Miért vezetjük be és miért jó a kétfaktoros hitelesítést?

Az utóbbi egy év rekorder lehet az ellopott személyes vagy titkosított adatokat tekintve. Többször olvashattunk arról, hogy több százmillió jelszó, email-cím került ki a piacra, rendszeres lett a felhívás, hogy a felhasználók változtassák meg gyorsan a jelszavukat, különben visszaélésre adnak lehetőséget.

A Rackforestnél nagy hangsúlyt fektetünk az ügyfelek adatainak biztonságára. A hitelesítés, a jelszavak biztonságos tárolása azonban csak egy bizonyos fokú védelmet képesek nyújtani, és az egyre komolyabb támadások fényében – mint amilyennek a Rackforest is ki volt téve a közelmúltban -, muszáj szintet lépni.

Ha alacsonyan van a léc, akkor nagyon gyorsan sokkal feljebb kell tolnunk azt. Ezért vezetjük be a felhasználók kétfaktoros azonosítását.

Mit is jelent ez? Azt, hogy ezentúl nem egy bizonyítékot kérünk a bejelentkező felhasználótól, hogy azonosítsa magát, hanem kettőt.

Általában három faktor alapján lehet azonosítani magunkat: valami alapján, amit tudunk (például a jelszó, eddig kizárólag ez alapján történt az azonosítás), valami alapján, amit birtoklunk (például bankkártya, amin tárolva vannak azonosító adatok, vagy a mobiltelefonuk, amire azonosító SMS érkezik), illetve amik vagyunk: ez lehet ujjlenyomat, arcazonosítás, hang, írisz, vagy más biometrikus módszer.

Ha csak egy módon azonosítjuk magunkat – ami legtöbb esetben jelszót jelent -, azzal két dolgot kockáztatunk:

– valaki ellopja a jelszavunkat a gépről vagy egy azt tároló szerverről, és visszafejti az azokat védő titkosítást (ha van, rossz esetben az sincs)

– valaki brute force-szal végigpróbálja az evidens lehetőségeket, és megtudja a jelszavunkat (gyakori jelszavak, jelkódok az 111111 vagy más hasonló, egyszerűen megjegyezhető és gyorsan legépelhető megoldások), de a brute force bármilyen jelszót megszerez végül. Kérdés, hogy mennyi ideig tart, mert megfelelő védelem és titkosítás esetén ez évekbe is telhet

– valaki megszerzi egy jelszavunkat, és onnan kezdve máshová is be tud lépni (ha több helyen is ugyanazt a jelszó használjuk)

A ma leginkább elterjedt másik faktor a jelszó mellé egy SMS-ben vagy authenticator programon keresztül érkező, egyszer felhasználható második jelszó. Ezt a szerver a belépési kérelem pillanatában generálja, és általában SMS-ben küldi ki a felhasználó telefonjára. Így hiába szerzi meg valaki az állandó jelszavunkat, sokkal komolyabb támadás kell ahhoz, hogy képes legyen lehallgatni a másik kommunikációs csatornát (különösen, ha titkosított csatornán zajlik itt a kommunikáció), vagy birtokolni az eszközünket.

Egy bankkártyával történő pénzkivét esetében már a kezdetektől kétfaktoros hitelesítést kértek: valamit, amink van – bankkártya -, és valamit, amit tudunk – PIN kód. Ez egy kritikus művelet, aminek a végén készpénzt kapunk a kezünkbe, így a nagyfokú biztonság indokolt volt. Később azonban egyre kevésbé kritikus hozzáférések védelmében is beállították a kétfaktoros azonosítást, manapság pedig személyes adatok, közösségi oldalak belépéseinek védelmében is simán használják.

Ennek megfelelően a dolog kényelmetlensége is csökkent, hiszen egy kamera képes az arcunkkal azonosítani minket, mindenféle további gombnyomás nélkül, biztonságos kulcskarikák alakultak, amik vagy egy mesterjelszó, vagy biometrikus adat alapján írják be az adott oldalra a jelszót, hitelesítő szoftvereket telepíthetünk, amik a generált kulcsok tekintetében elvégzik helyettünk a hitelesítést, de már az SMS-ben érkezett egyszeri jelszavakat is automatikusan kitöltheti a böngészőnk. Akár úgy, hogy a telefonunkra érkezik az üzenet, és a laptopunk felajánlja az automatikus kitöltést, mint például macOS esetében.

Az utóbbi idők biztonsági problémáinak fényében kijelenthetjük, hogy a 2FA, vagyis a kétfaktoros, kétlépcsős hitelesítés alapvető fontosságú, és megkerülhetetlen lesz, minden területen. A jelszó, de még az egyszer használatos második jelszó is idővel leváltásra kerül, persze ehhez szükséges, hogy a modern, biometrikus azonosításra és szoftveres tokenek kezelésére alkalmas és felkészített telefonok, órák még elterjedtebbek legyenek. A következő évtizedben ezek lehetnek a legnépszerűbb módok a különböző faktorok esetében:

“Valami amink van”

Várható, hogy továbbra is az okostelefon vagy az okosóra lesz az a készülék, aminek birtoklása azonosíthat minket. Különösen azért, mert egy bankkártyától eltérően ezeket az eszközöket a támadó nem tudja használni azonnal, további azonosítás nélkül.

“Valami, amit tudunk”

Várhatóan ez a faktor teljesen háttérbe szorul, legfeljebb biztonsági kérdések formájában maradhat meg, jelszó-visszaállítási folyamatoknál. Az ember nem alkalmas arra, hogy 1. jelszót találjon ki, 2. jelszót megjegyezzen anélkül, hogy leírná, 3. magától, tömegesen elkezdjen használni biztonságos jelszókezelő szoftvereket. Amíg azonban használjuk, fontos, hogy ne a jelszó legyen a leggyengébb láncszem, így továbbra is ki kell emelni, hogy ne írjuk le, és ne válasszunk könnyen visszafejthető kifejezéseket. Használjuk a generált jelszavakat, amiket bízzunk rá 1Passwordhöz hasonló szoftverekre.

“Valami, amik vagyunk”

A zsebünkben található ujjlenyomat-olvasók, arcfelismerők korában egyértelmű, hogy ez a legkényelmesebb, a készüléken biztonságosan tárolt adatokkal összevetendő azonosítás még jobban elterjed, de az okosórák is nagyon jók e tekintetben. Amikor ugyanis a csuklónkra szíjazzuk őket, az ujjlenyomatunkkal azonosítjuk magunkat, és amíg rajtunk van a készülék, a közelünkben lévő eszközök biztosak lehetnek abban, hogy a megfelelő személy áll mellettük.

A Rackforest tehát bevezeti mostantól a kétfaktoros hitelesítést, egyelőre jelszó + egyszer használatos jelszó (TOTP, Time-based One-time Password) párosra, ez mindenki számára elérhető most is, pontosabban elvárható, hogy elérhető legyen. Ha az Ügyfélportálon bekapcsoljuk a kétfaktoros hitelesítést, és letöltünk, valamint párosítunk egy TOTP kódokat kezelő alkalmazást (bármilyen eszközön, egy QR kód leolvasásával már megvan, ilyen például a Google Authenticator), akkor minden belépésnél az adott program mutatja az egyszer használatos jelszót is. Figyelem: nincs push értesítés, a Rackforesthez belépésnél a mi dolgunk, hogy elindítsuk a plusz programot minden egyes alkalommal.

Ha elérkezettnek látjuk az időt, ezen a területen is lépünk majd, akár a biztonság további növelése, akár a felhasználói kényelem érdekében.

SSD diskImunify360