Segítségért kiáltanak a jelszavak

A több évtizedes múltra visszatekintő jelszavak már nem képesek maradéktalanul ellátni a feladatukat. Muszáj szigorítani a hitelesítési folyamatokon.
 

Idén nyáron halt meg a számítógépes tudományok egy fontos képviselője, Dr. Fernando Corbató, akinek nevéhez fűződik a számítógépes jelszavak megalkotása. Az 1950-es évek elején a számítógépek mindössze egy feldolgozási folyamatot tudtak egyszerre elvégezni. Ha mégis szükség volt a feladatok párhuzamosítására, akkor több számítógépet kellett építeni, amelyeket felhasználókhoz rendeltek hozzá. Dr. Corbató e probléma kiküszöbölése érdekében fejlesztette ki (MIT-s társaival) a CTSS (Compatible Time-Sharing System - CTSS) nevű rendszert, amely lehetővé tette a felhasználók számára, hogy anélkül használják, és mentsék a munkájukat, hogy azokhoz mások hozzáférhetnének. Itt jelent meg először a jelszó: a felhasználóknak saját jelszavukkal kellett bejelentkezniük ahhoz, hogy elérhessék a saját adataikat.


Fernando José "Corby" Corbató 
Forrás: Wikipedia
 
Régi idők hagyatéka
 
A jelszavas azonosítás alapjaiban nem sokat változott a kezdetekhez képest. Legtöbbször még mindig egy felhasználónévre és egy jelszóra van szükségünk ahhoz, hogy hozzáférjünk a számítógépen vagy a felhőben tárolt adatainkhoz.

A jelszavas hitelesítés alapvetően egyszerű, de sok kockázatot rejt magában. Ha a felhasználók nem megfelelően kezelik a jelszavakat, akkor azzal a kiberbűnözők malmára hajtják a vizet. Ezért a Micro Focus szakértői arra figyelmeztetnek, hogy manapság már nem nyújt kellő biztonságot a felhasználónév és jelszó kombinációja. Így fontos egyéb módszerekkel megerősíteni a hitelesítési folyamatokat, különben könnyen elveszíthetjük az adatainkat.
 
Mit hoz a jövő?
 
Az egypontos vagy egyszeres (SSO) bejelentkezés korábban jelentős változást hozott a hitelesítésben, és segített abban, hogy a felhasználókat az erősebb jelszavak használata felé terelje, miközben nagyobb fokú kényelmet biztosított. Most azonban újabb változásra van szükség.
 
Egyre több helyen alkalmaznak többlépcsős azonosítást, ahol a felhasználónév és jelszó kombinációja mellett a felhasználóknak egyéb eszközökkel is azonosítaniuk kell magukat. Ilyen lehet például a mobiltelefonra küldött kód vagy valamilyen biometrikus azonosító, például ujjlenyomat, arc, írisz, tenyér erezete stb. Persze ez esetben sincs 100 százalékos biztonság, hiszen előfordult már, hogy biometrikus azonosításhoz használatos adatoknak kelt lábuk.
 
A hitelesítések hatékonyságán az is sokat tud növelni, ha azokat egy keretrendszerbe foglaljuk, és olyan technológiákat alkalmazunk, amelyek könnyen felügyelhetővé, kontrollálhatóvá tehetik az azonosítási folyamatokat.

Kockázatalapú megközelítés
 
A Micro Focus szakértői a többlépcsős azonosítás mellett a kockázatalapú hitelesítés bevezetését is javasolják. Ez azt jelenti, hogy a rendszer akkor végez szigorúbb ellenőrzést, ha az alkalmazottak olyan körülmények között kívánnak bejelentkezni, ami nem számít szokványosnak. E megoldás a cégek székhelyén, a munkaidő kezdetekor egyszerűbb bejelentkezési folyamatot tesz lehetővé, azonban plusz megerősítést, például SMS-ben küldött kód megadását követeli meg a kiküldetésben lévő munkavállalóktól, akik külföldről, a szállodai szobájukból vagy egy konferenciateremből szeretnék elérni a céges hálózatot. De akár a késő este, otthonról dolgozó munkavállalóknál is érdemes lehet beiktatni ezt a fajta extra hitelesítést.
Vélemények
 
  1. 4

    A McAfee Network Security Manager egy biztonsági hibát tartalmaz.

  2. 3

    Az Apache Guacamole fejlesztői két biztonsági résről számoltak be.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség