Alighanem a "Ki vagy te?" az egyik leggyakoribb kérdés ma az interneten. Igazolni kell magunkat, ha le akarjuk tölteni leveleinket, ha be akarunk lépni kedvenc közösségi hálózatunkba, ha meg akarjuk nyitni a felhőben tárolt dokumentumokat vagy csak egyszerűen használni a Windowst. Persze nem volt ez mindig így, de ahogy a számítástechnika egyre jobban átszövi mindennapjainkat, és az ilyen rendszerek biztonsága kiemelt fontosságúvá válik, úgy lesz egyre nagyobb a jelentősége annak is, hogy miként tudjuk hitelt érdemlően azonosítani magunkat. A felhasználók személyének beazonosítása a rendszerek biztonságának egyik alapvető feltétele: az adatok és a kommunikáció védelme mellett a legfontosabb komponens, amellyel ez biztosítható, és ha nem működik kellően jól, akkor a másik kettő sem ér semmit, hiszen ha nem tudjuk, éppen ki ül a monitor előtt, nyugodtan betekintést engedhetünk neki bármilyen kényes adatba vagy információáramba.
Jelszóval kezdődött
A legegyszerűbb, egyben legkevésbé biztonságos azonosítási eljárással már mindenki találkozott: ez a jelszavas módszer, amellyel egy - elvileg - csak általunk ismert titkos adat segítségével győzzük meg a rendszert arról, hogy valóban azok vagyunk, akiknek mondjuk magunkat. Ez lehet a klasszikus értelemben vett jelszó is, de az idők folyamán a cégek más eljárásokat is kidolgoztak azért, hogy kényelmesebbé és/vagy biztonságosabbá tegyék a megoldást.
Azt, hogy mi az előnye és a hátránya a jelszavas védelemnek, valószínűleg untig ismeri már mindenki: miközben implementálása rendkívül egyszerű, hatékonysága nagyban függ a felhasználótól, aki lehet, hogy több helyen is használja majd ugyanazt a kódot, vagy éppen türelmetlenségében az "123456", "jelszó" és az ezekhez hasonló kulcsszavakat alkalmazza.
Utóbbi ellen persze lehet védekezni, például előre gyártott szabályokkal és szótárakkal, amelyek csak bizonyos paramétereknek megfelelő jelszót engednek át, de a kijelző szélére ragasztott Post-it-cetlik vagy éppen a keyloggerek ellen ezek nem védenek.
Annak érdekében, hogy a felhasználóknak könnyebb dolguk legyen, számos különböző, a klasszikus értelemben vett jelszavakat nélkülöző módszer született már. A mobiltelefonokról lehet ismerős például a mintaalapú feloldás (a képernyőn megjelenő pontokat kell összekötni) vagy ennek például a Windows által preferált változata: egy tetszőleges, általunk választott fénykép bizonyos pontjaira kell rábökni, és az így nyert minta adja ki magát a jelszót. Szintén a Windowst használókat nyaggatja egy ideje a Microsoft a PIN-kóddal, ami elvileg arra hivatott, hogy egy egyszerűbb, könnyebben megjegyezhető jelszóra cseréljük le a több helyen használt, bonyolultabb, ezért kényelmetlen kódot. A trükk itt az, hogy ez a PIN-kód minden gépen különböző lehet akkor is, ha azok ugyanazt a Microsoft-fiókot használják. Így egyrészt nem kell ez utóbbit a szükségesnél többször begépelni, kitéve magunkat a keyloggerek és a leselkedő kíváncsi tekintetetek jelentette veszélynek, másrészt kevésbé érzünk késztetést arra, hogy kényelmi célok miatt kompromittáljuk az egész fiók biztonságát.
Széfbe velük
Régóta köztudottak a jelszavas megoldás problémái, elterjedtsége és egyszerű használata miatt azonban eltűnésére nem kell számítanunk. A leggyakrabban felhánytorgatott gyenge pontok megerősítésére viszont megszületett egy külön termék, az úgynevezett jelszószéf, amelyből ma már a népszerűbb böngészők (Google Chrome, Mozilla Firefox, Microsoft Edge stb.) is tartalmaznak egyszerűbb változatokat. Mint a névből is látszik, a jelszószéf fő feladata, hogy jelszavainkat egy nagyon biztonságos adatbázisban tárolja, amelyhez csak egy központi kulcs, az úgynevezett mesterjelszó segítségével lehet hozzáférni. Mivel a felhasználónak elég csak ezt az egyetlen jelszót megtanulnia, így ez lehet tényleg egyedi, hosszú és bonyolult, tehát mindaz teljesülhet, amitől egy ilyen rendszer biztonságossá válik. A széfben tárolt jelszavak pedig azért lehetnek egyediek és bonyolultak, mert nem szükséges megjegyeznünk őket, a program elintézi ezt helyettünk, sőt sok esetben még a weboldalakon megjelenő mezők kitöltését is átvállalja.
