1 faktor + 1 faktor = 2 faktor

2014. május 30. 12:33 - Csizmazia Darab István [Rambo]

Erős jelszó, két faktoros azonosítás - csupa ilyen csúnya kifejezésről lesz ma szó. De előtte picit a jelszavak menedzseléséről. Egy friss kutatás szerint ugyanis a korábbi IT dolgozók jelszava sok helyen még hosszú hónapokkal, sőt évekkel később is élő marad, mivel azt nem kapcsolták le - nem hogy azonnal az épületből való távozáskor, de még azóta sem.

A HelpNetSecurity jelentése szerint a korábbi számítástechnikai munkavállalók negyede azóta is régi jelszavával hozzáfér volt munkahelye hálózatához. Sőt hogy még elképesztőbb legyen a kép, 16% egyenesen úgy nyilatkozott, nem csak egy, hanem összes korábbi munkahelyi környezetéhez megvan még az élő hozzáférése. Ha ehhez pedig hozzávesszük mondjuk a Verizonnak azt a kimutatását, miszerint a komolyabb fajsúlyú adatsértések, incidensek rendre gyenge vagy eltulajdonított belépési adatok miatt következnek be, akkor jól látható, mekkora vétkes mulasztás is mindez az IT részéről.

Az Oleg Pliss történetet gondolom senkinek nem kell bemutatni, de dióhéjban összefoglalva ausztrál lapok számoltak be néhány napja arról, hogy néhány iPhone és iPad felhasználót kizártak a készülékükből. A közösségi oldalak beszámolói, és blogbejegyzések szerint az áldozatok korábban egy kéretlen üzenetet kaptak a Find My iPhone funkció nevében, amely azt írta, hogy az adott eszközt meghackelték, és csak váltságdíj ellenében adja vissza a hozzáférést. Az már tényleg csak hab a tortán, hogy amikor a felhasználók egy nagy része emiatt az Apple-nél reklamált, az azt válaszolta nekik, hogy mivel rendszerük elvileg nem törhető fel, ezért nem illetékesek segíteni. A történet háttere az, hogy biztonsági szakértők szerint a támadó vagy a támadók teljesen más helyszínről és más forrásból megszerzett jelszavaikat elkezdték szépen kipróbálgatni az Apple Find My iPhone szolgáltatáson, hátha valaki itt is ugyanazt használta, és ez szemlátomást bejött nekik.

Egyébként érdekes, hogy default, vagyis alapértelmezésen hagyott jelszóval már történt korábban telefonos iPhone incidens, a nevezetes Rick Astley fotóval operáló IKEE féreg. De hát így jár az, aki meghagyja a jailbreak után a "youareshit" cseppet sem elegáns SSH default jelszót ;-)

És akkor jöjjön először a WeLiveSecurity összefoglalója, hogyan védhetik meg magukat az Apple júzerek, ha ilyen üzenetet kaptak a készülékükre: "Hacked by Oleg Pliss. For unlock device YOU NEED send voucher code by 100 $/eur one of this (Moneypack/Ukash/PaySafeCard) to [email address]". Először is semmiképpen ne fizessenek, hiszen ez nem egy klasszikus titkosító ransomware, nem egy kártevő, hanem ahogy fentiekből olvashattunk, gyenge jelszó adatokkal való visszaélésről van szó. Akiknek volt szinkronizált mentésük az iTunes-ban vagy iCloud-ban, onnan helyre tudják állítani az előző állapotot. Akiknek viszont nincs ilyen, adatvesztés nélkül nem igen ússzák meg a visszaállítást. Emiatt a jövőre nézve érdemes bekapcsolni a két faktoros autentikációt, javasolt rendszeresen menteni az iCloud, az iTunes, illetve a Time Machine segítségével, vagy akár párhuzamosan ezek mindegyikével. Valamint - tadaaaam - használjunk erős és egyedi jelszót az Apple ID-hez.

Végül, de semmiképpen nem utolsósorban érdemes elolvasni ezt a szájbarágó szintű útmutatót, amely a legfontosabb helyszíneken - Google, PayPal, Yahoo, Twitter, Facebook, stb. és persze az Apple ID is - menüpontonként és egérkattintásonként kirészletezve mutatja meg, hogyan kapcsolhatjuk be a kétfaktoros azonosítást. Amit ha már ennyi helyen ilyen gálánsan elkészítették nekünk, talán érdemes is lenne valóban alkalmazni mindenkinek.

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tiborr · http://1solumipsum.tumblr.com/ 2014.05.31. 11:27:24

Sziasztok! Remek a cikk!
Pár kérdés eszembe jutott: Mondjuk ha a Google accountomhoz használok SMS azonosítást az egy kicsit kellemetlen, mindig megvárni, beírni, örülni. (Oké, még kellemetlenebb ha feltörik, de ugye arra van a bonyolult és hosszú jelszavam.)

Vegyük a következő példát: otthon, olcsó router + Win7. Gmail, bepipálva a "Maradjon bejelentkezve", hogy ne kellejen mindig az SMS-sel szórakoznom, megkapom az SMS-t, belépek, belépve maradok. Ilyen fajta otthoni környezetben azért ott van a gyanú, hogy a megfelelő szervek úgy tudnak ki-bejárni a gépemre, ahogy akarnak. SMS, SSL ide vagy oda, ha már bent vagyok a Gmail-ben, akkor az életem (egy része) nyitott könyv.

Persze válogathatok a különféle ingyenes és fizetős tűzfalak között, de egyszerű felhasználóként honnan tudnám eldönteni, hogy "Az ellen nem véd."?

Na mindegy, nem eszem én olyan forrón, csak ezek néha eszembe jutnak.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.06.02. 10:51:18

Szia Tiborr!

Van igazság van abban, amit írsz, de hát 2faktorost is attól kér az ember, akibenmár elvileg valamennyire megbízik - ha Snowden után létezik még egyáltalán ez kategória ;-).

Például én direkt nem szeretnék ilyet a Facebooktól, mert a telefonszámom nem akarom megosztani velük, hogy aztán egy 123-ik újjászervezett biztonsági beállítás keretében mind az 1.2 milliárd FB tag felé publikus legyen.

Ennél már előbb venném igénybe ezt az Apple-nél, ha ilyenre lenne szükségem, illetve egy átlagfelhasználó ezzel például a mostani Olge Pliss esetben is jól járt volna.
süti beállítások módosítása