Több mint hét éve vezette be a kétfaktoros authentikáció lehetőségét a világ egyik legnagyobb email-szolgáltatója, a Google. Az év elején a keresőóriás egyik mérnöke biztonsági konferencián tartott előadásában elárulta, a felhasználók alig 10 százaléka kapcsolta be a kétlépcsős azonosítást, vagyis a fennmaradó 90 százalékát a fiókoknak még mindig csak a sima jelszó+felhasználónév kombináció védi. Így nem meglepő, ha nagy az értéke azoknak az adatbázisoknak, amelyek email-címek és felhasználónevek millióit tartalmazzák, szakértők szerint ezeknek az adatoknak 30-40 százaléka élő fiókot jelent, ahol nem változtattak jelszót.
Munkám során sok olyan rendszert látok, ahol Active Directory-alapú bejelentkezést használnak a vállalati rendszerekhez. Ez megkönnyíti az adminisztrációt, ahogy a felhasználó életét is, akinek kevesebb jelszót kell megjegyeznie, ám a biztonsági kockázat is nagyobb. Ha a kevésbé védett hálózaton a login-adatokat menet közben elfogják a támadók, akkor már gyerekjáték távolról bejutni, majd ugyanazzal a mozdulattal egy belső gépre is bejelentkezni. Gondoljuk csak át, windowsos rendszerek esetén hány helyen vannak adminszintű jogai a felhasználóknak! Ennyire megkönnyítjük a támadó dolgát?
Az IT-szakma nem ma találta fel a kétfaktoros azonosítást, mégis valahogy félünk használni. Pedig sok fejfájástól megszabadítana. Ha a felhasználónév és jelszó kombináció illetéktelenek kezébe is kerül, akkor sem tudnak semmit kezdeni vele. Vagy ha elhagyjuk a laptopunkat, akkor sem tudnak hozzáférni az adatainkhoz. A megoldás nemcsak VPN esetén működik, ki lehet terjeszteni windowsos környezetre, alkalmazás-belépéshez. Végiggondolva méltó kiváltója lehet a drága banki sms-eknek, de a párhuzamos használatot sem tartom rossz ötletnek.
A szépség az egészben, hogy az Active Directoryval is könnyedén össze lehet kötni a kétfaktoros authentikációs rendszereket, a csoportokat ki lehet úgy alakítani, hogy a felhasználói VPN-csoportok logikája továbbra is megmaradjon, a tokenkiosztáson, kezdeti beállításokon és csoportlétrehozáson kívül mindent az Active Directory környezetből kezelhetünk. És nem is kell a hardveres tokenhez ragaszkodni, a szoftveres token mobiltelefonunknak köszönhetően mindig velünk van. Szóval, mire várunk? Használjuk bátran a kétfaktoros azonosítást!
Szekeres Viktor ügyvezető igazgató, Gloster Infokommunikációs Kft.
