A Microsoft nem cseréli le a jelszavas azonosítást, inkább megerősíti. A Microsoft Accountnál már működik, és hamarosan az Azure Active Directoryban is bevezetik, hogy a rendszer nem engedélyez gyenge jelszavakat, sőt egy második védelmi vonalat is felépítenek.

A jelszó kiirthatatlan

Bármennyire is igyekeznek az online szolgáltatók, hogy a felhasználóazonosításra a jelszónál biztonságosabb – ugyanakkor könnyebben kezelhető – módszert találjanak, egyelőre csak részsikereket értek el. A legtöbben a kétfaktoros azonosítással próbálkoznak, a pénzintézeteteknél például kötelező ilyent használni, de az elmúlt években a nagy közösségi oldalak és a felhős szolgáltatások is többségben ehhez a módszerhez nyúltak. Többek között az Apple, a Facebook, a Google és a Twitter már évekkel ezelőtt bevezette, bár nem kötelező jelleggel, hogy a bejelentkezéshez a jelszó mellé SMS-ben érkező egyszer használható azonosítót is meg kell adni.

Mindezek ellenére ma is a jelszó a leggyakoribb azonosítási mód, amivel persze számtalan probléma van. Mivel egy értelmetlen, kellően bonyolult, számot, speciális karaktereket és betűket is használó jelszót nehéz, ha nem lehetetlen megjegyezni, ilyent kevesen is használnak.

A felhasználó kényelmes, a szakember hiú

A SplashData idei toplistája is jól mutatta, hogy a felhasználók többsége fölösleges kényelmetlenségnek tartja az erős jelszót. A leggyakoribb jelszavak jó ideje az 123456... jellegűek, a password szó és a qwerty. De nézhetünk bármilyen biztonsági incidens, melynek során nagy tömegben kerültek ki jelszavak, hasonló sorrendet látunk a leggyakrabban előfordulók listáján. Ebből is látszik, hogy ha nincs kényszerítő erő, akkor a felhasználók a kényelmet választják a biztonsággal szemben. A felhős szolgáltatások általánossá válásával azonban az ilyen jelszavak már nem csak saját adataikat veszélyeztetik, hanem sok esetben másokét is, mivel támadási ponttá válnak.

Még aggasztóbb a Rapid7 egy közelmúltban publikált tanulmánya, amely a vállalati környezetben, pénzügyi folyamatokban használt RDP (Remote Desktop Protocol) szolgáltatásokhoz használt jelszavakat elemezte. Az RDP szolgáltatásokkal dolgozók esetében még tragikusabb a kép, mint a mezei felhasználóknál: a toplistát ugyanis az egykarakteres "x" és a kétkarakteres "Zz" vezette – ez utóbbinál még a kisbetű-nagybetű szabályra is ügyeltek...

Csak a szigor segít

A Microsoft – némileg arra a hírre is reagálva, mely szerint valaki az interneten 117 millió LinkedIn-felhasználó hozzáférési adatát (felhasználónév-jelszó) árusította – jelentette be, hogy új gyakorlatot vezet be az Azure Active Directory és a Microsoft Account esetében. Egyrészt szabályozza a jelszó erősségét oly módon, hogy meghatározza a minimális hosszúságot, a bonyolultságot, valamint előírja, hogy bizonyos időközönként cserélni kell a jelszót. Emellett persze ösztönzi is felhasználót arra, hogy válasszák a kétfaktoros (sms, mobil app stb.) azonosítást.

A módszer nem új, több olyan online szolgáltatás is van, amely formai követelmények segítségével próbálja korlátozni a gyenge jelszavakat. A Microsoft azonban a kritériumok meghatározásához egy dinamikus listát használ, amely az internetre kiszivárgó jelszavak folyamatos elemzéséből áll elő, és az alapján ellenőrizhető, hogy a felhasználó nem olyan jelszót választott-e, amely gyakori és könnyen visszafejthető. Ha a rendszer ilyennek ítéli a jelszót, a felhasználó hibaüzenetet kap, és újra kell próbálkoznia egy erősebb jelszóval.

A Microsoft ráadásul mögé tesz egy második védelmi vonalat is, az ún. Smart Password Lockout technológiát. A Smart Password Lockout feladata, hogy felismerje, ha a jelszavak feltörésével kísérleteznek. Ez a módszer sem újdonság, de a Microsoft szerint az ő technológiája nagy megbízhatósággal felismeri, hogy a próbálkozik, mert például elfelejtette a jelszavát, vagy épp hackerek dolgoznak a jelszó törésén.