Érdemben elérni az embereket, az sem egyszerű dolog, tanácsokat adni nekik, az még nehezebb. A Google nem is lát egyetlen olyan utat, ahol ezt hatásosan megtehetné, ezért próbálkozik „egész pályás letámadással”: a médiát bevonva cikkekben; a magyar nyelven is elérhető, hasznos tanácsokat és leírásokat is tartalmazó Biztonsági központjában; vagy például az egyes szolgáltatásaiban, értesítésekkel. A biztonsági megoldások fejlesztéséért felelős Mark Risher szerint bármely csatornán hamarabb célba ér egy javaslat, ha azt nem általános bölcsességként tálalják, hanem a lehető legszemélyesebb tanácsként. A szakember úgy véli, ezért is jó, hogy a Google rálát egyes felhasználók szokásaira: hogy kinek milyen eszköze van, vagy éppen mennyit utazik, abból sok következtetést tudnak levonni a vállalat rendszerei, ennek köszönhetően pedig olyan javaslatokat elétárni, melyek az adott felhasználó számára valóban relevánsnak érződnek.

A gép nem mindenható

Mark Risher

Google

A szakember ugyanakkor elismeri, nem háríthatnak át mindent az emberekre, akik teljes joggal várják el, hogy az általuk használt szolgáltatások akkor is biztonságosak legyenek, ha ők nem tesznek ezért semmit. A személyes javaslatokhoz és a „gyanús” viselkedés feltárásához lehetnek jók a gépi tanulásra alapuló megoldások, melyek közül többet már ma is használ a háttérben a Google.

Ilyen rendszer dolgozik például a spameket közismerten hatékonyan szűrő Gmailnél is. A gép azonban néha meglehetősen furcsa mintázatokat talál, ezért egyelőre nem engedik el a kezét a vállalat hús-vér szakértői. „Például ha a gép kihozza, hogy ha levélben több mint 3 webcím található, a szövegében pedig van egy ötnél több szótagból álló kifejezés, akkor az jó eséllyel spam, ez bár statisztikailag lehet igaz, de meglehetősen furcsa mintázat” – ismeri el a gép gyengeségeit Risher, aki szerint éppen ezért együtt dolgozik gép és ember. Ha a gép figyelmeztet egy trendre, akkor a megállapításait emberek finomítják, és a végén „kettejük” együtt kialakított véleménye kerül be a Google leveleket osztályozó rendszerébe. Ez persze fordítva is igaz: ha egy biztonsági szakemberben felmerül, hogy bizonyos dolog szerinte rosszat jelent, a hatalmas adatbázissal dolgozó géppel tudja felvetését validáltatni.

A legnagyobb veszély manapság

Mark Risher szerint az adathalászat kapcsán a legtöbbek fejében még mindig az a kép él, hogy kapnak egy rossz nyelvezettel megfogalmazott, nagy általánosságokat tartalmazó e-mailt – és nem is értik, mégis ki dől be manapság ilyesminek. Ám az ilyen, kezdetleges próbálkozások mára valójában nem jelentenek problémát – állítja Risher –, mert például a Google rendszerei ezeket már „elképesztő hatékonysággal” képesek kiszűrni. „Az igazán ijesztő trend az, hogy a támadók egy-egy konkrétan kiszemelt áldozatra lőnek” mondja a szakember. Ehhez ma már nem szükséges nagy erőforrásokat bevonni, elég csak körülnézni a felhasználó közösségi profiljain, ahonnan kiderül, hogy hol merre járt, fotókat is lehet gyűjteni róla és az így begyűjtött adatokkal már nagyon pontosan célozható a támadás. „Ha kiküldök egy régi iskola szerinti spamet azzal, hogy «Tisztelt Hölgyem/Uram! Ilyen-olyan okból kérem, hogy küldje el nekem a banki adatait!», millióból egynél is kisebb arányban fognak az emberek válaszolni, és attól a pár felhasználótól is csak talán sikerül végül kipréselni némi pénzt. Ha kifejezetten egy emberre szabom a csalási kísérletet, az ugyan nagyobb energiabefektetést igényel, viszont jóval nagyobb jutalommal is kecsegtet" – magyarázza Risher.

Quadron

Nem jó a jelszó, de nem is elég

A biztonsági szakember a HVG kérdésére válaszolván úgy fogalmazott, van azzal némi probléma, hogy a begépelt jelszó még mindig a legnépszerűbb azonosítási módnak számít. „Megvan a jelszavaknak is az ereje és a haszna. Például amikor vesz az ember egy új telefont, és először bekapcsolja azt, az eszköz természetesen nem ismeri az arcát és az ujjlenyomatát, így természetesen szükség van első körben egy hagyományos, jelszavas azonosításra.”

[Mutatunk egy pofonegyszerű módszert: nagyon erős jelszót csinálhat, akár több oldalhoz is – és sosem fogja elfelejteni]

Risher egyszerűen képtelen elhinni, hogy az emberek még mindig használják az „12345”, a „szeretlek” vagy a „jelszó” kifejezéseket jelszóként, a szakember szerint a vonatkozó adatok régi adatbázisok alapján bukkanhatnak fel évről évre. (Hozzátesszük, még manapság is esnek ki olyan csontvázak a szekrényből, melyek bizonyítják, hogy még az amerikai hadseregnél is léteznek ilyen esetek.) A Google szakembere ugyanakkor az erős jelszó erőltetésében is lát veszélyt, mert a téves biztonságérzetet ad. „Egy szint után már teljesen mindegy, mennyire bonyolódik a jelszó. Ráadásul, ha a már említett, egyre gyakrabban felbukkanó, személyre szabott adatlopási felületen gépeled be, akkor teljesen mindegy, hogy hány kisbetű és nagybetű van benne” – mondja.

Hőkamerával elleset jelszavak. Önmagában nem elég

University of California

A vállalat egyébként a többrétegű azonosítási szisztémában hisz. Amikor a jelszó hasznos, jellemzően új készülék első beállításakor, akkor meg kell tartani annak alkalmazását, ám a később, az eszközök mindennapi használata során egyszerűen már nem praktikus az ilyesmi.

Egy második réteget jelent a többfaktoros azonosítás, ami történhet sms-ben vagy egyszerűen csak úgy is, hogy a számítógépes belépéssel próbálkozó felhasználót arra kéri a Google, hogy nyomjon rá valamire a fiókhoz társított telefonján. (És ahogy Risher megígérte, a Google sosem fogja más célokra használni a biztonsági céllal megadott felhasználói adatokat, ahogy például a Facebook.) De ide tartozik a Google által saját dolgozói körében már kipróbált fizikai kulcs is. A vállalat saját tapasztalatai szerint ez lényegében 100 százalékos biztonságot nyújt: mióta alkalmazzák, egyetlen vonatkozó visszaélés sem történt. A Google Titan Key néhány piacon már kapható, Magyarországra jelenleg csak külföldről lehet beszerezni.

Google

Szintén fontos réteggel gazdagítják az azonosítási lehetőségeket a biometrikus módszerek is, és Risher szerint egy átlagfelhasználó számára ma már az arc- és ujjlenyomat-azonosítás is egy biztonságos és kényelmes megoldást jelent.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.