Kockázatos köztes szereplők
Sokan azt hiszik, hogy az SMS-ben érkező belépési kódot maga a szolgáltató – például az Amazon, a Google vagy a Meta – küldi. A valóságban azonban legtöbbször egy harmadik, ismeretlen cég kezeli ezeknek a kódoknak a továbbítását, és éppen ebben rejlik a veszély. Több nagy technológiai vállalat – köztük az Amazon, a Google és a Meta – kiszervezi ezt a feladatot, és ezek a köztes cégek gyakran nincsenek megfelelően ellenőrizve sem a szolgáltatók, sem a hatóságok által.
Bizonyos közvetítő cégek kapcsolatban állnak megfigyelőipari szereplőkkel vagy kormányzati szervekkel, ráadásul már bizonyított tény, hogy ily módon több adatlopás is történt: számos fiókból ezek révén szivárogtak ki érzékeny adatok. Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) is nyilvánosan figyelmeztetett: ne használj SMS-t második lépcsőként azonosításhoz! Ezek az üzenetek ugyanis nincsenek titkosítva, és egy tapasztalt támadó a mobilszolgáltató rendszerén keresztül könnyedén elolvashatja őket.
Ne csak jelszót használj, válassz erősebb védelmet!
Semmiképpen sem jó ötlet visszatérni a puszta jelszóhasználathoz. Érdemes inkább fejlettebb MFA-megoldást választani, vagy ha a rendszer támogatja, kihasználni a jelszó nélküli bejelentkezés lehetőségét.
Authenticator alkalmazás: az okos alternatíva
Szerencsére egyre több oldal kínál biztonságosabb megoldást: az authenticator alkalmazást. Ezeket letöltheted Android, iPhone, Windows vagy Mac eszközökre, sőt, rengeteg különböző, megbízható fejlesztőtől választhatsz (például Google Hitelesítő, Microsoft Authenticator vagy Authy). Az authenticator alkalmazás minden egyes fiókodhoz egyedi kódot generál, amely harminc másodpercenként cserélődik. Amikor be akarsz lépni valamelyik oldalra, csak belépsz az alkalmazásba, kimásolod a friss kódot, és máris hitelesített vagy. Az itt tárolt kódok soha nem utaznak az interneten, így el sem lehet őket csípni.
A jövő: Passkey, azaz jelszó nélküli belépés (Passkey)
Az authenticator alkalmazásnál is korszerűbb a jelszó nélküli, passkey-alapú belépés, amelyet például az Amazon, az Apple, a Google, a Meta, a Dell, a Microsoft, a Samsung és más nagy cégek fejlesztenek, a FIDO Szövetség (FIDO Alliance) vezetésével. Ilyenkor minden fiókodhoz egy-egy digitális kulcs tartozik, amelyet az eszközöd – például a mobilod vagy a laptopod – tárol, az oldal pedig a páros kulcsot kapja meg. Belépéskor csak akkor enged be a rendszer, ha a két kulcs megegyezik. Személyazonosságodat arcfelismeréssel vagy ujjlenyomattal igazolod – nincs többé jelszó, nincs kód, és nincs mit ellopni vagy kitalálni. Ha valaki meg is szerezné a digitális kulcsodat, a te arcod vagy ujjlenyomatod nélkül akkor sem tud vele semmit tenni. Ráadásul, ha elveszítenéd a készülékedet, az Apple vagy Google fiókodat használva néhány perc alatt visszaszerezheted minden passkey-edet.
A hátrány: egyelőre nem minden oldal támogatja a passkey-t, de napról napra egyre több helyen jelenik meg ez az opció. Ha még nem érhető el, akkor legalább az authenticator alkalmazást használd, és felejtsd el az SMS-es kódokat.
