A jelszavakra épülő privát digitális világ biztonsági szempontból elég gyenge lábakon áll. Megoldások is vannak a jelszó nélküli számítástechnika bevezetésére, de akkor miért halad a váltás ilyen lassan?

A jelszó, mint biztonsági kapu megszűnőben van. A kvantumszámítógépek világa már a közeljövőben velünk lesz, és ezeknek a gépeknek már semmilyen betűkből, karakterekből álló jelszó nem jelent majd akadályt. De a jelszavak amúgy sem biztonságosak az idei Verizon Data Investigations Breach Report-ból kiderül, hogy tavaly a közel 42 000 jegyzett biztonsági incidensből 32%-ban adathalászat, 29%-ban pedig a hitelesítő adatok ellopása volt a cél.

Nem véletlen, hogy a számítógépes biztonság javítása a küszöbön áll mind a vállalkozások, mind az egyéni felhasználók számára, és ehhez csak annyi kellene hogy hajlandóak legyünk a jelszavak alternatíváját alkalmazni. A jelszavak létrehozásának és bevitelének nehézkes folyamata iránt a felhasználók növekvő ellenérzéssel vannak,mégis a jelszavak nélküli jövő felé való átmenet meglepően lassú ütemben halad.

A jelszavak kiküszöbölésére használt két divatszó a jelszó nélküli és a jelszómentes hitelesítés. Ez a két kifejezés hasonló,  de nem ugyanaz. Mindkettő azt ígéri, hogy jelszavak megadása nélkül is hozzáférhetünk a digitális tartalmakhoz. A legfontosabb különbség a jelszóhasználat kiküszöbölésére szolgáló technológia.

Jelszó nélküli és jelszómentes

A jelszó nélküli megoldások a felhasználók hitelesítését javítják a vállalkozások számára azáltal, hogy hatékonyabban teljesítik a vonatkozó biztonsági követelményeket. Fontos szempont, hogy ne legyen kényelmetlenebb és időigényesebb folyamat mint a jelszavas bejelentkezés, bár a céges biztonsági környezetben sokszor még ez sem fontos, ha lényegesen biztonságosabb lesz a rendszer egy kényelmetlenebb, de hatékony új megoldás segítségével.

A jelszavak korának elmúlásába a mobil számítástechnikai eszközök tudásának gyors növekedése és kifinomultsága is jelentős szerepet játszott. A hagyományos hitelesítési módszerek gyakran elavultak ezeken az eszközökön.

Ironikus módon ez a tényező arra készteti a mobileszközök applikációinak fejlesztőit, hogy megkönnyítsék a jelszó nélküli hitelesítést. Miközben a vállalkozások egyre sebezhetőbbé válnak a jelszó alapú támadásokkal szemben, csak keveseknek van módja az ellenük való védekezésre.

A jelszavak rendkívül érzékenyek a megtévesztően finom és különféle formájú kibertámadásokra. A jelszó nélküli hitelesítés minimálisra csökkenti ezt a kockázatot.

A Google és a Microsoft előkészíti az utat a jelszó-alternatívák felé

Nem véletlen, hogy a két nagy, a Google és a Microsoft is lépett a témában. A Google júniusban indította el a Workspace-fiókok kulcsainak nyílt bétaverzióját. Ez lehetővé teszi a szervezetek számára, hogy felhasználóik a szokásos jelszavak helyett egy jelszóval jelentkezzenek be a Google Workspace vagy Google Cloud fiókjukba.

A Microsoft Authenticator technológiája lehetővé teszi a felhasználók számára, hogy jelszó nélkül jelentkezzenek be bármely Azure Active Directory-fiókba. Kulcsalapú hitelesítést használ az eszközhöz kötött felhasználói hitelesítési adatok engedélyezéséhez. A készülék PIN-kódot vagy biometrikus adatot használ. A Windows Hello for Business hasonló technológiát használ.

Jobb, bár nem hibátlan

A jelszó nélküli hitelesítés nem védett a rosszindulatú programokkal, a böngészőből indítható csalásokkal és egyéb támadásokkal szemben. A hackerek olyan rosszindulatú programokat telepíthetnek, amelyeket kifejezetten az egyszeri jelkódok (OTP) elfogására terveztek, például a küldött jelkód eltérítésével.

Bár a jelszó nélküli hitelesítés megbízható hitelesítési megoldást kínál, nem teljesen ellenálló a támadásokkal szemben. A kockázatok gyakran az alkalmazott módszertől függenek, legyenek azok biometrikus adatok vagy hardver tokenek.  A kockázatok között van például a hardvereszközök, a tokenek esetleges ellopása vagy a biometrikus adatok meghamisítása.

Ennek ellenére a jelszó nélküli hitelesítés jelentős hátránnyal jár a rossz szándékú behatolók számára. A kiberbiztonsági szakértők szerint a hagyományos jelszavaknál nehezebbé teszi a rendszerek feltörését, és a legtöbb kibertámadás is kevésbé veszélyes számukra.

Valódi jelszó nélküli hitelesítés

A valódi jelszó nélküli hitelesítési módszereknél nincs beviteli mező a jelszavak megadására. Ehelyett a felhasználók személyazonosságának érvényesítéséhez más hitelesítési formára, például biometriára vagy másodlagos eszközökre van szükség.

Ez a megoldás egy tanúsítványt továbbít az ellenőrzés lehetővé tételéhez, így az adathalász-támadások és a lopott hitelesítő adatok kiküszöbölésével növeli a biztonságot.

Előbb-utóbb más alternatív hitelesítési módszerek is népszerűbbé válnak. Ezek közé tartoznak az e-mail linkek, az e-mailben vagy SMS-ben küldött egyszeri jelszavak, az arcfelismerés és az ujjlenyomat-olvasás.

A valódi jelszó nélküli megoldások azonban átalakítják a bejutás megközelítését azáltal, hogy a jelszavak fogalmát teljesen megszüntetik, és a bonyolult hitelesítő adatok kezelését a  a felhasználók adataitól intuitívabb és zökkenőmentesebb hitelesítési módszerekre helyezik át, így biztonságosabb paradigmát kínálnak.

A jelszó nélküli világban a felhasználók olyan módszerekkel hitelesítenék magukat, mint a biometrikus adatok – ujjlenyomatok, arcfelismerés, retina szkennelés vagy hangminta-felismerés. Ám fontos annak a felismerése, hogy egyetlen hitelesítési rendszer sem teljesen védett a támadásokkal szemben.

A jelszó nélküli módszerek egyre elterjedtebbé válásával csak idő kérdése, mikor jelennek meg új támadási technikák, amelyek a potenciálisan gyenge pontokat célozzák meg, vagy például megpróbálják ellopni a biometrikus adatokat. A Bölcsek Köve tehát nem létezik, de így is sokkal biztonságosabb digitális világot építhetünk a jelszó nélküli világgal.

Vállalati internet: Tarr.hu