És ha azt mondom, kétfaktoros autentikáció? Vagy kicsit magyarosabban kéttényezős hitelesítés?

Ma, amikor egyre több különféle szolgáltatást használsz ahol azonosítanod kell magad és a digitális világ egyre veszélyesebb terep, minden segítség jól jön a biztonság növelésére. 

Forrás: crambler.com

Az azonosítás legegyszerűbb módja a felhasználónév/jelszó páros. Az egyszerűség sajnos nem jár együtt túlzott biztonsággal. Ha a jelszó nem elég hosszú és bonyolult, vagy leírtad, megosztottad mással, esetleg csak kiszivárog a szolgáltatótól, máris használhatja más a nevedben. Arról, hogy milyen a jó jelszó, itt olvashatsz, papíron tárolás helyett pedig a jelszószéf a megoldás.

Manapság egyre terjed a több (jellemzően két) tényezős hitelesítés. Nem véletlenül, hiszen a három azonosítási tényezőből kettőt felhasználva a biztonság jelentősen növekszik. A netbanki tranzakciók, közösségi oldalak, webes levelezés és megannyi más szolgáltatás kínál ilyen lehetőséget. Persze nem minden megoldás egyformán jó, kényelmes és biztonságos.

Az internetes bankolás során megszokott, hogy a belépéshez és a tranzakciók végrehajtásához is egy plusz kódra van szükség, amit a bank SMS-ben küld el a megadott telefonszámra. Viszonylag egyszerű és gyors, viszont általában plusz költség és a használhatósága függ a mobilhálózattól. Ezen kívül több módszer is ismert a kijátszására. Az egyik ilyen a mobilkommunikációban használt SS7 protokoll régóta ismert hibája. Az USA Belbiztonsági Minisztériuma 2017 óta nem tartja biztonságos azonosítási formának az SMS-ben küldött biztonsági kódot. Persze jobb, mint a semmi, de nem árt, ha tudod... A biztonsági SMS tartalmához bizonyos esetekben nem lehetetlen hozzájutni. Iráni hackereknek sikerült kijátszaniuk ezt a fajta hitelesítési eljárást. Az sem segít a bizalom megteremtésében, ha maga a szolgáltató "nyúl mellé" és mint a Facebook nem is olyan rég, nyilvánossá teszi a neki kétlépcsős azonosítás céljára (és csak arra!) neki átadott telefonszámokat.

Egy másik eléggé elterjedt módszer a második hitelesítési tényezőre a token. Ez egy olyan fizikai eszköz, vagy alkalmazás, amely egy időről-időre változó kódot állít elő. A kódot kell használni - olykor egy PIN kóddal kiegészítve - a hagyományos bejelentkezési adatok mellett az azonosításhoz. Ennek a módszernek az előnye, hogy a támadónak nem elég megszereznie - adathalászattal, vagy adatszivárgás eredményeképpen - a felhasználónevet és jelszót, a kódot generáló eszközhöz, vagy az alkalmazást futtató okostelefonhoz is hozzá kell jutnia. Ez mindenképpen bonyolítja a helyzetet. Egy okostelefon tartalmához való hozzáférés jelentősen megnehezíthető. Ha pedig kiegészítő PIN kódra is szükség van, akkor az is kevés lesz. Nagyon sokféle ilyen eszköz és alkalmazás érhető el. Eszközként például az RSA SecurID, ami létezik soft token (alkalmazás) formájában is leginkább a cégek számára megoldás, mivel az ára elég magas. Elterjedt még a YubiKey, ahol az eszközt fizikailag is csatlakoztatni kell a számítógéphez a hitelesítéshez. Ez az úgynevezett biztonsági hardverkulcs. A soft token kategóriában az egyik népszerű alkalmazás a Google Hitelesítő. Az alkalmazást támogató weboldalakon egy QR kód beolvasásával lehet beállítani a hitelesítést. Ezt követően a név és jelszó mellett a hitelesítő aktuálisan érvényes kódját is meg kell adni a belépéshez. Az alkalmazás generál 10 vészhelyzeti belépési kódot is arra az esetre, ha nem lenne online kapcsolat. A Google Hitelesítő nemcsak Androidra, hanem iOS operációs rendszerre is elérhető, bár ott a népszerűsége és elterjedtsége is sokkal alacsonyabb. De nem a Google az egyetlen, aki hitelesítő alkalmazást ad ki. Sok egyedi megoldás létezik, amely az adott szolgáltatáshoz történő hozzáférést támogatja: Blizzard, Microsoft, Adobe és még se szeri, se száma a lehetőségeknek. Nem mindegy persze az alkalmazás fejlesztőjének megbízhatósága és az hogy az alkalmazás milyen szolgáltatásokkal használható.

A biometrikus adatok alapján történő azonosítás már most is elég elterjedt például az okostelefonok esetében - ujjlenyomat olvasó, arcfelismerés, írisz-szkenner - és a vállalati, tudományos szektorban, de az igazi fellendülés még csak ezután jön. Az előnye, de egyben a probléma is az, hogy ezek az adatok nem megváltoztathatóak. Egy jelszót, egy tokent, egy munkahelyi belépőkártyát könnyen le lehet cserélni, de az ujjlenyomat, az arc, a tenyér, az írisz, a retina érhálózatának mintázata és a többi biometrikus jellemző ugyanaz marad. Bár ki tudja, mivel készülnek a genetikusok? Az biztos, hogy széleskörű használat esetén a jelenleginél is sokkal jobban kell védeni ezeket az adatokat. Ha az adatkezelőtől kiszivárognak, vagy ellopják a biometrikus azonosítókat, az az adatok tulajdonosai számára komoly kockázatokat és előre fel nem mérhető károkat jelent. Az ilyen módon kompromittálódott adatok a későbbiekben már nem használhatók fel az érintettek megbízható azonosítására. Éppen ezért fontos az is, hogy kinek és milyen célból adsz meg biometrikus adatokat.

Sokan viseltetnek ellenérzéssel a retina szkenner, vagy a fizikai kontaktust igénylő - például ujjlenyomat - azonosítási módszerek alkalmazásával szemben. A technikai fejlődés lehetővé teszi ezen adatok egy részének - mint például az arckép, vagy hangminta -  tömeges gyűjtését és kiértékelését, akár az érintettek tudomása, hozzájárulása nélkül is. Ez persze már nem annyira a hitelesítés, mint inkább a megfigyelés és profilalkotás témakörébe tartozik.

Használd az elérhető és megfelelő kéttényezős hitelesítést! Ismertesd meg a gyermekeddel is, neki is hasznos lesz! Légy körültekintő és elővigyázatos, ha személyes adatokat adsz meg magadról, vagy másokról!

Ha tetszett az írás, oszd meg barátaiddal, kövesd a Gyerek.Net.Info Facebook oldalát! Csatlakozz az Internetes biztonság - gyerekeknek, felnőtteknek csoporthoz! Véleményedet, kérdéseidet megírhatod a Facebookon, vagy regisztrációt és bejelentkezést követően itt a weboldalon.