Tényleg kijátszhatatlan a kétfaktoros azonosítás?
Sajnos nem, a hekkereknek mindegyik formájára van trükkös válaszuk. De még így is ez a legbiztonságosabb adatvédelmi módszer, amely magasan veri a klasszikus jelszóvédelmet.
Volt idő, amikor a felhasználónév-jelszó páros is elegendő volt a biztonsághoz, de ma már a kiberbűnözők rendelkezésére álló eszközök ezt a megoldást feltörhetővé teszik. Napjainkban a kétfaktoros azonosítást (2FA) tekinthetjük a legjobb módszernek fiókunk megvédésére, legyen szó emailről, online vásárlásról vagy bankszámláról. Ez elvileg azt segíti, hogy ha bárki megszerzi valamilyen bejelentkezési adatunkat, azzal önmagában még nem tud bejutni sehová, mivel egy olyan második akcióra is szükség van, amely már nem jut el az illetéktelenhez.
A technika legelterjedtebb válfaját az SMS-ben elküldött, egyszer használatos belépési kódok (one-time pin, OTP) jelentik. Bár ezt a megoldást banki műveleteknél, online vásárlásoknál és közösségi hálózatokban egyaránt előszeretettel használják, nem tekinthető száz százalékig biztonságosnak, mert a hekkerek a mobilszolgáltató átverésével elérhetik, hogy az áldozat mobilja helyett az ő számukra küldjék a belépési kódot. A SIM-cserés trükk lényege, hogy a hekker a mobil tulajdonosának nevében felhívja a szolgáltatót, bejelenti, hogy elveszítette a telefonját, és új számot kér, így ezután a 2FA kódot ő fogja megkapni, legalábbis amíg a csalás ki nem derül, de ez az idő bőven elegendő lehet a számla lemerítésére.
Az SMS-nél megbízhatóbb az idő alapú egyszer használatos jelszó (time-based one-time passwords, TOTP), mert ilyenkor a kód nem SMS-ben jön, hanem magán a mobilon generálódik. A megoldás használatához speciális alkalmazásra van szükség (néhány lehetőség: Google Authenticator, Microsoft Authenticator, LastPass, 1Password, Yubico, Authy). Az androidosoknak azonban nagyon vigyázniuk kell, mert nyílt forráskódú operációs rendszerük megkönnyíti, hogy hekker olyan vírust telepítsen a mobilra, amely lemásolja és elküldi a bűnözőnek a belépési kódot. Az Apple iOS-e szabadalmazott operációs rendszer lévén megnehezíti az ilyne próbálkozásokat.
A biometrikus megoldások, például az ujjlenyomat-olvasók, retina- vagy írisz-szkennerek, arc- és hangfelismerők szintén hatékony kiegészítői lehetnek a 2FA-nak. Sajnos, ezeket is ki lehet játszani az ellenőrzést végző szoftver, vagy az adatokat tároló szerver meghekkelésével.
Vagyis nincs „tutibiztos” technika, de a 2FA még így is legjobb módszer a szilárd adatvédelemre. De ha valamilyen okból nem áll rendelkezésünkre, legalább a jelszavaink rendszeres cseréjéről gondoskodjunk – a semminél ez is több.
ComputerWorld.hu