IT-biztonsági szakemberként bosszantja, hogy a felhasználók rosszul használják jelszavaikat? Nem adnak meg elég összetett karaktersorozatot, nem cserélik rendszeresen őket, cetlikre írják vagy egyszerű szöveges állományokba emlékeztetőül. Sőt, egy ici-pici pszichológiai manipulációval (social engineering) szinte bárki bárkiből kiszedi ezeket az információkat.

Felhasználóként bosszantja, hogy már megint a jelszavakkal kell küzdeni? Feleslegesnek tűnik megjegyezni néhány bonyolultabb kódot, hát még minden egyes szolgáltatáshoz külön-külön egyet. Kis csavarnak érzi magát a gépezetben, akinek semmilyen fontos adata nincs, amit védenie kellene, a támadók – ha megszerzik is – semmire se mennének a jogosultságaival.

Nem az átlagembernek készült

Bármelyik oldalon állunk (akár mindkettőn egyszerre), kétségtelen, hogy évtizedek alatt sem tudtunk megbarátkozni a jelenleg leginkább elterjedt hitelesítési módszerrel. Körülményes? Igen. Biztonságos? Erről megoszlanak a vélemények.

Számos ok húzódik meg annak hátterében, hogy miért vált jelszóközpontúvá a felhasználóazonosítási és -hitelesítési eljárás. Nem csupán az, hogy pár évtizede még gyerekcipőben járt (és ennek megfelelően brutálisan drágán volt csak elérhető) a biometrikus azonosítás. A legnagyobb nehézséget minden bizonnyal az okozta, hogy az azonosítási feladat megoldását mérnöki fejjel igyekeztek megoldani, miközben a felhasználók döntő többségétől idegen ez a fajta matematikai látásmód.

A mérnökök általában nem közvetlenül emberekkel dolgoznak, miközben jogosultságkezelésre elsősorban humán irányból van szükség (bár az M2M kommunikáció miatt erősen feljövőben van a gépek/rendszerek közötti azonosítás témaköre, lásd keretes írásunkat). Nem véletlenül lett sikeres az Apple iPhone-ja: az okostelefon létrehozói a hétköznapi felhasználó fejével próbáltak gondolkodni. És itt nem csak szoftverergonómiáról van szó – olyan eszközt tudtak létrehozni, ami az emberi gondolkodásmódhoz és kényelemre törekvéshez igazodott.

Gyakran fel sem tűnik

Minden és mindenki adatokból áll, ez a kijelentés különösen igaz a 21. században. Többségünk azonban nincsen tisztában saját adaténje, adatteste védelmének fontosságával. Ha tetszik, ha nem, jelszavaink, személyes adataink, pénzügyi és orvosi információink tőlünk függetlenül léteznek egy számunkra láthatatlan hálózatban. Ez az a környezet, ahol meg kell(ene) saját magunkat és adatainkat védeni. Ennek felismerése a hatékony védelem kialakításához vezető út első lépése.

Sajnos ez tűnik a legnehezebbnek is. Kiszolgáltatottságunkat mi sem jelzi jobban, mint az adatszivárgási botrányok. Vegyük például az egyik legfrissebbet: a Capital One az idei év márciusa és áprilisa során lezajlott biztonsági incidenssel vállalati szinten csak július közepén szembesült. Azt követően vált világossá, hogy valami nincsen rendben a pénzügyi szervezet háza tájékán, hogy egy nyilvános GitHub oldalon olyan bizalmas információk kezdtek feltünedezni, melyeknek semmilyen körülmények között nem lett volna szabad kijutni a Capital One rendszeréből.

A támadás elkövetésével gyanúsított Paige Thompsont gyorsan kézre kerítették, mivel nem fektetett sok energiát nyomai eltüntetésébe. Ez azonban – a sok milliónyi amerikai felhasználót érintő – adatszivárgás tényén már nem változtatott. Mint utóbb kiderült, a hekkernek nem volt nehéz dolga: egy rosszul konfigurált Amazon szerver elég volt, hogy hozzáférjen azokhoz az információkhoz, amik aztán nyilvánosságra kerültek.

Közösségi tudás

Szerencsére már léteznek egyszerű lehetőségek arra, hogy nagy biztonsággal megállapíthassuk, kompromittálódtak-e személyes adataink. Az egyik, meglepően jól működő módszer a Have I been pwned szolgáltatás használata, melyet az ausztrál Troy Hunt hozott létre és üzemeltet. Az IT-biztonsági szakértő oldala körül kiépült egy mára már több milliós közösség, mely a résztvevők szerteágazó hátterének köszönhetően, a felhasználói észrevételek feldolgozásával igazolhatja egy-egy sikeres hekkelés megtörténtét.

E szomszédfigyelő módszerhez hasonló logikán alapuló szolgáltatással a legnagyobb adatszivárgásokról elsőként vagy az elsők között lehet értesülni. API-ja révén külső szolgáltatásokkal integrálható, így akár automatizáltan is ellenőrizhető a hekkelések bekövetkezte. Hogy miként kezeli a szakember a birtokába került rengeteg adatot, és mi a szolgáltatás célja és jövője, azt a budapesti ITBN konferenciára látogatók személyesen is meghallgathatják.

A biometrikus azonosítási lehetőségek fejlődésével és elérhetőbbé válásával azonban új fejezet kezdődhet az informatikában. Az már most látszik, hogy – szemben a jelszavak eddigi egyeduralmával – a jövő több, az adott helyzethez jobban illeszkedő rendszer egymás mellett élését hozza magával. Igaz, ezek zöme biometrián fog alapulni.