Még egy vacakul működő biztonsági kulcs is jobb, mint abban bízni, hogy egy erős jelszó mindentől megvéd.

FintechRadar 2019.05.16 | 11:34
(Fotó: Fen Labalme CC-BY-SA)

Nagyon határozott véleményünk van, hogy mi az, amivel egy tudatos nethasználónak rendelkeznie kell. Olyanok vannak a listán, mint a jelszótároló alkalmazás – ezt részben a Chrome is ellátja, de egy harmadik féltől származó megoldás jobb -, kódgenerátor a telefonon kétlépcsős azonosításhoz és ha befér a költségvetésbe, akkor egy fizikai token.

Ezek a hibás kulcsok (Fotó: Google)

Az utóbbi arra szolgál, hogy a felhasználónév és jelszó páros mellett egy harmadik azonosítót adjon a belépéshez. Ilyen információ lehet egy SMS-ben érkező kód vagy a mobilon futó app által generált számsor is. Az USB-s token annyival jobb, hogy független a telefontól, nem csatlakozik az internethez, ráadásul többet is elbír belőlük egy kulcstartó, míg telefonszámból jellemzően eggyel rendelkezik az ember.

Hagyományosan a megfizethető USB tokeneket a Yubico nevű cég gyártotta. Teljes áron is 40-50 dollárba kerülnek, de a tavalyi év végén több technológai témájú újság éves előfizetéséhez adtak ingyenes tokent. Azóta megjelent egy újabb, kicsit többet tudó hardver, de a lényeg változatlan maradt. Az üzletbe a Google is beszállt, saját NFC, Bluetooth és USB-s azonosításra is használható Titan Security Key nevű terméke a tokenek Rolls-Royce-ának ígérkezett.

Yubikey kulcsok és egy kínai Feitian azonosító (a Google Titan kulcsa is ilyen) (Fotó: Tony Webster CC-BY)

A Rolls azonban úgy tűnik defektet kapott, a Google bejelentette, hogy díjmentesen cseréli az eddig eladott Titan kulcsokat. A visszahívás oka, hogy a Bluetooth azonosítához használt Bluetooth Low Energy protokoll megvalósításába hiba csúszott. A hiba miatt a kulcshoz kilenc méternyi közelségbe kerülő támadó a megfelelő eszközök birtokában beléphet a Titan kulcs által védett fiókba.

A támadás sikereségéhez a hackernek akkor kell elkezdeni egy belépési műveletet és kapcsolódni a kulcshoz, amikor az eszköz gazdája is ugyanezt csinálja. Nem olyan természetű tehát a sebezhetőség, amit a való életben egyszerűen ki lehetne haszálni. Ahhoz viszont elég komoly, hogy a Google a csere mellett döntsön.

A tanulság, még ha ez vörös faroknak tűnhez is, hogy fizikai kulcsot vagy legalább kétlépcsős azonosítást kell használni. A magyar bankok az USB-s tokeneket nem támogatják, jellemzően inkább SMS-kódot vagy a mobilbanki app által generált kódot kérnek. Az egyszerű felhasználóneves és jelszavas belépésnél ezek is jobbak.

Ha tetszett a cikk:

és kövess minket a Facebookon!

Fintechradar.hu

Szólj hozzá

Vélemény, hozzászólás?