Kocza Zoltán
Elavultak a jelszóval hitelesítő rendszerek
Szakértők szerint a jelszó már kezd kimenni a divatból, mert az emberi agy nem képes sok betűkombinációt pontosan megjegyezni, ha viszont valaki leírja a jelszavait, akkor kiteszi magát az ellopás veszélyének.
A Symantec Norton Password Manager-e és az Apple Keychain help-je segít ugyan megoldani ezt a problémát, ugyanis kódolt megoldást ajánl a jelszavak tárolására. Csak az a probléma, hogy ha valaki elfelejti a mesterkódot, akkor odavan az egész kollekció. Számtalan weblap kérésre automatikusan elküldi a jelszót, ami szintén nem biztonságos megoldás. Vannak ingyenes szolgáltatások is, mint például az ingyenes honlapoknál, amelyek közös jelszót használnak levelezésre és FTP elérésre is.
A jelszvakat meg lehet szerezni például a nyilvános internet helyeken billentyűzet figyelő programot elhelyezve, vagy adatlopás célú emailekkel (phising), számítógépes vírusokkal, és persze kódfeltörő szoftverekkel. Persze hasonló a probléma akkor is, ha valaki csak egyetlen jelszót használ és ellopják az egyik alkalmazásnál. Etikai szempontok miatt a biometriai azonosítórendszerek sem alkalmasak, ugyanis a társadalom elég nagy hányada ellenérzésekkel viseltet a hasonló módszerekkel szemben, és a vállalati szintű felhasználás adatvédelmi szempontokat is felvet.
A webhelyek egyre gyakoribb feltörése miatt gomba módra szaporodnak a neten a "jelszó-plusz" megoldások. Ahogy az emberek egyre több időt töltenek a neten, úgy igénylik egyre jobban a biztonságos megoldásokat. A helyzet hasonló ahhoz, hogy minél több érték van egy házban, annál jobban fel van szerelve betörés ellen. Ekkor jön képbe a kettős hitelesítés, melynek használata esetén egy megszerzett jelszó nem ér semmit. Egy bankszámlához történő hozzáféréskor először be kell pötyögni a személyi azonosító számot, ami lehet egy négyjegyű szám, majd egy több tucat kódot tartalmazó listából ki kell keresni a megfelelő tranzakció kódját. Ez az úgynevezett kettős hitelesítés.
A belga Vasco Data Security cég egy érdekes megoldást talált ki: egy zsebszámológép-szerű készülékbe kell bebillentyűzni a kódot, amely az időpontnak és a készülék azonosítójának megfelelően egy másodlagos jelszót generál. Ezt a változó kódsort kell azután a belépéshez használni. Azért nevezhető biztonságosnak, mert ha valaki el is lopja a kódot, akkor sincs kódgenerálója és fordítva. A MasterCard szintén tesztel egy hasonló eljárást, melynél a chipkártyát be kell helyezni egy speciális leolvasóba, be kell billentyűzni a PIN kódot és ekkor kapja meg a felhasználó a jelszót, amelyet tucatnyi szolgáltatás igénybevételéhez használhat.
A kettős hitelesítés elterjedésének egyetlen akadálya, hogy a vállalatok érthető okokból az egyszerűbb megoldásokra törekednek, a bankok ugyanis attól félnek, hogy a bonyolultabb műveletek bevezetése esetén elpártolnak tőlük az ügyfelek. Ezért többnyire csak az alkalmazottak beléptetéséhez és a nagyértékű számlák kezelésekor használnak kettős hitelesítést.
A módszer elterjedésének másik akadálya a plusz költség. A 20 dolláros készülék egymillió ügyfél esetén 20 millió dollárt jelent, miközben az ekkora ügyfélkörre eső csalások mértéke csak néhány tízezer dollár. Megoldás lenne, ha egy készülék több szolgáltatás igénybevételekor is használható lenne, ami viszont szabványosítást követel.
A Symantec Norton Password Manager-e és az Apple Keychain help-je segít ugyan megoldani ezt a problémát, ugyanis kódolt megoldást ajánl a jelszavak tárolására. Csak az a probléma, hogy ha valaki elfelejti a mesterkódot, akkor odavan az egész kollekció. Számtalan weblap kérésre automatikusan elküldi a jelszót, ami szintén nem biztonságos megoldás. Vannak ingyenes szolgáltatások is, mint például az ingyenes honlapoknál, amelyek közös jelszót használnak levelezésre és FTP elérésre is.
A jelszvakat meg lehet szerezni például a nyilvános internet helyeken billentyűzet figyelő programot elhelyezve, vagy adatlopás célú emailekkel (phising), számítógépes vírusokkal, és persze kódfeltörő szoftverekkel. Persze hasonló a probléma akkor is, ha valaki csak egyetlen jelszót használ és ellopják az egyik alkalmazásnál. Etikai szempontok miatt a biometriai azonosítórendszerek sem alkalmasak, ugyanis a társadalom elég nagy hányada ellenérzésekkel viseltet a hasonló módszerekkel szemben, és a vállalati szintű felhasználás adatvédelmi szempontokat is felvet.
A webhelyek egyre gyakoribb feltörése miatt gomba módra szaporodnak a neten a "jelszó-plusz" megoldások. Ahogy az emberek egyre több időt töltenek a neten, úgy igénylik egyre jobban a biztonságos megoldásokat. A helyzet hasonló ahhoz, hogy minél több érték van egy házban, annál jobban fel van szerelve betörés ellen. Ekkor jön képbe a kettős hitelesítés, melynek használata esetén egy megszerzett jelszó nem ér semmit. Egy bankszámlához történő hozzáféréskor először be kell pötyögni a személyi azonosító számot, ami lehet egy négyjegyű szám, majd egy több tucat kódot tartalmazó listából ki kell keresni a megfelelő tranzakció kódját. Ez az úgynevezett kettős hitelesítés.
A belga Vasco Data Security cég egy érdekes megoldást talált ki: egy zsebszámológép-szerű készülékbe kell bebillentyűzni a kódot, amely az időpontnak és a készülék azonosítójának megfelelően egy másodlagos jelszót generál. Ezt a változó kódsort kell azután a belépéshez használni. Azért nevezhető biztonságosnak, mert ha valaki el is lopja a kódot, akkor sincs kódgenerálója és fordítva. A MasterCard szintén tesztel egy hasonló eljárást, melynél a chipkártyát be kell helyezni egy speciális leolvasóba, be kell billentyűzni a PIN kódot és ekkor kapja meg a felhasználó a jelszót, amelyet tucatnyi szolgáltatás igénybevételéhez használhat.
A kettős hitelesítés elterjedésének egyetlen akadálya, hogy a vállalatok érthető okokból az egyszerűbb megoldásokra törekednek, a bankok ugyanis attól félnek, hogy a bonyolultabb műveletek bevezetése esetén elpártolnak tőlük az ügyfelek. Ezért többnyire csak az alkalmazottak beléptetéséhez és a nagyértékű számlák kezelésekor használnak kettős hitelesítést.
A módszer elterjedésének másik akadálya a plusz költség. A 20 dolláros készülék egymillió ügyfél esetén 20 millió dollárt jelent, miközben az ekkora ügyfélkörre eső csalások mértéke csak néhány tízezer dollár. Megoldás lenne, ha egy készülék több szolgáltatás igénybevételekor is használható lenne, ami viszont szabványosítást követel.