A legtöbben az online bankolás során ismerkedtek meg a kétlépcsős azonosítással: már évekkel ezelőtt is úgy volt, hogy a netbankos jelszó begépelése után az SMS-ben érkező egyedi kódot is be kell gépelni, hogy hozzáférjen az ember a bankszámlájához. A „második jelszót” mára a Facebooktól a vállalati távmunkarendszerekig egyre több szolgáltatás kéri. Nemcsak az a jó hír, hogy terjed, hanem hogy egyre kényelmesebb lesz igénybe venni.
A könnyen megjegyezhető jelszó könnyen kitalálható. A nehezen megjegyezhető jelszót viszont könnyű megszerezni. Az utóbbi mondat csak elsőre tűnik ellentmondásosnak, valójában nem az: a hosszúra nyúló értelmetlen karaktersorozatokat – melyekben kis- és nagybetű, valamint szám és különleges karakter is van – olyan nehéz megjegyezni, hogy a legtöbben füzetbe vagy papírfecnire írják fel, illetve elmentik számítógépükön, rosszabb esetben egy sima szöveges fájlba, jobb esetben megjegyeztetik a böngészővel.
Mindegyik jelszórögzítési módszerben van némi kockázat. Az otthon vagy az irodában papírra felírt jelszóhoz egy másik országból tevékenykedő kiberbűnöző nehezen fér hozzá – egy családtag vagy egy, az irodába bejutó idegen viszont annál könnyebben. A számítógépben vagy online szolgáltatásokban tárolt jelszavaknál épp fordítva áll fenn veszély. Léteznek persze biztonságos jelszóőrző szolgáltatások, de hát léteznek szoftveres sérülékenységek is.
Ránéztek a magyar cégekre: tízből hét túl magabiztos, és benézi, mit is jelent az, hogy „biztonságos"
Az adathalászok célkeresztjébe egyre gyakrabban kerülnek olyan mikro-, kis- és közepes vállalkozások, amelyek nagy többsége továbbra sincs tisztában azzal, hogy mennyire sérülékenyek saját informatikai megoldásaik, és hogy egy-egy incidens mekkora kárt okozhat. A Telekom és a BellResearch legfrissebb kutatása szerint a magyar vállalkozások túlnyomó többsége nem fordít kellő figyelmet a védelemre, a veszélyekkel pedig a legtöbb esetben még maguk a cégvezetők sincsenek tisztában.
Megoldásként született meg a többfaktoros azonosítás. A kétlépcsős hitelesítésként is emlegetett fogalom elnevezése elég jól leírja, miről van szó: a szokásos „titkos kódon” (jelszón) kívül még egy (vagy több) lépés megtétele szükséges ahhoz, hogy a rendszer elhiggye, tényleg azok vagyunk, akiknek mondjuk magunkat.
A többfaktoros azonosítás hatékonyságát mutatja a Google év elején közölt eredménye:
a funkciót bekapcsoló felhasználók körében 50 százalékkal csökkent a fiókfeltörések száma.
Érdemes megemlíteni a Microsoft minden évben közreadott Digital Defense Report kibervédelmi jelentését is, melyben a technológiai szolgáltató arra figyelmeztet, hogy az egyének és a szervezetek legalább a védekezés első vonalát mindenképp erősítsék meg. Ilyen alapvető intézkedésnek számít a többtényezős hitelesítés bevezetése, amelyet a Microsoft ügyfelei közül csak kevesebb mint 20 százalék alkalmaz. A jelentés hangsúlyozta, pusztán azzal, hogy a vállalatok és privát felhasználók
folyamatosan frissítik a rendszereiket és vírusirtóikat a legújabb változatra, valamint elkezdik használni a többtényezős hitelesítést, a ma ismert támadások 99 százaléka visszaverhető.
