Jó ideje téma, hogy a jelszó kevés a biztonsághoz, mert rendkívül sebezhető. Mire észrevesszük, hogy jelszavunk illetéktelen kézbe került, jó eséllyel már vissza is éltek vele. Most az azonosítási technológiák fejlesztésével foglalkozó Winfrasoft vette elő újra a sokszor átrágott témát.

"A jelszavak problémája, hogy nagyon gyengék, gyakran esnek hackerek áldozatává, ráadásul a felhasználók szemszögéből túl komplikált mondjuk 20, 30, 60 jelszó megjegyzése/kezelése" – összegezte a már közismert problémákat Steven Hope, a Winfrasoft igazgatója.

A biztonsági szakértők ugye azt sulykolják a felhasználónak, hogy akkor van biztonságban, ha minden accountjához más és más jelszót használ, a jelszónak meg olyannak kell lennie, hogy az lehetőleg ne emlékeztessen semmire, legyen benne kis- és nagybetű, szám, speciális karakter stb. De még ez sem elég! Rendszeresen kell cserélgetni a jelszavakat, nehogy valaki véletlenül kifigyelje. Csakhogy a végén már nincs ember, aki fejben tudná tartani ezeket a semmire nem emlékeztető karaktersorokat. Tehát feljegyzi őket, vagy minden egyes bejelentkezéskor a jelszóemlékeztető funkció segítségével új belépési adatokat kér az adott szolgáltatáshoz, alkalmazáshoz.

Az erős jelszó önmagában csak az életünket nehezíti

"Ma már a jelszavak egész egyszerűen nem működnek a mindennapi életben” – mondta Hope, aki azt is ennek tudja be, hogy még mindig az 123456 és a password a két leggyakrabban alkalmazott jelszó a világon.

A Winfrasoft módszere: véletlenszerűen megjelenő számokat kell egy rajzotatot követve összeolvasni

De tegyük fel, bevállaljuk a megfelelően erős és komplex jelszavakat. A biztonság akkor sem garantál. A kémprogramok bármilyen összetett jelszót képesek kiszivárogtatni, másrészt – és ez az igazi probléma – egyre gyakrabban maguk a jelszavakat tároló vállalatok, intézmények rendszerei válnak az adattolvajok áldozatává. Ilyenkor aztán milliószámra kerülnek illetéktelen kézbe a bizalmas adatok, köztük jelszavak vagy azok valamilyen eljárással kódolt változatai. Jól példázza ezt a Target kálváriája.

Vizuális elemek, egyszer használatos jelszavak, biometria

A biztonsági cégek alternatív hitelesítési megoldásokban látják a megoldást. Ezek ha nem is váltják ki teljesen a jelszavas hitelesítést, olyan módon egészítik ki, hogy a kockázatok végül elfogadható szintre csökkenjen. Egyesek a belépési adatok megjegyzését igyekeztek megkönnyíteni (például vizuális, grafikus eszközökkel), mások inkább a többfaktoros authentikációt preferálták.

A Winfrasoft speciel a vizuális eszközökre esküszik: egy 6×6 színes négyzetre osztott felületen teszi lehetővé az azonosítást. Ez a módszer egyszer használatos kódok generálására alkalmas: a négyzetekben véletlenszerűen jelennek meg számok, amit a felhasználó felhasználó egy általa kiválasztott rajzolatot követve rak sorrendbe, és ez a számsor lesz az egyszer használatos jelszó.

Aztán ott van a biometrikus azonosítás. Ennél elsősorban az ujjlenyomat egyediségére építő megoldások hódítanak. Az Apple iPhone-ba épített Touch ID technológia is ilyen. Jegyezzük meg gyorsan: a hamburgi Chaos Computer Club már megjelenése után pár nappal megfektette a védelmet, de azért az meglehetősen speciális körülmények között történt. Azaz a biometrikus azonosítás jelentősen képes növelni a biztonságot.

A Fujitsu tenyérrel azonosít

Az idei CeBIT-en a Fujitsu is bemutatott egy módszert: egy már ismert módszert, a tenyér erezetére épülő azonosítást fejlesztette tovább, és be is építette bele PalmSecure technológiájába. Szintén a CeBIT-en mutatkozott be a svájci KeyLemon arcfelismerésre épülő eljárása. Ezt a technológiát a Facebook is fejleszti). Ezzel viszont az a gond, hogy egyelőre nagyon gyakori a téves azonosítás. Azt a svájci cég is elismerte, hogy bár sokat javítottak ezen, még mindig túl gyakran kell figyelmeztetni a felhasználókat, hogy a sikeres azonosításhoz vegyék le a szemüvegüket, vagy keressenek jobb fényviszonyokat a bejelentkezéshez.

Steven Hope egyébként jó útnak tart bármit, ami alkalmas a jelszavas hitelesítések szerint kiegészítésére, és amelyek egy újabb biztonsági réteggel egészítik ki a folyamatot. Szerinte sem az ujjlenyomat, sem az arcfelismerés nem lesz elegendő soha önmagában, ám a jelszavak kiegészítéseként nagyon fontos szerepet kaphatnak.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}