Zsolt Balogh

Nem minden többfaktoros védelem egyforma

Nem minden többfaktoros védelem egyforma

Mit jelent a többfaktoros hitelesítés, és miért érdemes ma már FIDO2-ben gondolkodni?

Az elmúlt években a jelszavak önmagukban már nem jelentenek valódi védelmet.
Ezért terjedt el a többfaktoros hitelesítés — röviden MFA.

Sok szervezet megnyugszik, amikor bevezeti. Pedig a kérdés ma már nem az, hogy van-e MFA, hanem az, hogy milyen.

Mi az a többfaktoros hitelesítés?

A többfaktoros hitelesítés azt jelenti, hogy a belépéshez legalább két különböző dolog szükséges:

  • valami, amit tudunk (jelszó)
  • valami, ami nálunk van (telefon, kulcs)
  • valami, ami mi vagyunk (biometria)

A cél egyszerű: ha az egyik tényező kiszivárog, a másik még védjen.

Ez hatalmas előrelépés a csak jelszavas világhoz képest.
De nem minden megoldás ad ugyanolyan erős védelmet.

Az authentikátoros jóváhagyás rejtett problémája

Sok helyen ma is az a gyakorlat, hogy

  • beírjuk a jelszót
  • a telefonon megjelenik egy értesítés
  • rányomunk, hogy „jóváhagyás”

Ez kényelmes. És általában működik.

A gond az, hogy a támadók ehhez is alkalmazkodtak.
Ezt hívják MFA-fárasztásnak.

Mi az MFA-fárasztás?

A támadó megszerzi a jelszót, majd újra és újra belépést próbál.

A felhasználó telefonján sorra jelennek meg a jóváhagyási kérések.
Tízszer. Húszszor. Ötvenszer.

Egy ponton valaki reflexből rányom:

„Elfogadás.”

És ezzel a védelem megszűnik.

Miért nem elég ma már az authentikátoros MFA?

Az ilyen megoldások:

  • jóváhagyást kérnek, nem valódi azonosítást
  • távolról is kihasználhatók
  • a figyelemre építenek, nem a technológiára

Ezért egyre több helyen jelenik meg az igény erősebb, adathalászat-álló védelemre.

Itt jön képbe a FIDO2

A FIDO2 egy olyan hitelesítési szabvány,
amelynél a belépéshez nem elég egy kód vagy jóváhagyás.

Szükség van egy fizikai eszközre, például:

  • biztonsági kulcsra
  • számítógépbe épített hardveres azonosítóra
  • biometrikus eszközre, amely nem ad ki másolható adatot

A legfontosabb különbség: A FIDO2 nem engedi, hogy egy hamis oldalon belépjünk.

Ha a weboldal nem valódi, a kulcs egyszerűen nem működik.

Ez az, amit a jelszó és a kód
soha nem tud teljesen megvédeni.

Mit jelent ez civil szervezeteknek?

Nem mindenhol szükséges azonnal hardverkulcsokat bevezetni.
De vannak helyek, ahol már indokolt:

  • banki hozzáférések
  • e-mail rendszerek
  • felhőben tárolt adatok
  • adományozói információk

Itt egy sikeres belépés nemcsak adatvesztést, hanem pénzügyi és reputációs kárt is okozhat.

Hogyan érdemes elindulni?

Egy reális, lépésenkénti megközelítés:

1. MFA mindenhol, ahol lehet.
Ez még mindig óriási előrelépés.

2. Kritikus rendszereknél erősebb védelem.
Itt jelenik meg a FIDO2 szerepe.

3. Tudatosság a felhasználóknál.
Egy váratlan jóváhagyási kérés mindig gyanús.

Nem egyszerre kell mindent megoldani.
De fontos tudni, merre tart a világ.

Balogh Zsolt

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük