Elterjedt vélekedés, hogy a biztonság terén az emberi tényező a gyenge láncszem. Sokat hallunk eszközeink sérülékenységeiről, arról, hogy patchelni, frissíteni kell a szoftvereinket hogy naprakész védelmet jelentsenek számunkra, azonban lehet a rendszerünk bármennyire is UpToDate, ha a külvilággal fennálló kapcsolata ingoványos alapokon nyugszik. Egy nyilvános, védtelen wifi hálózaton használt eszköz, képernyőzár nélküli mobiltelefon, jelszó nélküli laptop éppen olyan kiszolgáltatott, mint a kitalálható, számos helyen használt, gyenge jelszóval védett felhasználói fiók.
Az erős jelszavakat és a kétfaktoros hitelesítést korábban érintettük, azonban ki tud ezekből az erős jelszavakból több tízet, százat megjegyezni?
Emlékeztetőül néhány példa: TrOFre=$H?0AxIc, toDaMLcoDubacr4no, b-lDr6c+uph, b+ochekO_IHofod. Megjegyeznénk? Lehet hogy mégis az ember a gyenge láncszem? Anno, réges-régen az eszközhasználat tett minket hatékonnyá, kövessük hát a tradíciót!
Ha iratainkat szeretnénk biztonságban tudni, elhelyezzük azokat egy kellően erős védelemmel rendelkező széfben. Nem hagyjuk az asztalon, csomagtartóban, táskában kallódni mert illetéktelenek megismerik, nincs nálunk amikor kellene, lekávézzuk, megsérül, megsemmisül, eltűnik. Tegyük jelszavainkat is széfbe. Ha okvetlenül papíron, adathordozón tároljuk, és a széfhez kizárólagos hozzáféréssel rendelkezünk, akár a fizikai értelemben vett trezor is lehet részmegoldás, azonban a Password Managerek, azaz jelszószéfek – mint szoftverként elérhető szolgáltatások – jelentik a kényelmes biztonságot. Szerencsére számos szolgáltató verseng az ügyfelekért, így a lehetőségek tárháza meglehetősen széles: 1Password, KeePass, Dashlane, LastPass, Bitwarden – csak hogy néhányat említsek a felhozatalból. Az ingyenesen elérhető és fizetős alternatívák áttekintése után ki-ki saját igényei szerint választ és köteleződik el valamelyik jelszókezelő alkalmazás iránt, ami azután a mindennapjai szerves részévé válik.
Nem érdemes azonban elkapkodni a választást. A titkosítás minősége, az alkalmazás nyelve, az azonosítás módja, a jelszótárolás online vagy offline lehetősége, a támogatott operációs rendszerek és böngészők köre széles skálán mozog és szolgáltatásonként eltérő, ráadásul számos kiegészítő szolgáltatással is érdemes számolni, így például jelszógenerátor, bankkártya és lakcímadatok elmentése, automatikus jelszószinkron…
Fontosnak tartom felhívni a figyelmet, hogy a standalone, azaz önálló programmal szemben a böngészőben futó bővítmények sérülékenységével is érdemes számolni, valamint érdemes „nagynevű-jóhírű”, és zero-knwoledge architektúrára épülő jelszókezelőt választani.
A döntést regisztráció követi, aminek egyik legfontosabb lépése a valaha használt legerősebb, egyedi jelszó kitalálása, és valamilyen kéttényezős hitelesítés beiktatása. Ezt követően egy erős, de naponta használható, megjegyezhető ún. „mesterjelszó” megadása is szükséges. A nagy munka itt kezdődik: Meglátogatunk sorban minden valaha használt szolgáltatást, weboldalt ahová regisztrációval rendelkezünk, ott jelszógenerátor funkcióval vagy sok-sok fantáziával jelszót módosítunk a korábban megismert szempontok szerint, majd a – böngészőbe beépülő, mobil környezetben applikációként futó, vagy külön programként telepített, esetleg webes környezetben használt – jelszókezelőnkben elmentjük. Megadjuk az elérési utat (például: https://valamelyikszolgaltatas.hu/), eltároljuk a felhasználói nevünket és új, erős jelszavunkat, majd igény szerint további adatok, bejelentkezési adatok, helyreállítási kódok is elmenthetőek. Ezt a folyamatot véghezvisszük minden regisztrációnkkal, így a végén lesz egy jókora adatbázisunk minden szolgáltatásunkkal és jelszavunkkal. A böngészőben, mobileszközökön „megjegyzett”, tárolt jelszóadatbázisok törléséről se feledkezzünk meg. Nagy munka, de feltétlenül megéri rááldozni néhány órát.
Nem volna azonban kényelmes mindig bejelentkezni a jelszókezelő alkalmazásba hogy kipuskázzuk az aktuális jelszót. A szolgáltatások többsége képes beépülni a böngészőbe, vagy háttérben futni a mobileszközeinken, és az aktuális bejelentkezési felületet beazonosítva a mesterjelszó ismeretében, ujjnyomat, írisz, vagy arcazonosítás után a bejelentkezési név és jelszó mezőt automatikusan kitölteni a saját adatbázisából, immáron utat nyitva a bejelentkezésnek. Természetesen a bejelentkezési adatok között böngészve manuálisan is kezelhetjük az elmentett adatokat.