Ki vagyok én?
A jelszó egy olyan információ, amit jó esetben csak mi ismerünk, ezért alkalmas azonosításunkra. Ez azonban nem az egyetlen módszer: találhatunk olyan adatokat is, amelyek szintén csak bennünket jellemeznek. Ezek jó része valamilyen biológiai jellemző, például ujjlenyomat, retina-érhálózat és így tovább - ezeket hívjuk összefoglaló néven biometrikus azonosítóknak. A biometrikus azonosítás előnyei már első ránézésre nyilvánvalóak: nem kell jelszavakkal pepecselni, nincs mit lehallgatni, a feltörési próbálkozásoknál pedig nem igazán működik az adathalászat és a hozzá hasonló, social engineering alapú trükkök.
Ha biometrikus azonosításról van szó, a legtöbben az ujjlenyomatra gondolnak, és nem véletlenül, ujjlenyomat-olvasót ugyanis évtizedek óta alkalmaznak az üzleti notebookok gyártói. Igazán népszerűvé azonban az okostelefonokkal és a hozzájuk kifejlesztett, megbízható, gyors szenzorokkal vált csak. Míg korábban egy kis csíkon kellett lassan végighúzni ujjbegyünket, majd várakozni az azonosításra, ma elég egy érintés ehhez. A szenzort gyakran a bekapcsológomb rejti, így a számítógép elindításakor rögtön azonosítjuk is magunkat, és a rendszer a Windowsba történő beléptetést is elintézi.
Az ujjlenyomat tehát gyors és jól használható, ráadásul feltörése is nehézkes. Bár időről időre felröppennek hírek, hogy miként verték át az ujjlenyomat-olvasót, ezek a próbálkozások általában komoly előkészületet igényelnek, nem lehet csak úgy a hátunk mögött állva elkészíteni egy jól működő műujjat.
Az okostelefonoknak köszönhetően terjedőben lévő és a notebookok körében is sokat használt másik biometrikus azonosítás az arcfelismerés. Ennek első változatai még inkább csak szórakoztatóak voltak, megbízhatóságuk és biztonságuk elég gyengének bizonyult, hiszen akár még egy jól elkészített fotóval is át lehetett vágni őket. Mára viszont az egyszerű webkamerák helyett térbeli képet készítő, hőérzékelős kamerarendszerek kerülnek az ilyen rendszert használó eszközökbe, amelyek valójában egy háromdimenziós felvételt készítenek fejünkről, és ez alapján döntik el, hogy beengednek-e. Sebességük és megbízhatóságuk kiváló, átverni is nehéz őket - a kötelező maszkviselés azonban kifoghat rajtuk, bár a legújabbak még ezt az akadályt is sikeresen veszik.
Ugyan a Windows Hello rendszere csak ezt a két, már említett biometrikus azonosítót támogatja, a számítástechnikában még három további technológia nevezhető viszonylag elterjedtnek: az írisz mintázatával, illetve a retina vagy a tenyér érhálózatával dolgozók. Használatuk semmiben sem különbözik a népszerűbb testvéreikétől, azt leszámítva, hogy néhány notebookot kivéve külön érzékelők csatlakoztatásával kell számolnunk.
Ezek a technológiák bonyolultabb szenzort igényelnek, cserébe viszont van egy óriási előnyük az ujjlenyomat-olvasókkal szemben, mégpedig az, hogy fizikai érintkezés nélkül is működnek, miközben még nagyobb biztonságot nyújtanak (szinte átverhetetlenek).
A retinaszkennert ráadásul a maszkviselés sem zavarja, sőt szemüvegen keresztül is működik.
A második faktor
Ha azonosításról van szó, napjaink hívószava a többfaktoros azonosítás. Nincs másról szó, mint arról, hogy még legalább egy elem bevonásával megnöveljük a biztonságot. Tipikus példája ennek a banki tranzakcióknál használt, SMS-ben vagy alkalmazáson keresztül érkező ellenőrzőkód. Ez a kétfaktoros (2FA) módszer tehát először is megkövetel egy jelszót vagy biometrikus azonosítót, másrészt egy olyan kódot, amely egy korábban a sajátunkként hitelesített eszközhöz köthető.
A kétfaktoros azonosítás egyébként sokkal elterjedtebb annál, mint gondolnánk, ugyanis az említett és kötelezővé tett banki hitelesítésen túl is számtalan más helyen szerepel bekapcsolható szolgáltatásként. Ilyen például a Google-fiók (Gmail és társaik), egy sor nagyobb online bolt vagy akár az egyik legnépszerűbb jelszószéf, a Lastpass. Az a legegyszerűbb, ha valamelyik mobiltelefonra letölthető alkalmazást használod időalapú kódok (Time-based One-time Password, TOTP) előállítására. Ez lehet a Google Hitelesítő, a Microsoft Authenticator vagy a LastPass Authenticator. A kétfaktoros azonosítást először az adott szolgáltatás biztonsági beállításai között kell engedélyezned - a Google esetében ezt a myaccount.google.com/security oldalon a Kétlépcsős azonosítás-csúszkával teheted meg. Miután bekapcsoltad, több "második faktor" közül is választhatsz az SMS-től a hardveres kulcsig. Ha hitelesítő alkalmazást választasz, indítsd el telefonodon a programot, és kövesd a PC képernyőjén megjelenő utasításokat, hogy összeköthesd a kettőt.
A telefonra érkező kódok egy alternatívája lehet valamilyen hardverkulcs használata, amiből talán a legismertebbek a Google, az NXP és a Yubico által kidolgozott U2F (Universal 2nd Factor) nyílt szabványnak megfelelő USB-s és/vagy NFC-s kis hitelesítőeszközök. Ezeket elég csak bedugni a számítógép szabad USB-portjába vagy hozzáérinteni a telefon NFC-antennájához, és azok elvégzik a szükséges azonosítást. Ennek a módszernek az előnye, hogy - szemben a mobilon futó alkalmazással vagy az oda érkező SMS-sel - az okostelefonra kerülő kártevők ellen is védett.
Saját jelszószéf ingyen: így használd a KeePasst!
1. A KeePass telepítése és beállítása
A KeePasst ingyen letöltheted a keepass.info oldalról, ahol megtalálod a legfrissebb verziót. Telepítése egyszerű, a szokásos varázsló segít benne. A letöltési oldalon a Translations link alatt találsz hozzá magyar nyelvű fordítást is egy ZIP-fájl formájában. A legegyszerűbb, ha ezt a program telepítési mappájában a Languages-könyvtárba csomagolod ki, majd a View/Change language-menüben aktiválod.
2. Saját jelszószéf létrehozása
Indítsd el a programot, és kattints a bal szélső Új-ikonra. A varázsló lépéseit követve hozz létre egy új adatbázist a jelszavaidnak. Válassz kellően erős mesterjelszót - mivel ez védi az összes többit, semmiképp se spórolj, legyenek benne kis- és nagybetűk, számok, speciális karakterek és így tovább. A KeePass jelzi, ha nem elég erőset választottál. A Haladó beállításokban kulcsfájlt is beállíthatsz, illetve összekötheted a jelszószéfet Windows-fiókoddal.
3. Jelszószéf használata
A megnyitott jelszószéf mappái között úgy navigálhatsz, mint az Intézőben. Új bejegyzést a Ctrl+I gombokkal tudsz a legegyszerűbben létrehozni, a megjelenő ablakban pedig minden fontos információt megadhatsz. Az Automatikus előzmény-fülön még az automatikus kitöltés egy egyszerűsített változatát is bekapcsolhatod, ha pedig biztonságos jelszót szeretnél generálni, a Bejegyzés-fülön az Ismét-mező melletti ikonra kattintva tudod ezt megtenni.
Ha szívesen olvasnál további érdekes cikkeket és örülnél ajándék teljes verziós programoknak, biztonsági szoftvereknek és egy PC-játéknak, akkor szerezd be a 2021/03-as PC World magazint!
