Hirdetés
. Hirdetés

Még nem jött el a jelszavak Mohácsa

|

Már évekkel ezelőtt elhangzottak olyan jóslatok, hogy a hamarosan feleslegessé válnak a digitális eszközök és szolgáltatások használatához a jelszavak, s ezeket biztonságosabb és egyszerűbben kezelhető megoldásokkal helyettesítik. A kétséget kizáró és mégis könnyen működő azonosítás megteremtése azonban még mindig nehéznek tűnik. A jelszavak alighanem maradnak még egy darabig.

Hirdetés

„Ha valaki megkérdezi, mit tartok a legnagyobb kellemetlenségnek az életemben, habozás nélkül azt mondom, hogy annak a 40 különböző jelszónak a felidézését, amelyeket létre kellett hoznom, és folyamatosan változtatgatni vagyok kénytelen” – nyilatkozta a The New York Times tudósítójának az iPad-projektet irányító Nasir Memon, a brooklyni New York University Polytechnic Institute számítástechnika-professzora – írja az MTI.

Sokan egyetértenének vele. A jelszó kényelmetlen digitális teherré vált: fontos kulcs ugyan sok eszközhöz és szolgáltatáshoz, de egyre növekvő mértékben az elkeseredés és a kétes értékű biztonság forrása is. Az amerikai védelmi minisztériummal szerződött kutatók olyan módokat keresnek, amelyek révén jelszóként használhatók valakinek a gépelési szokásai, ezáltal folytonosan igazolni lehet az azonosságot. Szerintük ez a megoldás különösen akkor lehet értékes, amikor egy katona laptopja harci helyzetben ellenséges kezekbe kerül.

Egy hétköznapibb példával a Google szolgált. Nemrégiben elkezdte arra ösztönözni a felhasználókat, hogy próbáljanak meg áttérni egy két lépésből álló bejelentkezésre: a jelszó mellett egy, a telefonjaikra eljuttatott kód begépelése lenne hivatott a nagyobb adatbiztonság elérésére. A Google legújabb Android szoftvere a tulajdonos arcát felismerve hozzáférést enged a telefonhoz, de a megoldás biztonságossága erősen megkérdőjelezhető, hiszen be lehet csapni azzal, ha valaki a tulajdonos fényképét mutatja meg a készüléknek.

Ugyan Bill Gates már 2004-ben temette volna a jelszavakat, de ma még mindig korai lenne kimondani, hogy a klasszikus jelszavak napja leáldozott. A Microsoft szakértője, Cormac Herley kifejezetten károsnak tartja a jelszó haláláról szóló mind szélesebb körű disputát, mert éppen azokat a kutatásokat nehezíti meg, amelyek célja a jelenleg kétmilliárd ember által használt jelszavak alternatívájának kidolgozása. Herley inkább azt javasolja a fejlesztőknek, hogy a jelszóhasználathoz igyekezzenek nagyobb támogatást nyújtani, például úgy, hogy hatékonyabban megvédik a vezeték nélküli hálózati kapcsolatokat a hallgatódzóktól. Szerinte a jelszavak bizonyították, hogy keményen ellenállnak: azok, akik megpróbálták kiváltani a használatukat, nagyot tévedtek.
   
Egyedülálló gesztusokkal
   
A brooklyni professzornak és csapata által kifejlesztett érintőképernyős azonosítási megoldása viszont működőképes, mert arra épít, hogy mindenki másképpen gesztikulál. Különbözőek az ujjak, különböző sebességű a mozgásuk, különböző a hozzájuk kapcsolt érzékelés. Az ilyen jellemzőkre építő beléptetés egyszerű, és attól az idegenkedéstől sem kell tartani, amely a különböző biometrikus azonosítási rendszerek – így az íriszfelismerés – bevezetésekor keletkezett hátborzongató képzetekből fakadt.

A kutatások során a népszerű gesztusok közül választották ki a leginkább intuitívakat. Az egyik ilyen egy kombinációs zár elfordítása volt kilencven fokkal, egy másik esetben pedig a kísérleti alanynak meg kellett jelölnie a nevét a képernyőn. A gesztusok elvileg arra használhatók, hogy általuk lehessen hozzáférni az eszközhöz, illetve elindítani azt az alkalmazást, amelyik a biztonságos hozzáféréshez szükséges sokféle jelszót őrzi.

Jóllehet a jelszavak rugalmasan alakíthatók, azért számítanak gyenge megoldásnak, mert a felhasználóknak korlátozott a memóriájuk, és hajlamosak kifecsegni titkaikat. A legtöbb embernek legalább egy tucat jelszót kell használnia, és vagy olyan bonyolultakat kell választaniuk, amelyeket képtelenség fejben tartani. Ezért leírják, vagy könnyű megfejteni azokat. A jelszavak megszerzésére szakosodott bűnözők repertoárja pedig igen széles.