A legtöbb esetben a plusz védelmi vonalat biztosító kódot SMS-ben vagy e-mailben küldi ki a szolgáltató a fiókunkhoz előzetesen társított (hitelesített) telefonszámra vagy e-mail-címre. A kód időfüggő, jellemzően 3–5 percig érvényes, hogy ha valaki később megtalál egy ilyen üzenetet például a telefonunkban, az már ne menjen vele semmire.
Óriási veszélyben a 10 főnél kisebb magyarországi vállalkozások
Eddig nem látott mértékben támadják a vállalkozásokat zsarolóvírussal. A támadók célkeresztjébe újabban óriási számmal kerülnek a 10 főnél kisebb cégek - figyelmeztet a hazai alapítású Balasys. A közép-európai régió egyik legjelentősebb kiberbiztonsági szoftvergyártója szerint a megoldás a „nulla bizalom" modell bevezetése lehet.
A járványidőszakban elrendelt otthoni munkavégzés idején vált vállalati felhasználók körében ismertebbé a telefonos azonosítás: ez az, amikor távoli hozzáférés esetén a rendszer telefonon felhívja a felhasználót, akinek a jelszavával éppen belépési kísérlet zajlik, majd azt kéri, hogy ha valóban ő próbál belépni, nyomja meg a kért gombot.
Az utóbbi időben szintén terjedőben van, különösen céges környezetben az autentikátor alkalmazások használata, melyek kényelmesebbek, mint az SMS vagy e-mail, melyekre gyakran várni kell egy kicsit. Legnépszerűbb a Google Hitelesítő (iOS, Android) és a Microsoft Authenticator (iOS, Android). Ezekben hozzá lehet adni a kompatibilis szolgáltatásokat, melyekhez néhány másodpercig érvényes, folyamatosan változó kódokat generálnak az appok – azokat kell beírni az alapjelszó után.
A második hitelesítési lépcső azonban nemcsak kód lehet. A biometrikus azonosításra egyre komolyabb szinten képes okostelefonok már vannak annyira elterjedtek, hogy elvárható legyen: a munkavállaló (vagy éppen a magánfelhasználó) képes legyen a mobilban lévő ujjlenyomat-leolvasó vagy arcfelismerő segítségével azonosítani magát. Ilyenre például az említett Microsoft Authenticator is képes. Ahogy a kódgeneráláshoz, természetesen ehhez is szükség van arra, hogy a mobilon lévő app össze legyen kötve az adott szolgáltatással.
Már nem hisz a jelszavakban a Google - igaz, abban sem, hogy ne kellenének jelszavak
A legtöbb ember bele sem gondol és fel sem fogja, milyen veszélyeknek van kitéve, amikor internetezik, ezen a téren is van még dolga a nagy technológiai vállalatoknak - véli Mark Risher, a Google biztonsági megoldásokért felelős termékfejlesztési igazgatója. A szakemberrel a vállalat londoni központjában beszélgettünk.
A kiberbiztonsági iparágban egyre többen gondolják úgy, hogy a külön eszközön történő biometrikus azonosítás annyira erős védelmi vonal, hogy önállóan, alapjelszó nélkül is megállhatja a helyét. Az amerikai Fido Alliance által fejlesztett technológiát immár az Apple, a Google és a Microsoft is támogatja. A Fido-kompatibilis rendszer legegyszerűbb használati módjához ugyanis elég egy modern okostelefon, melyben már az ujjlenyomat-leolvasó és a kamera is van annyira fejlett, hogy magas fokon garantálja a felhasználó biometrikus azonosítását. Arról már a háttér-összeköttetés – a mobilkészülék és a webes szolgáltató között megosztott, titkosított token – gondoskodik, hogy a számítógépen megnyitott weboldal a felhasználó mobilján kérje az ujjlenyomatot, majd az azonosítás elvégzése után ugyanúgy a pc-n nyíljon meg a kért fiók.
Mindez pedig könnyen elvezethet odáig, hogy
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.