Tekintetbe véve, hogy mindennapi életünk egyre inkább az online térbe tolódik az újonnan bevezetett kijárási korlátozásokkal, egyre fontosabbá válik, hogy virtuális fiókjaink védelmére is komoly figyelmet fordítsunk. Mi is megannyi cikkben foglalkoztunk azzal, hogy miért fontos az erős jelszavak használata, és minden szakértő arra figyelmeztet, hogy ahol csak lehet, állítsunk be kétfaktoros azonosítást. A Microsoft egyik biztonsági vezetője azonban most részletezi, hogy mely megoldásokat válasszuk, ha tényleg biztosra szeretnénk menni.
Gyorstalpaló: mi az a kétfaktoros azonosítás?
Vegyük alapul a teljesen egyértelmű módszert, amivel beléphetünk valamilyen szolgáltatásba vagy fiókba: beírunk egy felhasználnevet és egy jelszót, ha ezek helyesek, már bent is vagyunk. Ez azonban nem minden esetben jelent teljes biztonságot. Mi van akkor például, ha kiszivárognak az adataink egy adott szolgáltatásból a tudtunk nélkül, esetleg elveszítünk egy mobilt vagy laptopot, amelyen megtalálhatóak a belépési információk, és ezek után illetéktelenek is felhasználhatják ezeket? Pont az ilyen esetekre találták ki a kétfaktoros azonosítást, aminek az a lényege, hogy bárki is próbál belépni a mi helyesen beírt adatainkkal, egy extra biztonsági lépés következik. Ez lehet egy telefonunkra SMS-ben érkező kód, esetleg egy e-mail, ahol egy adott linket kell lekattintanunk, vagy újabban egy autentikátor alkalmazásban felugró, azonosításra kérő üzenet. A szolgáltatás vagy fiók csak akkor engedi be a felhasználót, ha ezt a kört is végigcsinálja, tehát a fenti példánál maradva hiába próbál valaki egy sötét weben szerzett user-jelszó párossal belépni valahová, ha a kétfaktoros azonosítás az eredeti felhasználónál "csörög", aki természetesen azonnal letilthatja a belépési kísérletet.
A két faktor sem minden esetben megbízható
Alex Weinert évek óta tölti be az igazgatói szerepet a Microsoft Identity Security részlegénél, emellett aktívan részt vesz abban a programban, mellyel a cég szeretné rávenni a felhasználókat, hogy szokjanak rá a kétlépcsős vagy kétfaktoros azonosításra. Weinert szerint azon felhasználók, akik a tavalyi év során beállítottak kétfaktoros azonosítást, az automatikus támadások 99 százalékát elhárították. Most azonban arra figyelmeztet, hogy egyáltalán nem mindegy, milyen módszert választunk a védelemre. A kétlépcsős azonosítás egyik legelterjedtebb formája ugyanis az, amikor az adott rendszer SMS-ben küld számunkra egy kódot, esetleg egy hanghívásban azonosít minket.
Ezekkel a módszerekkel az a gond, hogy ugyan a kiküldött kód biztonságos, de a telefonhálózatok egy elszánt behatoló számára nem jelentenek túl nagy kihívást. A szolgáltatókon keresztül küldött üzeneteket képesek elfogni és megfejteni különböző szoftveres módszerekkel, így pedig a kétlépcsős azonosítás sem okozhat gondot az illetéktelen elemeknek. Weinert arra is figyelmeztet, hogy a technológiák fejlődésével csak egyre kiszolgáltatottabbá válhatnak azok, akik ilyen biztonsági módszereket használnak.
Ezek kiváltására léteznek kifejezetten erre a célra kifejlesztett azonosító alkalmazások, melyek használatával sokkal biztonságosabbá tehetjük felhasználói fiókjainkat. Amelyik oldal engedi, ott hardveres biztonsági kulcsgenerálókat használhatunk; ezek közül a legbiztonságosabbakat, Weinert saját blogján szedte össze. Érdemes tehát végiggondolni, hogy szimpla üzenetekkel megoldott módszert választunk, vagy egy kicsit szofisztikáltabb megoldást, például valamilyen autentikátor appot alkalmazunk. Egy korábbi cikkünkben mutatunk is öt példát a kétfaktoros azonosítás biztonságos módszereire.
Hasonlóan erősnek számítanak a biometrikus megoldások, például az írisz-szkennelésen, ujjlenyomat-olvasáson alapuló módszerek, ezeket ugyanis azok, akik illetéktelenül jutottak hozzá belépési adatainkhoz, szintén nem tudják kijátszani. Egyes szolgáltatók, például pénzintézetek már ajánlják, vagy egyes esetekben kifejezetten megkövetelik ilyen appok használatát, mert csak ezzel látják teljesen biztosítottnak, hogy valóban a jogosult ügyfél lép be a netbank-fiókokba.