Ahogyan a fali trezor is feltörhető, úgy a jelszószéfek sem nyújtanak száz százalékos biztonságot, javaslom a használatukat kétfaktoros hitelesítéssel kiegészíteni.
Mindezek fölött van azonban egy újabb biztonsági réteg, ami ugyan még nem olcsó, azonban a rendszereink védelmének jövőjét illetően megkerülhetetlen. A hardver alapú azonosítást biztosító biztonsági kulcsok leginkább az erős, kétfaktoros azonosításban, egyfaktoros jelszó nélküli bejelentkezésben, valamint többfaktoros érintéssel és PIN kód megadásával történő azonosításban nyújtanak segítséget. Hazánkban legismertebb talán a Yubikey termékpalettája, amely kombinálja a hardver alapú hitelesítést és a nyilvános kulcsú titkosítást. A jelszómenedzsment szolgáltatás mellett, a lokális és VPN bejelentkezések, a tartalomkezelő rendszerek, és a legismertebb online szolgáltatások esetében biztosít biztonságos azonosítást különösen FIDO2, Yubico OTP, OATH HOTP, U2F, PIV és Open PGP protokollok, metódusok alkalmazásával.
Napjainkban nagyvállalati környezetben, fokozottan védett rendszerek esetében, közösségi oldalakat használó potenciális célpontok (celebek, művészek, politikusok) körében használt elsősorban a hardveres biztonsági kulcsok számos változata, az átlagfelhasználók kevésbé ismerik.
Lényegét tekintve – többnyire – egy USB-A, USB-C, vagy lightning porttal rendelkező, pendrive méretű eszköz, amely akár NFC-vel, akár fizikailag kapcsolódva a számítógépünkhöz vagy mobileszközünkhöz, emberi érintés hatására generál egy egyszer használatos jelszót (OTP), és azonosítja a birtokosát a bejelentkezés során. Ezesetben a második faktor szerepét az sms, e-mail, vagy hitelestő alkalmazás helyett a biztonsági kulcs tölti be, és végzi el a hitelesítést helyben.
A biztonsági kulccsal védett fiók esetében – hasonlóan a „2FA” bejelentkezés engedélyezéséhez – előzetesen engedélyezni kell a beállítások között a hardveres biztonsági kulcs használatát, és regisztrálni a birtokunkban lévő kulcsot. Érdemes az alternatív bejelentkezési módokat, a már beállított kéttényezős hitelesítést kikapcsolni, ezzel az eszköz megkerülésének lehetőségét kizárni. Ahol támogatott, érdemes következő biztonsági lépcsőként beiktatni a már meglévő védelem mögé az eszközt.
Szeretném hangsúlyozni, hogy a hardveres biztonsági kulcs egy valós birtokláson alapuló védelmi faktor, így annak elvesztése – néhány előzetes intézkedés adta kivételtől eltekintve – a felhasználói fiókból való végleges kizárásunkat jelentheti. Megfontolásra ajánlom két eszköz párhuzamos használatát, és a regisztrációk párhuzamos elvégzését a két eszközön, ugyanis a napi használatban lévő hardveres biztonsági kulcsunk elvesztése esetére még rendelkezésünkre állhat egy biztonságosan elzárt, otthon, trezorban tárolt második példány, mint végső biztosíték.
Az IT biztonság, és ezen belül a jelszóhigiénia hatalmas szakirodalommal rendelkező terület, minden összetevőjére, a ránk leselkedő veszélyekre, a sérülékenységekre, a folyton bővülő szolgáltatások mindegyikére kitérni lehetetlen vállalkozás volna, azonban az awareness, a biztonságtudatos gondolkodás alapjainak lefektetésére vállalkozva, azt hiszem az alapok a kezünkben vannak ahhoz, hogy az első lépéseket megtegyük az e-identitásunk védelme érdekében.
A témát értinő aktualitásokkal a későbbiekben is visszatérek, azonban az erős, egyedi jelszavak használata, az eszközeink védelme és szeparációja, a többfaktoros hitelesítés, a hitelesítő alkalmazások és jelszószéfek használata, a hardveres biztonsági kulcsok beszerzése, s legfőképpen az awareness beépítése a mindennapjainkba addig is teremt elfoglaltságot a biztonságra törekvő felhasználóknak. A kibertér meghódítását innen érdemes kezdeni.
A kezdeti lépések megtételében, a stabil alapok kialakításában személyes és online tanácsadás keretében nyújtok segítő kezet az érdeklődőknek. Ha úgy érzed, hogy ideje belevágni, keress bizalommal az alábbi gombra kattintva, és kövess facebook oldalamom:
…és végül egy kis érdekesség:
Az illusztráció elkészítésében a mesterséges intelligencia volt segítségemre.
A Midjourney AI bot-ja fantáziájának erdeményei a látható futurisztikus képek.
Ha hasznosnak találtad, ide kattintva megoszthatod ismerőseiddel a Facebookon!