Biztonságba lenni pénzbe kerül: mit csináljunk a jelszavakkal?

2022. június 29. szerda, 09:00
A kétezres évek elején volt egy csomó olyan biztonsági jellegű bölcsesség, amelyek ma már nincsenek forgalomban. Tucatnyi olyan céges képzést ültünk végig, amelyeken az elképzelhető legnagyobb bűn a jelszavak leírása volt. Helyette egy megjegyezhető algoritmus - értsd: minden E betű helyett 3-at írok - szerint generált egyedi jelszavakat ajánlottak, amelyeket viszont megjegyez az ember. A mai napig vannak oldalak, ahová Arany balladák első pár szavai jelentik a kódot, igaz ezeket nem változtattam meg azóta sem. Aki képes ezeket feltörni, nyugodtan rendelhet a nevemben pizzát.

Twitter megosztás
Cikk nyomtatása

A jelszavakra vonatkozó előírásokat sokáig egy régi amerikai szabványügyi dokumentumból másolta mindenki. Innen származott, hogy legalább hat/nyolc karakteres, kisbetűt, nagybetűt, számot tartalmazó jelszó az ideális, amit aztán az ember háromhavonta változtat meg. Bill Burr, a NIST szabványügyi testület nyugdíjas biztonsági szakembere 2017-ben vallotta be, hogy ő tehet mindenről. 2003-ban, amikor egy NIST dokumentumot szerkesztett a jelszóbiztonságról, talált egy 1980-as évekből származó dokumentumot, amire nagyban támaszkodott.

A trükkösen átírt szavak, amelyekben az e-ket 3-asra cseréljük az o-kat pedig 0-nak, valójában nem biztonságosak. Négy egymás mögé írt rövid szó viszont elég hosszú kódot ahhoz, hogy egy időre kihívást jelentsen. Szóval a J3lsz0! helyett az IstenAlddMegAMagyart! is jobb kód.

Mit csinálunk, ha több eszközünk van?

A hosszú jelszavak ellensége sajnos maga az élet. Ha az ember naponta több eszközt használ, és ma már ez mindenkire igaz, akkor nem akar tucatnyi jelszóra emlékezni. Akkor sem, ha azok amúgy megjegyezhetőek. A fene se akarja, hogy amikor a mobilján pizzát rendel, akkor korábban találomra kiválasztott szavakra kelljen emlékeznie vagy jelszót nullázzon mindig, amikor kidobja az app.

A megoldás többrétű. Egyrészt a plaformcégek - azaz a Google, Apple - kínálnak egyfajta megoldást. A Chrome böngészőben elmentett jelszavak gond nélkül át tudnak kerülni egy Android operációs rendszert futtató telefonra. Az Apple saját platformján belül a Keychain gondoskodik ugyanerről, csak ahhoz az ökoszisztémán belül kell maradni, úgy üzemel igazán kényelmesen.

Fizetnék is, csak működjön

Külső szolgáltatások is léteznek arra, hogy a jelszavak szinkronizációját megoldják. A 1Password egy ismert szolgáltatás erre a célra, de a LastPassnak is sok előfizetője van. Mindkét cég saját alkalmazásának a feltelepítését kéri a felhasználótól, illetve előfizetési díjat. Az 1Password esetében személyes fiókért 1,5 dollárt kérnek, az öt felhasználót tartalmazó családi csomag ára pedig 2,5 dollár. A LastPass belépő kategóriája ingyenes, de ebben a szinkronizáció nincs benne. A prémium szolgáltatás ára közel 3 euró, a családi pedig durván négy euróba kerül.

Ezért a pénzért jellemzően az összes létező plaformra (Android, iOS, Mac, Windows és ChromeOS) kiadott alkalmazás is jár. Illetve többfaktoros azonosítás és a kicsit rejtélyesen hangzó darkweb monitorozás az 1Password esetében. Ez utóbbi azt jelenti, hogy ha feltűnik a felhasználónév-jelszó párosunk egy olyan, a darkweben eladott adatbázisban, amit meg lehet venni, a szolgáltatónk szól, hogy időszerű lenne megváltoztatni ezt a jelszót minden szolgáltatásban.

A fentihez hasonló szolgáltatást nyújt a HaveIBeenPwned.com sőt a Firefox beépített Lockwise nevű jelszótárolója is. De mindkettőre a felhasználónak kell rá-ránéznie, hogy értesüljön az esetleges adatszivárgásokról. Havi pár dollárért a plusz biztonság nem tűnik rossz ajánlatnak.

Maximális biztonság

A kényelem-biztonság skálán elég magasan lévő megoldás is létezik, ezeket hívják tokeneknek. A szó nem összekeverendő a kriptovalutás körökben emlegetett tokenekkel, mi most olyan fizikai azonosító eszközökről beszélünk, amelyek a felhasználónévtől és a jelszótól függetlenül képesek az azonosításunkra.

A legegyszerűbb ezek közül az emailben vagy smsben érkező kód. Emellett szól az egyszerűség, mindenki tudja, hogyan lehet elolvasni egy smst és kimásolni belőle egy rövid számsort. Hátránya, hogy a telekommunikációs szolgáltató ügyfélszolgálati hibáit kihasználó, úgynevezett "sim swap" támadások ellen nem véd. Azaz, ha egy célzott támadás során a támadók el tudják hitetni az ügyfélszolgálattal, hogy épp a fürdőkádba ejtettük a mobilunkat és szükségünk lenne egy új SIM-re, és ezt a nullázást távolról hajtsák végre, akkor a támadó gyorsan hozzájut az ellenőrzéshez a második azonosítási lépcső felett is. Ezek a támadások jellemzően az Egyesült Államokban voltak népszerűek, de akad rájuk magyar példa is.

Középutas megoldás a mobilon futó kódgenerátor alkalmazás. Ez lehet például a bank saját mobilbanki appja vagy a Google Authenticator (Hitelesítő) nevű kódgenerátor is. Ezek közös pontja, hogy egy, a telefonon futó, de a mobilszámtól független app készítse el a kódot, ami belépni enged a megfelelő szolgáltatásokba.

Végül pedig van egy harmadik út, a fizikai tokenek. Ez lehet olyan elemről működő eszköz, ami egyszerűen csak fél-egy percen belül lejáró kódokat generál. Régebben a CIB Bank adott ilyen eszközöket, de aztán átálltak a mobilbanki app által generált kódokra. Nagyvállalati környezetben még lehet találkozni fizikai tokenekkel. A hétköznapi felhasználók pedig vásárolhatnak olyan USB-s eszközöket (például Yubikey), amelyek az ilyeneket támogató oldalakon második azonosítási lépésként működhetnek. Ezek esetében komoly problémát jelent, hogy a szolgáltatók jelentős része - például a magyar bankszektor - nem támogatja az USB-s tokeneket, mert elenyészően kevés ügyfél követeli meg ezeket.

A legolcsóbb Yubikey is 12-20 ezer forintba kerül, azaz legalább egy évnyi 1Password vagy LastPass előfizetés árát kell kifizetni csupán azért, hogy pár oldalba/számítógépbe biztonságosan be tudjunk lépni.

______
Forrás:
https://index.hu/tech/2017/08/09/bocsanatot_kert_az_ember_aki_felelos_a_megjegyezhetetlen_jelszavakert
https://www.nbcnews.com/tech/security/forget-everything-you-know-about-passwords-says-man-who-made-n790711
https://hvg.hu/tudomany/20180728_google_titan_security_key_jelszo_biztonsag_fizikai_azonositas