Miért buknak el az egyszer használatos kódok?
A legtöbb szolgáltatás – legyen szó bankról, egészségbiztosítóról vagy akár e-mail-fiókról – ma már többfaktoros hitelesítést (MFA) használ, de nem minden módszer egyformán biztonságos. Az egyszer használatos kódok tipikusan SMS-ben vagy e-mailben érkeznek, gyakran azonban épp ezek a legsebezhetőbbek. Jellemző példa erre, hogy egyes egyetemi rendszerek támadói nemcsak a felhasználónév és jelszó megszerzésére, hanem az SMS-ben vagy e-mailben kapott ideiglenes kódok adathalászatára is képesek. Ezekkel a valódi belépési adatokkal sokkal egyszerűbb visszaélni, mint bonyolultabb biztonsági réseket keresni.
Az adathalászat kulcsszereplővé vált: a támadók hamis oldalakon csalják ki a felhasználótól nemcsak a jelszót, de az egyszer használatos kódot is. A Microsoft jelentése szerint az MFA minden verziója képes blokkolni a jogosulatlan hozzáférési kísérletek több mint 99 százalékát, de az adathalászatnak ellenálló módszerek hatékonysága ezek közül is kiemelkedik.
Passkey: az adathalászat-álló jövő
Az MFA három fő kategóriába sorolható: amit tudsz (jelszó), amivel rendelkezel (telefon, token), vagy ami vagy (biometria). A passkey, vagyis a jelszókulcs a harmadik generációs azonosítás mintapéldánya: két, kriptográfiailag összepárosított kulcsra épül. A nyilvános kulcs a szerveren, a titkos kulcs – amelyet ujjlenyomat, arcfelismerés vagy PIN hitelesít – a felhasználó eszközén marad.
Az olyan nagy nevek, mint az Amazon, a Google, a Microsoft, az Apple iCloud, a PayPal vagy a WhatsApp, már bevezették a passkey-t, amellyel teljes egészében kiválthatók a hagyományos jelszavak. Ide tartoznak a hardveres kulcsok, például a YubiKey is, amelyeknél csak a fizikai jelenlét teszi lehetővé a hitelesítést.
Jellemző példa, hogy a FIDO Alliance, amely 2012-ben indult az ágazati kompatibilitási gondok orvoslására, 2019-re kidolgozta a FIDO2 és a WebAuthn jelszómentes szabványokat, amelyek nyomán 2022 őszén az Apple már passkey-t vezetett be az iOS-, iPad- és Mac-eszközein.
A passkey-vel a megszokott megosztási modellek felborulnak: semmilyen közvetlenül megosztható titok nem marad a rendszerben, így az adathalászat hatékonyan kizárható. Ráadásul a FIDO2 titkos kulcs soha nem hagyja el az eszközt, így jelenleg nincs bizonyított mód a kulcs ellopására.
Villámgyors terjedés és üzleti sikerek
Ma már világszerte több mint 2 milliárd passkey van használatban, mindössze három évvel első széleskörű elérhetőségük után. Szakértői felmérések szerint a cégek 63 százaléka tervezi, hogy 2026-ig a passkey-be fekteti a legtöbb forrást a hitelesítési fejlesztései során. Azok közül, akik már bevezették, 85 százalékuk erős elégedettségről számolt be.
Négy vezető digitális céget vizsgáló elemzés szerint a passkey-vel a bejelentkezési sikerarány 30 százalékkal magasabb, a belépés pedig átlagosan 8,5 másodperc, szemben az OTP- vagy e-mailes módszerek 31 másodpercével. A gyorsabb és egyszerűbb bejutás nemcsak a kosárelhagyást csökkenti, hanem jelentősen mérsékli az ügyfélszolgálati igényeket is: egyes vállalatoknál akár 81 százalékkal kevesebb, bejelentkezéssel kapcsolatos panasz érkezik.
Ennek fényében jelentős költségmegtakarítás is elérhető, hiszen az SMS- és OTP-csalások teljesen eltűnhetnek, a támadások száma és a csalási veszteségek látványosan visszaesnek.
Használhatóság és kompromisszumok
Egyelőre azért nem mindenki tér át a passkey-re, mert használatuk gyakran az adott ökoszisztémához kötött eszközöket igényel (például iOS, Android vagy Windows), és mozgatásuk ezek között harmadik féltől származó megoldásokat kíván. A biztonság és a használhatóság között folyamatosan egyensúlyozni kell, különösen amikor ügyfelekről van szó: az egyszerű SMS- vagy e-mailes kódokat a legtöbben még mindig könnyebben fogadják el.
Az SMS- vagy e-mail-alapú, egyszer használatos kódok valóban kevésbé biztonságosak, de a felhasználók többsége számára érthetők és egyszerűek, ráadásul még mindig jóval védettebbek a sima jelszónál. Ezért gyakran nem a legbiztonságosabb megoldás érvényesül, hanem az, amit a felhasználók hajlandók és képesek használni.
Ennek fényében a passkey a biztonság és a hatékonyság új szabványává lépett elő, de igazi áttörést akkor hoz, ha egyszerűségében is egyenértékűvé válik a megszokott, de elavultabb hitelesítési megoldásokkal.
