteznek szoftveres sérülékenységek is.

Megoldásként született meg a többfaktoros azonosítás. A kétlépcsős hitelesítésként is emlegetett fogalom elnevezése elég jól leírja, miről van szó: a szokásos „titkos kódon” (jelszón) kívül még egy (vagy több) lépés megtétele szükséges ahhoz, hogy a rendszer elhiggye, tényleg azok vagyunk, akiknek mondjuk magunkat.

A többfaktoros azonosítás hatékonyságát mutatja a Google év elején közölt eredménye:

a funkciót bekapcsoló felhasználók körében 50 százalékkal csökkent a fiókfeltörések száma.

Érdemes megemlíteni a Microsoft minden évben közreadott Digital Defense Report kibervédelmi jelentését is, melyben a technológiai szolgáltató arra figyelmeztet, hogy az egyének és a szervezetek legalább a védekezés első vonalát mindenképp erősítsék meg. Ilyen alapvető intézkedésnek számít a többtényezős hitelesítés bevezetése, amelyet a Microsoft ügyfelei közül csak kevesebb mint 20 százalék alkalmaz. A jelentés hangsúlyozta, pusztán azzal, hogy a vállalatok és privát felhasználók

folyamatosan frissítik a rendszereiket és vírusirtóikat a legújabb változatra, valamint elkezdik használni a többtényezős hitelesítést, a ma ismert támadások 99 százaléka visszaverhető.

A legtöbb esetben a plusz védelmi vonalat biztosító kódot SMS-ben vagy e-mailben küldi ki a szolgáltató a fiókunkhoz előzetesen társított (hitelesített) telefonszámra vagy e-mail-címre. A kód időfüggő, jellemzően 3–5 percig érvényes, hogy ha valaki később megtalál egy ilyen üzenetet például a telefonunkban, az már ne menjen vele semmire.

A járványidőszakban elrendelt otthoni munkavégzés idején vált vállalati felhasználók körében ismertebbé a telefonos azonosítás: ez az, amikor távoli hozzáférés esetén a rendszer telefonon felhívja a felhasználót, akinek a jelszavával éppen belépési kísérlet zajlik, majd azt kéri, hogy ha valóban ő próbál belépni, nyomja meg a kért gombot.

Az utóbbi időben szintén terjedőben van, különösen céges környezetben az autentikátor alkalmazások használata, melyek kényelmesebbek, mint az SMS vagy e-mail, melyekre gyakran várni kell egy kicsit. Legnépszerűbb a Google Hitelesítő (iOS, Android) és a Microsoft Authenticator (iOS, Android). Ezekben hozzá lehet adni a kompatibilis szolgáltatásokat, melyekhez néhány másodpercig érvényes, folyamatosan változó kódokat generálnak az appok – azokat kell beírni az alapjelszó után.

A második hitelesítési lépcső azonban nemcsak kód lehet. A biometrikus azonosításra egyre komolyabb szinten képes okostelefonok már vannak annyira elterjedtek, hogy elvárható legyen: a munkavállaló (vagy éppen a magánfelhasználó) képes legyen a mobilban lévő ujjlenyomat-leolvasó vagy arcfelismerő segítségével azonosítani magát. Ilyenre például az említett Microsoft Authenticator is képes. Ahogy a kódgeneráláshoz, természetesen ehhez is szükség van arra, hogy a mobilon lévő app össze legyen kötve az adott szolgáltatással.

A kiberbiztonsági iparágban egyre többen gondolják úgy, hogy a külön eszközön történő biometrikus azonosítás annyira erős védelmi vonal, hogy önállóan, alapjelszó nélkül is megállhatja a helyét. Az amerikai Fido Alliance által fejlesztett technológiát immár az Apple, a Google és a Microsoft is támogatja. A Fido-kompatibilis rendszer legegyszerűbb használati módjához ugyanis elég egy modern okostelefon, melyben már az ujjlenyomat-leolvasó és a kamera is van annyira fejlett, hogy magas fokon garantálja a felhasználó biometrikus azonosítását. Arról már a háttér-összeköttetés – a mobilkészülék és a webes szolgáltató között megosztott, titkosított token – gondoskodik, hogy a számítógépen megnyitott weboldal a felhasználó mobilján kérje az ujjlenyomatot, majd az azonosítás elvégzése után ugyanúgy a pc-n nyíljon meg a kért fiók.

Mindez pedig könnyen elvezethet odáig, hogy

egy-két éven belül nemhogy a többfaktoros azonosítás kényelmetlenségeit, hanem a jelszavainkat is elfelejthetjük.