Berta Sándor

Fizikai kulcs válthatja ki a jelszavakat

Az eszköz nélkül nincs hozzáférés a védett készülékekhez, a kulcsra viszont vigyáznia kell a tulajdonosnak.

A bankoknál és komolyabb nagyvállalati szoftvereknél ma is általános a hardverkulcs használata, de egy cég mindenféle szolgáltatásnál általánossá tenné. A Yubico nevű cég által kifejlesztett YubiKey hardveres hitelesítő eszköz kiváltja és egyúttal elavulttá teszi a jelszavakat. A kis megoldást általában kulcstartón hordják és klasszikus kulcsként használják, anélkül az illetéktelenek nem férhetnek hozzá adatainkhoz. USB interfészen keresztül köthető össze a számítógéppel, okostelefonnal vagy tablettel pedig NFC-n keresztül kapcsolódik.

A jelszavakat szinte minden hackertámadás során ellopják és visszaélnek azokkal. Még az olyan továbbfejlesztett, kétlépcsős módszerek is sebezhetők, mint a biztonsági kód SMS-ben vagy alkalmazáson keresztül való elküldése. A biztonsági szakértők évek óta dolgoznak jobb megoldásokon. Stina Ehrensvärd svéd-amerikai vállalkozónak, a Yubico vezetőjének meggyőződése, hogy megtalálta a helyes megoldást és sikerült összehoznia a rivális technológiai óriásokat, az Apple-t, a Google-t, a Microsoftot és a Twittert egy közös szabvány érdekében.

"A fejlesztés nagyon magas szintű biztonságot nyújt. Csak arra kell ügyelni, hogy a tulajdonos ne veszítse el a kulcsot" - emelte ki Ehrensvärd. Számos nagy technológiai vállalat, például a Google, a Microsoft vagy a Twitter már használja a Yubico kulcsokat az alkalmazottai körében. Hamarosan azonban a technológiát még szélesebb körben használhatják. "A célunk, hogy a jelszavak elavultak legyenek és az internet biztonságosabbá váljon" - mondta Ehrensvärd.


A menedzser 2007-ben alapította a Yubicót a férjével együtt Stockholmban. 2009-ben a kiberbiztonság témája világszerte rendkívül fontossá vált: az Amerikai Egyesült Államok nagy IT-társaságai több hónapon keresztül hackerakciók áldozatai lettek. A támadássorozatot Aurora hadműveletnek nevezték és az elkövetésével Kínából érkező állami támadókat vádoltak. A Google is az áldozatok között volt. "A Google 20 000 YubiKey-t akart tőlünk. Az összes alkalmazottjuk számára bevezették a technológiát" - elevenítette fel a szakember. Ehrensvärd a vállalkozást a Szilícium-völgybe költöztette, hogy más cégeket is meggyőzzön a módszer átvételéről. Az alapító létrehozta a technológiai vállalatok szövetségét, amely kidolgozta a Fido nevű nyílt szabványt, hogy a jövőben megszüntesse a jelszavakat.

Mark Risher, a Google felelős vezetője úgy véli, hogy ez a mérföldkő annak a közös munkának a bizonyítéka, amelyet az iparágban a védelem javítása és az elavult jelszavas hitelesítés megszüntetése érdekében végeztek. A cég képviselője közölte, hogy tervezik a jelszó nélküli azonosítás bevezetését az összes szolgáltatásukban, beleértve a Chrome-ot, a ChromeOS-t és az Androidot.

A Microsoft hasonló lépéseket tesz. A felhasználók már most is bejelentkezhetnek a Windowsba az arcuk beolvasásával. "A jelszómentes világra való teljes átállás azzal kezdődik, hogy a fogyasztók ezt életük természetes részévé teszik" - hangsúlyozta Alex Simons, a társaság menedzsere. Az Apple is szeretné bevezetni a technológiát. Kurt Knight menedzser leszögezte, hogy a termékeiket úgy tervezik, hogy intuitívak és hatékonyak legyenek, de eközben az is lényeges, hogy biztonságosak legyenek.

Ehrensvärd arra számít, hogy a cég az idén 200 millió dollár körüli árbevételt ér el, ami körülbelül 60 százalékkal több, mint tavaly. Nyereségesek és összesen mintegy 80 millió dollárt gyűjtöttek a befektetőktől. A Yubicót a legutóbbi, 2020-as finanszírozási körben mintegy 730 millió dollárra értékelték. Ehrensvärd fellendülést várt az új amerikai szabályozástól, Joe Biden amerikai elnök ugyanis utasította az összes szövetségi ügynökséget, hogy 2024-ig állítsák át számítógépes rendszereiket olyan módszerekre, amelyek nem eshetnek áldozatul lopott jelszavaknak. A menedzser ezzel párhuzamosan Európára is figyel, szerinte a YubiKey az online személyi igazolványok esetében is segíthet. Európai tárgyalások is zajlanak, de azokról még túl korai volna bármi konkrétumot mondani.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • kvp #5
    Ez a most mar kozel ket evtizedes termek annyit tud, hogy vagy fixen be van egetve bele egy jo hosszu kulcs, amit keresre begepel vagy kepes egy ugrokodot generalni, ami minden gombnyomasra uj es uj kodot jelent, a generalt kod sorszamaval kiegeszitve. Ez egy fokkal biztonsagosabb, de nagyon keves szoftver tamogatja es ez se tul eros.

    Ennek egy fokkal jobb lenne a challange/response alapu kulcs, ami kepes egy kriptografiai kerdesre egy alairt valaszt adni. A cikkben emlitett ceg nem ilyet gyart, de a komolyabb gyartok tudnak ilyet is. A meg biztosabb megoldas lenne a one time pad, ahol fix darab elore megbeszelt jelszo van es minden belepesnel mindket fel kihuzza amit eppen elhasznaltak.

    A biometrikus azonositassal az a gond, hogy az csak felhasznaloi nev helyett jo, a jelszot valahova ugyanugy tenni kell. Tehat a biometria + hardverkulcs lenne elvileg a jobb, de a biometrikus adatokat konnyu lemasolni (digitalizalas utan a nyers adatokat) es gond eseten nem lehet megvaltoztatni, igy nem igazan eri meg hasznalni oket.
  • RJoco #4
    A hardver kulcs lényegében nem egy kód?
    Valami kódnak akkor is lenni kell, valahogy tudnia kell a szoftvernek, hogy akkor most van engedély vagy nincs engedély.
    Vagyis nem lesz attól jobb, mert el lehet hagyni. Ráadásul mindig hordjuk magunknál.
    Annyi előnye lehet, hogy sokkal nehezebb lehet a feltörés, ha nincs kulcs, mert sokkal hosszabb karaktersort lehet így tárolni és használni.
    Viszont valahol szintén tárolni kell az engedélyeket. Ezt vajon, hogy akarják megoldani?
    Az xybz oldal honnan fogja tudni, hogy jó-e a kulcs, ha náluk nincs letárolva a bejelentkezéshez? Ha meg feltörik az oldalt, akkor a kulcs adatai szintén illetéktelenek kezébe kerülhet.
    Vagy rosszul látom és nem így működik a rendszer?
  • Ellaberin #3
    Hogy mik vannak, már megint a langyos víz, de láthatóan dollár milliókat lehet vele keresni, mivel egy csecsemőnek -technikai analfabétának - minden is új.

    Csak szólok a sötétben tapogatózóknak : kismilliárd dolog hardverkulcsos a mai napig....és 90%-ban sikeresen törik azokat is rendesen, mint minden mást.
  • quatlander #2
    Vissza a tűzhöz.
  • Agyturbinikusz #1
    Uraim, nem mondok újat, a legjobb hardware kulcs, az maga az emberi test, nehéz elhagyni, vagy ellopni, minden egyes ember egyedi, így előre le van generálva a kulcs.

    Ha szeretnénk még jobban specifikusan nézni akkor vizsgálhatják akár az agyhullámokat, igaz jelenlegi népesség esetében lehet nagyon nehéz lenne vizsgálni azt ami nincs.