Jelszavak helyett: a passkey technológia alapjai
Évtizedekig a jelszavak jelentették a digitális hitelesítés alapját, ám mára egyre több a vészjelző: a felhasználók 84%-a ugyanazt a jelszót használja több fiókban is, így egymást követő sérülékenységi láncokat nyitva a támadók előtt. Mindeközben a jelszóalapú rendszerek karbantartása bonyolult és költséges marad.
A passkey technológia ezzel szemben kriptográfiai kulcspárokat használ. Regisztrációkor a készülék generál egy privát és egy publikus kulcsot: a privát kulcs mindig az eszközön marad, a publikus kulcsot a szolgáltatás tárolja. Bejelentkezéskor a szolgáltatás küld egy kihívást, amit az eszköz a privát kulccsal ír alá, a rendszer pedig ezt ellenőrzi. Mivel a privát kulcs soha nem hagyja el az eszközt, nincs mit elfogni vagy adathalászattal megszerezni.
A passkey-t kétféleképpen lehet alkalmazni: eszközhöz kötötten (például hardverkulcson tárolva) és szinkronizálhatóan, azaz több eszköz között titkosított felhőn keresztül megosztva. Az ilyen megoldások már a legújabb nemzetközi ajánlásoknak is megfelelnek, igazodnak az NIST AAL2/AAL3 elvárásokhoz, és ma már milliárdos nagyságrendben terjednek – csak az Amazon már 175 millió passkey-t hozott létre, a Google rendszereiben is megjelentek a jelszómentes fiókok.
Az ISO/IEC 27001 megfelelőség új szabályai
Az ISO/IEC 27001 nemzetközi szabvány részletes útmutatót ad az információbiztonsági kockázatok kezeléséhez. A 2022-es frissítés négy fő témakört különít el: szervezeti, emberi, fizikai és technológiai kontrollokat. A hitelesítés ehhez három fő kontrollon keresztül kapcsolódik:
– Annex A 5.15 (Hozzáférés-vezérlés): előírja, hogy a szervezetnek politikákat kell kidolgozni felhasználói hitelesítésre, jogosultságokra, hozzáférés-kiadásra és -visszavonásra.
– 5.17 (Hitelesítési információk): a hitelesítő adatok kiosztásának és kezelésének szabályozása, a hitelesítési adatok védelmének dokumentálása.
– 8.5 (Biztonságos hitelesítés): technikai követelmények, például többfaktoros hitelesítés előírása kiemelt hozzáférésekhez.
Bár a passkey bevezetése jelentős fejlődés, a megfelelőséghez bizonyítani kell, hogy az új hitelesítési stratégia legalább annyira biztonságos, mint a korábbi, a kockázatok kiértékelése és a működtetés dokumentálása is kötelező.
A gyakorlati átállás: hogyan igazodj az ISO kontrollokhoz?
A passkey-re váltás számos kontrollt érint:
– 5.15: Privilegizált fiókokhoz ajánlott az eszközhöz kötött passkey (AAL3), standard felhasználóknak a szinkronizált verzió (AAL2). Fontos dokumentálni a tartalék hitelesítés menetét (pl. eszköz elvesztése esetén), valamint hogy milyen esetekben lehetséges ideiglenesen a klasszikus jelszavas bejelentkezés.
– 5.17: Rögzíteni kell a teljes regisztrációs folyamatot, a publikus kulcsokat tároló adatbázis titkosítási elveit, a hitelesítési adatokhoz való hozzáférés szabályozását.
– 8.5: Részletezni kell, hogyan teljesül a többfaktoros hitelesítés (pl. eszköz birtoklása + biometria/PIN), mi véd az adathalászoldalakkal szemben, hogyan valósul meg a WebAuthn/FIDO2.
Természetesen az új módszerek új kockázatokat is hoznak: ilyen a készülék elvesztése vagy az, ha valaki kizárólag egyetlen eszközön tárolja a passkey-t. Dokumentálni kell a veszélyek kezelését és az új, speciális fenyegetések elhárításának módját.
A passkey előnyei és az új kihívások
Az elmúlt évek visszajelzései egyértelműek: ahol csak passkey-t használnak, ott teljesen megszűnnek a hagyományos jelszóalapú támadások. A Google-nál 30%-kal nőtt a sikeres bejelentkezések aránya, miközben 20%-kal gyorsabb lett a folyamat. Bár a passkey önmagában nem old meg minden problémát, jelentős mértékben csökkenti az informatikai helpdesk költségeket is, hiszen egy-egy jelszó-visszaállítás 25 000 forint körüli összegbe kerül, a jelszavas problémák az összes helpdesk-hívás akár 40%-át kitehetik.
Mindeközben a megfelelőségi terhek is egyszerűsödnek: a passkey egy technikai kontroll révén több szabvány elvárásainak is megfelel (NIST, PCI DSS 4.0, GDPR, SOC 2, stb.).
Bár a passkey-k ellenállnak a klasszikus adathalásznak, új támadási módok jelennek meg, például amikor támadók visszairányítják a felhasználót jelszavas módra, vagy magát az eszközt támadják. Az autentikációs rendszer mellett fejlett monitorozásra és felhasználói oktatásra is szükség van.
Jó gyakorlatok és vállalati megfontolások
Elsőként a kiváltságos/érzékeny hozzáféréseket kell passkey-re átállítani, és mindezt részletesen dokumentálni. A passkey csak az egyik réteg egy többlépcsős biztonsági stratégiában, amit ki kell egészíteni például eszköztitkosítással, képernyőzárral, folyamatos naplózással.
A fokozatos migráció elengedhetetlen: vegyes működési időszakban mindkét hitelesítési módot támogatni kell. Ilyenkor nő a komplexitás – külön szabályzatokra, naplózásra, támogatásra lehet szükség. Fontos a helyreállítási lehetőségek sokrétűsége: tartalék hitelesítési módok, helyreállító kódok, adminisztrátori beavatkozás.
Az ISO/IEC 27001 minden lépés dokumentálását várja el: a technikai részleteket, a szabályzatokat, a kockázatelemzéseket, a működtetési eljárásokat és a képzési anyagokat is.
Készen állsz a jelszómentes jövőre?
A hagyományos jelszóalapú autentikáció még működik, de a jövő nem neki dolgozik. Az MI-vel támogatott, jól dokumentált, passkey-alapú hitelesítési keretrendszerek ma már elérhető közelségbe hozzák a biztonságosabb, egyszerűbb vállalati működést. Aki most fektet az átállásba, az nemcsak a megfelelőséget, hanem a versenyelőnyt is hosszú távra biztosítja.
