Nem működnek a jelszavak

A jelszavas hitelesítés egyre több sebből vérzik, amit minden évben felhasználók millió tapasztalnak meg, amikor egy-egy incidens következtében kiszivárognak az adataik.
 

A biztonsági szakértők egyre gyakrabban hangsúlyozzák, hogy manapság már nem elegendő a jelszavas azonosítás, ugyanis önmagában ez a hitelesítési forma sok szempontból igencsak sebezhető. Legutóbb az azonosítási technológiák fejlesztésével foglalkozó Winfrasoft vállalat világított rá arra, hogy fel kellene gyorsítani az alternatív hitelesítési módszerek bevezetését, széles körű terjesztését.

„A jelszavak problémája, hogy nagyon gyengék, gyakran esnek hackerek áldozatává, és a felhasználók szemszögéből túl komplikáltak akkor, amikor 20, 30, 60 darabot kell megjegyezni belőlük” - vélekedett Steven Hope, a Winfrasoft igazgatója. A szakember elmondta, hogy a kockázatok csökkentése érdekében a jelszavaknak különbözőeknek kell lenniük, amikre persze senki sem emlékszik. Így aztán mindenki vagy leírja azokat, vagy minden egyes bejelentkezés alkalmával a jelszóemlékeztető funkciók segítségével új belépési adatokat kér az adott szolgáltatáshoz, alkalmazáshoz. „Napjainkban a jelszavak egész egyszerűen nem működnek a való életben” - adott hangot aggályainak Hope, aki szerint nem véletlen, hogy még mindig az „123456”, valamint a „password” a leggyakrabban alkalmazott jelszó a világon.

Az igazgató úgy látja, hogy ha megfelelően erős és komplex jelszavakat is választunk, még akkor sem garantál a biztonság. Egyrészt a kémprogramok bármilyen összetett jelszót képesek kiszivárogtatni, de ami még ennél is nagyobb probléma, hogy egyre gyakrabban maguk a jelszavakat tároló vállalatok, intézmények rendszerei is adattolvajok áldoztává válnak. Ekkor pedig nagymennyiségben kerülnek illetéktelen kezekbe bizalmas adatok, köztük jelszavak vagy azok valamilyen eljárással kódolt változatai.

Folynak a fejlesztések

A biztonsági cégek töretlenül dolgoznak olyan alternatív hitelesítési megoldásokon, amelyek ha nem is váltják ki teljesen a jelszavas hitelesítést, azt legalább olyan módon egészítik ki, hogy a kockázatok végül elfogadható szintre csökkenthetők. Már korábban is sok érdekes megoldást láthattunk, amelyek vagy a belépési adatok megjegyzését igyekeztek megkönnyíteni (például vizuális, grafikus eszközökkel) vagy az authentikációt terjesztették ki többfaktorosra.

A vizuális eszközökre jó példát szolgáltat a Winfrasoft technikája, amely egy 6x6-os, színes négyzetekből felépített felületen teszi lehetővé az azonosítást. (Ez a módszer egyszer használatos kódok generálására alkalmas azáltal, hogy a négyzetekben megjelenő véletlenszerű számokat a felhasználó által memorizált minta és sorrend alapján lehet leolvasni a felületről.)


A biometrikus azonosítás esetében elsősorban az ujjlenyomat alapú megközelítések hódítanak. Elég, ha csak az Apple iPhone-ba épített Touch ID technológiájára gondolunk. Igaz ugyan, hogy például a hamburgi Chaos Computer Club csapata már térdre kényszerítette ezt az eljárást is, de azért a mindennapokban jelentősen képes növelni a biztonságot.


A CeBIT 2014 kiállításon is napvilágot látott néhány érdekes megoldás. A Fujitsu például a tenyér erezetére épülő eddig ismert módszereket fejlesztette tovább a PalmSecure technológiájának keretében, és építette be azt egy notebookba. A svájci KeyLemon pedig az arcfelismerésben látja a jövőt annak ellenére, hogy a széles körben elérhető biometrikus technológiák közül talán ezt éri a legtöbb kritika. Azt a cég is elismerte, hogy ugyan a téves felismerések számát jelentősen sikerült csökkenteni, de azért arra még mindig gyakran kell figyelmeztetni a felhasználókat, hogy a sikeres azonosításhoz vegyék le a szemüvegüket, vagy megfelelő fényviszonyokat keressenek a bejelentkezésekkor.

Steven Hope szerint az arcfelismeréssel és az ujjlenyomatos azonosítással egy újabb biztonsági réteggel egészíthető ki a hitelesítés. Valószínűleg soha nem lesz elegendő önmagában ez a két módszer, de a jelszavak melletti használatuk kritikus fontosságú lehet.

 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség