12345, avagy mit kezdjünk a jelszavakkal

Az idei nagyszabású adatlopások is azt támasztották alá, hogy a jelszavak kora lejárt, és önmagukban már nem képesek helytállni. A technológiák adottak a biztonság megerősítéséhez, de ezeket használni is kellene.
 

Körülbelül 10 évvel ezelőtt Bill Gates az RSA konferencián tartott előadásában már megjósolta a jelszavak halálát. Aztán egyre több szervezet jelezte aggodalmát a felhasználói azonosítások kapcsán. Egyebek mellett ezek közé tartozott a FFIEC (Federal Financial Institutions Examination Council) is, amely 2005-től az amerikai pénzügyi intézményektől kezdte megkövetelni az erősebb hitelesítési eljárások alkalmazását. Az elmúlt években a probléma szószólói a biztonsági cégek lettek, akik gyakorta hangsúlyozták, hogy a kizárólag jelszavakra épülő azonosítás sok sebből vérzik, és önmagában már nem képes helytállni. Sorba jelentették be a többfaktoros technológiáikat, azonban ezek bevezetése nagyon sok helyen még várat magára. Márpedig eközben az adatlopással járó incidensek roppant mód szaporodnak.

A nagyok már léptek

Általánosságban elmondható, hogy a bankok, a nagyobb elektronikus kereskedelmi cégek, illetve a széles körben használt online szolgáltatások és közösségi oldalak üzemeltetői már bevezettek olyan védelmi technológiákat, amelyek segíthetnek kiküszöbölni a jelszavak gyengeségeiből eredő kockázatokat. Ezek a vállalatok többféle módszerrel éltek, köztük az egyszer használatos jelszavakkal vagy éppen a felhasználói viselkedésekre, szokásokra épülő anomáliaelemzésekkel. Nem egyszer ezeket kombinálták is. 

Sajnos azonban nagyon sok szervezet még nem tett semmiféle óvintézkedést a jelszavak kockázatának csökkentése érdekében, és még mindig vakon megbízik a felhasználónevekre és jelszavakra épülő bejelentkezésekben. 

"Ha valaki csak a jelszavakra hagyatkozik, akkor annak jó szerencsét kívánok. A jelszavak ugyanis jó néhány éve halottak" - nyilatkozta Avivah Litan, a Gartner elemzője. Majd hozzátette, hogy számos, viszonylag egyszerűen bevezethető eszköz érhető el a vállalatok számára, amelyekkel a hitelesítési folyamataikat megerősíthetik. Ezek közül jó néhány a háttérben, a felhasználók szempontjából teljesen transzparensen működik, így nem zavarják a mindennapi munkavégzést. E technikák közé tartozik többek között az eszközalapú azonosítás, a viselkedéselemzés, a felhasználók profilozása, valamint az anomáliák feltérképezése. Az ilyen jellegű technológiák révén kiszűrhetővé válhatnak a gyanús események, és szükség esetén egy kiegészítő hitelesítési lépés iktatható be a folyamatba. Például gyanús lehet az, ha valaki egyszer Magyarországról, fél óra múlva pedig már Amerikából próbál bejelentkezni valamely felhasználói fiókjába. Litan szerint a többfaktoros azonosítás terén nagy segítséget jelenthetnek az okostelefonok is, amelyek révén szintén megerősíthetővé válhatnak a hitelesítési eljárások. Lehetőség adódhat SMS-ekben kiküldött, egyszer használatos jelszavak használatára, mobil alkalmazások révén generált kódok bevetésére, de akár hangfelismerésre vagy ujjlenyomat-alapú technikák hadra fogására is.

Kényelem vagy biztonság?

Litan nem véletlenül hangsúlyozta, hogy számos biztonsági technológia transzparens módon működik, ugyanis ő is tisztában van azzal, hogy sokszor a kényelmi szempontok befolyásolják a védelem kiterjesztését. Ezen a véleményen van Luis Corrons, a PandaLabs igazgatója is: "Sok vállalat azért vezeti be lassan a többfaktoros azonosítást, mert attól tart, hogy ezzel a felhasználók, ügyfelek számára kényelmetlenséget okoz. Ezzel a problémával még a pénzintézetek is küzdenek". 

A szakember elmondta, hogy sok biztonsági csapattal beszélt már, és rengeteg jó ötlettel találkozott az azonosítások biztonságosabbá tételét illetően. Azonban az ötletek megvalósítását sokszor hátráltatták kényelmi szempontok, valamint a félelem attól, hogy a plusz védelmi intézkedések hatására elpároltan az ügyfelek a konkurenciához. "Az egyfaktoros hitelesítés egy olyasvalami, ami még a múlt századból maradt ránk. A vállalatoknak lépéseket kellene tenniük legalább a kétfaktoros authentikáció irányába, és megfontolni a népszerű mobil eszközök bevonását a védelembe".

Megint a gyenge láncszem

Ron Gula, a Tenable műszaki igazgatója a hitelesítési problémák kapcsán elmondta, hogy a jelszavak teljes körű kiiktatására nem igen van mód. Ezért fontos, hogy a felhasználók biztonságtudatossági oktatásában a jelszókezelés kiemelt szerepet kapjon. "Minden egyes évben azt látjuk, hogy a leggyengébb jelszavak toplistáján olyan kifejezések szerepelnek. mint a "Password", a "Password1" vagy éppen az 12345" - utalt a kockázatokra a szakember. Majd kifejtette, hogy nem lehet szemet hunyni azon tény felett, hogy "a hálózat védelme maximum olyan erős lehet, mint amilyen a hozzá tartozó leggyengébb jelszó".