Ha nincs az a baj, ha van akkor az a baj

2021. július 30. 13:20 - Csizmazia Darab István [Rambo]

Ha a mai napon megnézzük a haveibeenpwned.com weboldalt, azt láthatjuk, hogy 11,420,802,014 azaz 11.4 milliárd kiszivárgott, ellopott jelszónál tartunk. Ennek részben az is az oka, hogy jelszóválasztásban a helyzet változatlan, azaz egyforma és primitív jelszavakat használnak sajnos még rengetegen. Pedig lehetne javítani a helyzeten, csak használni kéne a 2FA megoldásokat.

Foglalkoztunk más sokat ezzel a témával, de most csak két posztot emelünk ki ezek közül, az egyik, amely a hitelesítés rövid történelmi összefoglalója volt, hogyan zajlott ez a dolog fejedelmi gyűrűktől egészen a biometrikus azonosításig. A másik pedig egy olyan összefoglaló volt, mik azok a módszerek, amelyekkel a jelszavak, belépési accountok védelmét nagyban tudjuk erősíteni.

Nincs újdonság a Nap alatt, ezek a kétfaktoros azonosítás, a személyes USB kulcs, az egyszer használatos OTP (One Time Password), a biometrikus módok és a virtuális token.

Ezek közül most a 2FA lesz a mai téma, amely többféle módon is megvalósítható. Legegyszerűbb, és legtámadhatóbb fajtája az egyszeri hitelesítő kód szöveges SMS-ben, amely bár vírussal eltéríthető, az eszköz ellopása esetén illetéktelenül felhasználható, illetve SIM kártya cserés támadásnál az eszköz a felhasználó tudta és engedélye nélkül megváltoztatható, de a semminél még így is erősebb védelmet nyújthat. Ennél haladó csoportosabb és biztonságosabb a dedikált biztonsági eszköz, illetve a biometrikus azonosító használata.

A lényeg mindenesetre, hogy amellett amit tudok (név-jelszó páros) szükség van még valamire, amit birtoklok (például USB hitelesítő kulcs), kiegészítve azzal, ami vagyok, azaz a saját testem egyedi jellemző jellegzetes része (írisz, arc, tenyér, véna, ujjlenyomat, hang, fülkagyló, stb.)

Egy a közelmúltban megjelent átláthatósági jelentésből - amelyet a Twitter készített - az derült ki, hogy sajnos kéttényezős hitelesítés hiába létezik már évek óta, a felhasználóknak mindössze 2.3 százaléka élt ezzel a lehetőséggel.

Pedig Twitter fronton nem ismeretlen a fiók feltörés, és az áldozat nevében posztolás, gondoljunk csak Russell Crowe ausztrál színészre, akinek meztelen nőket töltöttek a támadók a lapjára, vagy Sepp Blatter volt FIFA elnök korrupciót látszólag beismerő vallomását hamisították oda, de emellett a Financial Times, a Huffington Post, sőt maga Obama elnök is járt már pórul.

Az üzemeltetők látnak ugyan valamifajta kismértékű növekedést, de áttörést nyilván az hozhatna, ha alapértelmezetten más területekhez hasonlóan kötelezővé tennék vagy ha a felhasználói biztonságtudatosság szintje valamilyen rejtélyes ok folytán váratlanul és rövid időn belül az egekbe szökkenne.

Vélhetően az első változat indulna nagyobb eséllyel a valóság talaján maradva, míg az utóbbira csak elég kedvezőtlen feltételekkel lehetne fogadni a londoni bukméker irodákban.

Ha megvizsgáljuk, melyik 2FA módszert használják a leggyakrabban, akkor azt látjuk, hogy a legkevésbé biztonságos szöveges SMS vezeti a rangsort, de összességében is túl kevesen élnek a kétfaktoros azonosítás lehetőségével, ezért a dolog népszerűsítésével, felhasználóbarátabb megoldásokkal kellene/lehetne még tenni az ügy érdekében.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása