Berta Sándor
Hiába minden, a jelszavak velünk maradnak
Az egyszerű használhatóság felülírja a biztonságot, és a lustaság ellen lehetetlen harcolni.
Már egy jól megjegyezhető, de nehezen feltörhető jelszó kitalálása is komoly feladat. Az pedig végképp az, hogy minden platformra legyen ilyen jelszó. A Ponemon Intézet munkatársai amerikai, német, francia és brit felhasználókat kérdeztek meg, s több mint az 50 százalékuk azt nyilatkozta, hogy ugyanazt a jelszót átlagosan öt fiókhoz használják. A válaszolok körülbelül kétharmada ráadásul megosztotta a jelszavait a kollégáival is. Joggal merül fel, hogy miért nem használnak az emberek alternatív megoldásokat.
A World Wide Web Consortium (W3C) harcot indított a jelszavak ellen. A megoldás a Web Authentication (WebAuthn) nevű új internetes protokoll lehet, amelynél a biztonságos beléptetéshez nincs többé szükség jelszavak használatára a honlapokon. Ehelyett az emberek az okostelefonjuk vagy egy kód segítségével azonosíthatják magukat. A Chrome, a Firefox és az Edge böngészők már támogatják a Web Authenticationt, miként a Safari fejlesztői verziójában tesztelik azt. Ugyanakkor számos kritika érte az alkalmazott elavult titkosítási eljárást. Biztonsági szakértők úgy vélték, hogy kockázatos a jelszómentes bejelentkezés használata.
Frank Kargl, az Ulmi Egyetem professzora szerint a technika kényelmesen használható és ez így jó, mert minden, ami bosszantja a felhasználókat, oda vezet, hogy a jelszavak csak rosszabbak lesznek. De a kényelemnek vannak árnyoldalai is: amennyiben az olyan szolgáltatók, mint a Google vagy a Facebook átvennék az összes honlap esetében a bejelentkezést, akkor az adatvédelmi problémákat hozna magával.
A WebAuthn szabvány kiválthatja az arcfelismerést az okostelefonokon, az ujjlenyomatos azonosítást a notebookokon és a vénaszkenneres ajtónyitást. Ugyan az ember ujjlenyomata vagy arca mindig vele van, de a biometriás jelszavak két kockázatot is magukban hordoznak. Először is az ujjlenyomatokat, a vénamintákat és az arcokat lehet hamisítani, másodszor a minták nem változtathatók meg. Az ujjak száma korlátozott és az embernek csak egy arca van, így ha valakinek megszerzik a hackerek az ujjlenyomat-mintáját, akkor ezek az adatok a továbbiakban használhatatlanok.
Wenyao Xu, a New York-i Egyetem munkatársa és a kollégái ezért egy másik módszert dolgoztak ki: ők az agylenyomatot alkalmazzák. Mérik, hogy a felhasználók miként reagálnak a megmutatott képekre és szövegekre. Miután minden egyes elme más hullámokat generál, ezért az agyi jelszó egyedi, ráadásul könnyen meg is változtatható, hiszen elég csak feljegyezni, hogy az agy miként reagált egy másik képsorra. További előnyt jelent, hogy az eljárás öntudatlanul történik, így egyetlen támadó sem tudja utánozni. Ezt azt jelenti, hogy a csalóknak ki kellene olvasniuk az adatokat az egészségügyi jelentésekből. Az egyetlen hátrány, hogy az agyhullámokat legalább egy alkalommal mérni kell és ez csak akkor működik, ha elektródákat helyeznek el a felhasználó fején. Ehhez vagy egy virtuális valóság szemüvegre vagy egy különleges sapkára van szükség. A körülményes mérési technika ellenére a Google már érdeklődött a módszer iránt.
Frank Kargl úgy vélte, hogy nem lehet számítani arra, hogy a jelszavak gyorsan eltűnnek, sőt, azokat a közeljövőben sem lehet majd könnyen kiváltani. A folyamat sok évig eltarthat. Jelenleg a legbiztonságosabb módszer egy jelszókezelő menedzser használata, így ugyanis akár nagyon bonyolult jelszavakat is lehet alkalmazni anélkül, hogy mindegyiket meg kellene jegyezni.
Már egy jól megjegyezhető, de nehezen feltörhető jelszó kitalálása is komoly feladat. Az pedig végképp az, hogy minden platformra legyen ilyen jelszó. A Ponemon Intézet munkatársai amerikai, német, francia és brit felhasználókat kérdeztek meg, s több mint az 50 százalékuk azt nyilatkozta, hogy ugyanazt a jelszót átlagosan öt fiókhoz használják. A válaszolok körülbelül kétharmada ráadásul megosztotta a jelszavait a kollégáival is. Joggal merül fel, hogy miért nem használnak az emberek alternatív megoldásokat.
A World Wide Web Consortium (W3C) harcot indított a jelszavak ellen. A megoldás a Web Authentication (WebAuthn) nevű új internetes protokoll lehet, amelynél a biztonságos beléptetéshez nincs többé szükség jelszavak használatára a honlapokon. Ehelyett az emberek az okostelefonjuk vagy egy kód segítségével azonosíthatják magukat. A Chrome, a Firefox és az Edge böngészők már támogatják a Web Authenticationt, miként a Safari fejlesztői verziójában tesztelik azt. Ugyanakkor számos kritika érte az alkalmazott elavult titkosítási eljárást. Biztonsági szakértők úgy vélték, hogy kockázatos a jelszómentes bejelentkezés használata.
Frank Kargl, az Ulmi Egyetem professzora szerint a technika kényelmesen használható és ez így jó, mert minden, ami bosszantja a felhasználókat, oda vezet, hogy a jelszavak csak rosszabbak lesznek. De a kényelemnek vannak árnyoldalai is: amennyiben az olyan szolgáltatók, mint a Google vagy a Facebook átvennék az összes honlap esetében a bejelentkezést, akkor az adatvédelmi problémákat hozna magával.
A WebAuthn szabvány kiválthatja az arcfelismerést az okostelefonokon, az ujjlenyomatos azonosítást a notebookokon és a vénaszkenneres ajtónyitást. Ugyan az ember ujjlenyomata vagy arca mindig vele van, de a biometriás jelszavak két kockázatot is magukban hordoznak. Először is az ujjlenyomatokat, a vénamintákat és az arcokat lehet hamisítani, másodszor a minták nem változtathatók meg. Az ujjak száma korlátozott és az embernek csak egy arca van, így ha valakinek megszerzik a hackerek az ujjlenyomat-mintáját, akkor ezek az adatok a továbbiakban használhatatlanok.
Wenyao Xu, a New York-i Egyetem munkatársa és a kollégái ezért egy másik módszert dolgoztak ki: ők az agylenyomatot alkalmazzák. Mérik, hogy a felhasználók miként reagálnak a megmutatott képekre és szövegekre. Miután minden egyes elme más hullámokat generál, ezért az agyi jelszó egyedi, ráadásul könnyen meg is változtatható, hiszen elég csak feljegyezni, hogy az agy miként reagált egy másik képsorra. További előnyt jelent, hogy az eljárás öntudatlanul történik, így egyetlen támadó sem tudja utánozni. Ezt azt jelenti, hogy a csalóknak ki kellene olvasniuk az adatokat az egészségügyi jelentésekből. Az egyetlen hátrány, hogy az agyhullámokat legalább egy alkalommal mérni kell és ez csak akkor működik, ha elektródákat helyeznek el a felhasználó fején. Ehhez vagy egy virtuális valóság szemüvegre vagy egy különleges sapkára van szükség. A körülményes mérési technika ellenére a Google már érdeklődött a módszer iránt.
Frank Kargl úgy vélte, hogy nem lehet számítani arra, hogy a jelszavak gyorsan eltűnnek, sőt, azokat a közeljövőben sem lehet majd könnyen kiváltani. A folyamat sok évig eltarthat. Jelenleg a legbiztonságosabb módszer egy jelszókezelő menedzser használata, így ugyanis akár nagyon bonyolult jelszavakat is lehet alkalmazni anélkül, hogy mindegyiket meg kellene jegyezni.