Mit tehet egy átlagos felhasználó akkor, ha még a legnagyobb közösségi oldal sem kezeli megfelelően a jelszavát?
Az elmúlt években több milliárd hitelesítési adat, azonosító és jelszó került nyilvánosságra, amelyből mintegy 6-7 millió adat magyar felhasználókhoz tartozott. A csalók és internetes bűnözők egyre gyakrabban élnek vissza ezekkel az adatokkal, több milliós károkat okozva ezzel cégeknek és felhasználóknak egyaránt. A helyzetet nehezíti, hogy manapság rengeteg, már-már megjegyezhetetlen mennyiségű jelszót kell alkalmaznunk, ezért sokszor egyszerűsítünk, és több felülethez is ugyanazt a belépőkódot használjuk – ezzel megkönnyítve az adattolvajok dolgát.
„Az elmúlt hetekben látott napvilágot a hír, miszerint a legnagyobb közösségi oldal dolgozói több millió felhasználó jelszavát láthatták nyílt szövegként, ami óriási hiba – mégsem lett belőle komolyabb felháborodás. Az eset jól példázza, hogy az internetes szolgáltatásokat nyújtó cégek esetében a felhasználók csak reménykedhetnek abban, hogy a vállalat, amelyre rábízták szinte az egész életüket, megfelelően védi személyes adataikat. Nagy csalódás azzal szembesülni, hogy még a milliárdokat kereső, és a világ legjobb szakembereit alkalmazó cégek is mennyire gyenge védelmi szintet képviselnek esetenként” – hangsúlyozza Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője.
A tufa (2FA), vagyis a két vagy több faktorú hitelesítés pont az ilyen esetek hatásait tudja mérsékelni. Ha egy cég nem jól építi ki az információvédelmi rendszereit, a jelszavakat ezután is el fogják lopni a hackerek, de a tufa tud segíteni, hogy ezekkel az adatokkal a támadók kevésbé tudjanak visszaélni.
De mi is az a 2FA?
A tufa (2FA) általánosságban egy második, jellemzően véletlenszám-generáláson alapuló, korlátozott élettartamú, egyszer használatos kód, amit az adott szolgáltatás eljuttat a felhasználóhoz abban az esetben, ha az az azonosítót és az első faktort, a jelszót helyesen megadta. A második faktor lehet egy SMS-ben küldött karaktersor, egy előre megadott listából egy egyszer használatos kód, lehet egy QR kód, vagy egy token (véletlenszám-generáló hardver eszköz vagy szoftver) által generált számsor. Közös tulajdonságuk, hogy egyedileg generálódnak, és ha a támadó el is lopja az azonosítónkat és az első faktornak megfelelő jelszavunkat, a második faktor hiányában nem fog tudni belépni a nevünkben az adott alkalmazásba.
Bár ez macerásabban hangzik még egy jelszószéfnél is,
mégis azt javasoljuk, hogy ahol lehet, térjünk át a tufára” – tanácsolja Solymos Ákos.
Ebben egy weboldal is segít, ahol szolgáltatástípusonként (bank, felhőszolgáltatók, játékok, oktatási oldalak, stb.) össze vannak gyűjtve, hogy egyes szolgáltatók milyen tufákkal érhetők el. A weboldal címe a https://twofactorauth.org/. Ezen kívül fontos, hogy erős és változatos jelszavakat használjunk, hogy ha valahonnan el is lopják, legalább abban lehessünk biztosak, hogy nem tudják máshol felhasználni.
