Kombinált biztonsági megoldások: jelszó és hitelesítőkulcs együtt
Sokan még mindig bizalmatlanok az új megoldásokkal szemben. Az ideális belépési eljárás az, amikor egy adott szolgáltatáshoz külön jelszó és (többfaktoros) hitelesítőkulcs is szükséges. Maga a hitelesítőkulcs lényegében sebezhetetlennek számít közbeékelődő támadások (MITM – Man in the middle) ellen, viszont sokak számára visszatartó erő, hogy ha valaki megszerzi az eszközüket, hozzáférhet minden fiókjukhoz is. Ezért jó megoldásnak tűnik, ha a különböző szolgáltatásokhoz más-más jelszót használsz, és emellé hitelesítőkulcsot is megkövetelsz. Így, ha az eszközöd el is vész, legalább a kizárólag azon található titkos kulcsot ismerni és feloldani kell.
Milyen a valóban erős PIN?
Gyakori tévhit, hogy a PIN-kód csak négy számjegy lehet. Egy erős PIN röviden szólva hosszabb, bonyolultabb, több karakterből (vagy akár betűkből is) áll, és nagy az információs entrópiája, tehát nem egyszerűen észrevehető vagy kikövetkeztethető. Ha egy alkalmazás csak 4 számjegyű PIN-t enged, az hibás tervezés, ami csak a felhasználó kényelmét szolgálja, de a biztonság rovására megy. Egy Yubikey például PIN-nel is védhető, és ha valaki próbálkozik vele, 8 helytelen próbálkozás után magától használhatatlanná válik.
Mi is az a hitelesítőkulcs valójában? (Passkey)
A hitelesítőkulcs egy titkosítási kulcs, amit egy hardveres biztonsági modul tárol. Ez lehet például a telefon beépített Secure Element chipje, PC esetén a TPM (Trusted Platform Module) chip, vagy egy dedikált külső eszköz, például Yubikey. Ilyenkor, amikor hitelesíteni szeretnéd magad, az eszközöd titkosított választ küld egy kihívásra, de a valódi titkos kulcsot soha nem lehet kiolvasni a hardverből, csak használni lehet. A folyamatot mindig biometrikus hitelesítéssel (például ujjlenyomat), vagy helyileg megadott PIN-nel kell elindítani. Egy Yubikey-en akár 100 hitelesítőkulcs is tárolható, de a régebbi modelleken ez még csak 25 – itt csak egyszerre törölhetők.
Hitelesítőkulcsból több példányod is lehet egy fiókra (például vészhelyzeti tartalékként), azonban ezt nem minden oldal támogatja teljes körűen.
Hitelesítőkulcs vs. TOTP vs. jelszó – miben jobb?
Míg a TOTP (időalapú, egyszer használatos jelszó – Time-based One Time Password) klasszikusan biztonságosnak számít, valójában könnyen „phishingelhető”: egy csaló könnyen kicsalhatja tőled a kódot, és azonnal felhasználhatja máshol. A hitelesítőkulcs (Passkey – és minden FIDO-alapú megoldás) azonban a konkrét webhelyhez kötött: hiába hasonló a domain, a kulcs csak ott működik, ahova regisztráltad. Ez a technológia ugyanazt az elvet használja, mint az SSH-kulcsok vagy a bankkártyák: ha nincs nálad a kulcs, nincs belépés.
A jelszavak mindig hálózaton keresztül kerülnek a szerverre, ott el is lophatják őket, akár össze is kapcsolhatják más fiókjaiddal. Ezzel szemben a hitelesítőkulcs titkosítása helyben, az eszközödben történik, a kihívásra adott válasz pedig csak helyben, a személyes azonosítás után adható ki az eszközből. Ezért a jelszavak elavuló technológiának számítanak: előbb-utóbb minden gyakran használt jelszót ellophatnak.
Hogyan működik a hitelesítőkulcsos belépés a Facebookon?
Felhasználói szemmel nézve a hitelesítőkulcsos belépés éppolyan egyszerű, mint egy alkalmazás vagy telefon feloldása: beolvasod az ujjlenyomatodat, vagy beírod az egyedi PIN-kódot, és már bent is vagy. Külön jelszóra nincs szükség, a helyi hardveres hitelesítés megtörténik, a rendszer automatikusan igazolja, hogy te vagy a tulajdonos.
A Facebook esetében hamarosan, ahol kéri, egyszerűen be lehet lépni bármelyik regisztrált eszközről, PIN vagy biometrikus azonosító megadásával, és onnantól a fizetés vagy a Messenger is ugyanezt a hitelesítést használja. Ha extra biztonságot szeretnél, kombinálhatod saját jelszóval vagy akár több hitelesítőkulccsal is.
Miért jobb (és miért érdemes még várni)?
A hitelesítőkulcs nem csupán technológiai hóbort: a jelszómentesség jelentősen csökkenti a zárolási és adathalászati veszélyeket. Egyes szkeptikusok szerint még nem terjedt el eléggé ez a megoldás, több pénzintézet vagy szolgáltatás sem támogatja, főként a „nem prémium” ügyfelek számára. Ugyanakkor az adathalászat világában a Facebooknak ideje volt végre sorba állnia; remélhetőleg követik majd a magyar bankok és szolgáltatók is.
Addig marad a TOTP és a Yubikey – de egyértelmű, hogy a hitelesítőkulcsok korszakának küszöbén állunk. És legalább már Facebook-ozás közben is biztonságban lehet nézni az MI által generált szalonnás Jézus-mémeket.
