2. Hírek
  3. Biztonság

Game over – annyi a jelszónak

A sok-sok éve tartó elégedetlenség elérte a szabványügyi szervezetet is – komplex biztonsági megoldások előírása következhet, ahol a jelszó csak egy elem.

Az utóbbi években egyre gyakrabban olvasni kemény kritikákat biztonsági szakemberektől, akik arra hívják fel a figyelmet, hogy a sok évtizede használt azonosításai mechanizmus, mely elsősorban a jelszavakra épít, ma már messze nem elegendő, elveszítette jogosultságát – legalábbis önmagában mindenképpen.

Hirdetés

Szabványosítani

Várható volt, hogy a szórványos ellenkezések után nagyobb volumenű változásokra is sor kerül, és így is történt: a webes szabványokat is kidolgozó World Wide Web Consortium (W3C) bejelentette, hogy új szabványokra és metódusokra van szükség, mivel a jelszavak ma már nem nyújtanak elegendő biztonságot. Egyrészt azért, mert a kampányok ellenére a felhasználók többsége a mai kor technológiájával könnyen feltörhető, gyenge jelszavakat használ, másrészt azért, mivel az erős jelszó sem jelent megoldást akkor, amikor az egyre szaporodó hackelések után a kiberbűnözők ezeket a jelszavakat is megszerzik.

A W3C ezért új szabványok kidolgozását indította el, melynek alapját a fontos iparági szereplők által létrehozott, a biztonsági előírások hatékonyabbá tételét célul kitűző FIDO Alliance által kidolgozott FIDO 2.0 Web API-k képezik. Ennek lényege az lenne, hogy a jelszóra építő biztonsági megoldások helyett komplexebb, többrétegű titkosítási eljárásokat vezessen be.

A W3C vezetőjének nyilatkozata szerint ez a munka kiegészíti majd azt a törekvést, amelyet a szervezet már korábban megindított (Web Cryptography API), és amely egy JavaScript API segítségével igyekszik szabványosítani a böngészőkben alkalmazott titkosítási eljárásokat. Ez a gyakorlatban azt is jelentené, hogy az alkalmazásfejlesztők lehetőségei kibővülnének, illetve tiszta előírásokat kapnának arra, hogy a kódok futtatását úgy szabályozzák, hogy a lehető legkisebb veszélynek tegyék ki a felhasználókat.

Ez mind nagyon szépen hangzik, de lényegében azt jelenti, hogy végre előírássá tennék a kettős vagy többszörös (pl. tokenes) autentikációt. Ezt már sok helyen alkalmazzák, ám a tömeges elterjedésére, illetve szabványosítására addig kellett várni, amíg az okostelefonos penetráció át nem billent egy határon.

Emellett azonban szakértők arra is felhívják a figyelmet, hogy a jelszó nem fog eltűnni, nem is tűnhet el. Ennek egyik legfontosabb oka, hogy nagy a nyomás az állami hatóságok részéről a magánadatokhoz való hozzáférés tekintetében, és ha igen biztonságosan, de csak hardveresen védi a felhasználó az adatait, akkor jelszó nélkül nem maradna esélye arra, hogy ellenálljon egy szerinte jogtalan adatkiadási kérésnek.

Azóta történt

Előzmények

  • Az örök probléma: a jelszó

    Az „Egy jelszó mind fölött” alkalmazása még mindig eléggé elterjedt, és ez jelentősen megkönnyíti a kiberbűnözők dolgát. Ha választani kell bugyi és jelszó közül, előbbi fontosabb.

    Biztonság 112

  • Ez volt 2015 legnépszerűbb jelszava

    Ha nincs kényszer, akkor rengetegen hanyagok vagy lusták, és szinte tálcán kínálják a támadóknak a hozzáféréseiket.

    Biztonság 42

  • Jelszókezelőtől lop adatot a KeeFarce

    Megkerüli a védelmet, nincs szükség a titkosított információk megfejtésére, ezt elintézi a gazdaprogram.

    Biztonság 28