Az olyan vállalatok, mint a Facebook és a Twitter, csak tetézték a jelszavakkal kapcsolatos frusztrációt. A felhasználónevek és jelszavak kombinációjának használatával egy több millió internetes oldalra vezető ajtót tárnak szélesre a felhasználók előtt, ez a kényelem pedig nyilvánvalóan számos kockázat forrása. Ha ugyanis egy tolvaj megszerzi egy regisztráció kódjait, máris rengeteg kapcsolódó felhasználó adatai is megnyílnak előtte.

Rachna Dhamija, egy kaliforniai számítógépes szakember azért alapított vállalkozást, hogy felvegye a harcot a jelszavak feltörésével szemben. A megoldást a jelszavak feldarabolásában vélte megtalálni. A felhasználónak először be kell jelentkeznie Dhamija UsableLogin nevű szolgáltatására saját részleges jelszavával. A szolgáltatás ellenőrzi, hogy a felhasználó engedélyezett eszközt vesz-e igénybe a kapcsolat felépítéséhez, majd a két jelszóelemhez hozzáilleszti a felhőből vett harmadik darabot; a három részből így egy egyedülálló jelszó jön létre, amellyel a felhasználó már bármilyen internetoldalra – így a Facebookra is – bejelentkezhet. Más szavakkal: a jelszónak csak az egyik darabja van a felhasználónál, a másikat az általa használt eszköz raktározza, a harmadik darabot online rendelik hozzá, vagyis a felhasználó jelszava teljes formájában sehol sem található meg, így nem is tulajdonítható el. De mi van akkor, ha egy felhasználó számára a munkafolyamat kezdetén engedélyezték a hozzáférést, de egy órával később már más ül ugyanahhoz a számítógépéhez?

A DARPA, az amerikai védelmi minisztérium technológiai kutatásokkal foglalkozó szervezete azzal bízta meg a biztonsági kutatókat, hogy olyan módszereket fejlesszenek ki, amelyek révén egy felhasználó folyamatosan, minden pillanatban azonosítható a géphasználati szokásai alapján,  például az egérkezelésének módjával, illetve azzal, ahogyan e-mailben kommunikál. E technikáknak a kifejlesztését az a felismerés motiválja, hogy önmagában egy jelszó kevés az online azonosság igazolásához, a megerősítést pedig valamilyen kiegészítő jelszóelemnek kell szolgálnia. Ilyen lehet a sok vállalat gyakorlatában – az azonosítás második fázisaként – elterjedt kártyás vagy hardverkulcsos beléptetés a belső hálózatokba, és alternatívaként a biometrikus azonosítás is előtérbe kerül.
   
A mobil lesz a kiegészítő elem?
   
Legkevesebb hat olyan bank van az Egyesült Államokban, ahol az azonosításhoz az ügyfeleknek a megszokott PIN-kód megadásán felül egy rövid kis mondatot is be kell diktálniuk a telefonnal összekapcsolt számítógépnek. Ez lehet olyan végtelenül egyszerű is, mint az, hogy "at my bank", és akár egymilliónyian is mondhatják ugyanazt, még akkor is mindegyik jól megkülönböztethető a másiktól – állítják a technológiát kifejlesztő Nuance Communications szakértői.

Mivel a mobiltelefonok világszerte úgyszólván az emberek „testrészei” lettek, értelemszerű, hogy az azonosság igazolásánál is fontos szerepük van. A Google nemrégiben mutatta be a maga kétlépéses azonosítási eljárását. Ez egy hatjegyű kódot küld egy alkalmazásnak a Google-felhasználó mobiljára, és ezt kell megadni a jelszóval együtt ahhoz, hogy valaki hozzáférjen saját Google-környezetéhez. A kód érkezhet SMS-ben vagy telefonhívással is, olyanokra gondolva, akiknek nincs okostelefonjuk.

Ezt az extra azonosítási lépést a Google nem teszi kötelezővé, és azt sem árulja el, hogy hány felhasználó alkalmazza, de hangsúlyozza, hogy egy olyan sérülékeny, könnyen eltulajdonítható dolognál, mint amilyen a jelszó, mindenképpen fontosnak gondolja kiegészítő azonosítási elem – kézenfekvően a mobiltelefon – használatát.

„Úgy vélem, rövidesen egyre több olyan emberrel találkozunk majd, akik azonosítóként használják mobileszközeiket. A jelszó elveszíti egyedüli azonosítási szerepét, és több biztonsági réteg is körülveszi majd” – állapította meg Brendon Wilson, a Symantec biztonsági szakértője.

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.