Nincs is szükség jelszavakra
Felejtős
Az egyre hosszabb, egyre többféle karaktert tartalmazó jelszavak kierőszakolása helyett immár a legtöbb technológiai nagyvállalat abban hisz, hogy nincs is szükség jelszavakra.
Nem lesz mit elfelejteni, ha nem kell semmit megjegyezni. Ráadásul egy nem létező dolgot lelesni sem lehet. Valami ilyesmi járhat azok fejében, akik az évtizedes kiberbiztonsági törvényszerűségek megdöntésén, a jelszóalapú azonosítás kivezetésén munkálkodnak.
A kiberbiztonsági szakemberek sokáig a jelszó hosszának nyújtásában látták a megoldást, majd jöttek a kisbetűs, nagybetűs, számmal kiegészítős, különleges karakteres előírások. Mire a felhasználók eljutottak oda, hogy a 8-10-16 jegyű kódokból nemhogy többet, gyakran már egyet fejben tartani is kihívás, a szakma is belátta, hogy a nyújtás és bonyolítás sem ér túl sokat, hiszen megfelelő programokkal a jelszavakat akár beírás közben is le lehet lopni. Vagy még program sem kell hozzá, hiszen sokan inkább leírják papírra – vagy a képernyő szélére ragasztott post-it cédulára – a tucatnyi szolgáltatáshoz tartozó tucatnyi jelszavukat. Erre válaszul születtek meg a profi jelszómenedzser alkalmazások – ilyen például a LastPass, de ilyen van beépítve mások mellett a Google Chrome böngészőbe is –, melyek nemcsak rögzítik, hanem a felhasználó helyett be is írják annak többszázféle jelszavát. Legalábbis ha a használójuk megadja a mesterjelszót. Ennek a megoldásnak hátránya, hogy a rosszindulatú támadóknak elég egyetlen jelszót megkaparintaniuk, hogy aztán az összes többihez hozzáférjenek. Hasonló gond adódhat abból, ha valaki mindenhova ugyanazt a jelszót használja.
Ezeket a problémákat nemcsak régóta látják a kiberbiztonsági szakemberek, de ugyanolyan régen ígérik is a megoldást rájuk. A jövő, most úgy tűnik, úgy alakul, ahogy régóta pedzegetik, csak a technológia korábban még nem érett meg rá.
Az egyik lehetőség, amit itthon például a Magyar Telekom, az Egyesült Államokban pedig a The Washington Post alkalmaz: a felhasználónak belépéskor nem szükséges megadnia a jelszót, csak valamelyik elérhetőségét (e-mail-cím vagy telefonszám), és ha az egyezik a fiókjában korábban eltárolttal, akkor oda érkezik meg az éppen aktuális – folyamatosan változó, csak néhány percig érvényes – belépési kód. Sőt, ha e-mailről van szó, akkor ideiglenes kódot sem küld a szolgáltató, a linkre kattintva máris a fiókjában találja magát az előfizető. Így magához a szolgáltatáshoz nem (feltétlenül) tartozik megjegyzendő, elfelejthető, ellopható kód. Persze aki fizikailag hozzáfér a felhasználó telefonjához, az az sms-ben és e-mailben érkező aktuális belépési adatot is el tudja lopni.
A technológia csak most érett meg rá
Biztonságosabbnak és jövőbemutatóbbnak tűnik az immár az Apple, a Google és a Microsoft által is szívesen látott technológia, amelyen az amerikai Fido Alliance dolgozik. A gyors online azonosítást (Fast Identity Online) a zászlajára tűző iparági szervezet egy évtizede dolgozik azon, hogy „csökkentse a világ jelszófüggőségét”. Hogy ez a privát és vállalati környezetben is a mai napig egzotikusnak számító hardveres kulcsok nélkül megvalósulhat, abban nagy szerepe van az okostelefonok elterjedésének.
A Fido-kompatibilis rendszer legegyszerűbb használati módjához ugyanis elég egy modern okostelefon, melyben már az ujjlenyomat-leolvasó és a kamera is van annyira fejlett, hogy magas fokon garantálja a felhasználó biometrikus azonosítását. Arról már a háttér-összeköttetés – a mobilkészülék és a webes szolgáltató között megosztott, titkosított token – gondoskodik, hogy a számítógépen megnyitott weboldal a felhasználó mobilján kérje az ujjlenyomatot, majd az azonosítás elvégzése után ugyanúgy a pc-n nyíljon meg a kért fiók.
Olyan alkalmazások, weboldalak, szolgáltatások ma is vannak, melyek engedik a biometrikus beléptetést. Ilyen például a legtöbb mobilbanki alkalmazás. Ám ezeknél rendszerint ugyanúgy van jelszó, csak a felhasználó nem találkozik vele: az arca vagy az ujjlenyomata azonosítása után, a háttérben íródik be a kód. A Fido-féle újítás esetében egyáltalán nincs jelszó – így adatlopással sem lehet azt kinyerni –, a rendszer magukat a biometrikus adatokat tárolja el.
A Fido lényege a platformfüggetlenség is, a felhasználók körében akkor terjedhet csak el a rendszer, ha kényelmes. A három óriásvállalat egyetértésével ez előtt nincs akadály. Megoldható lesz tehát az is, hogy valaki a Microsoft által gyártott Windows operációs rendszerre telepített Google-féle Chrome böngészőben lépjen be a netbanki fiókjába úgy, hogy az azonosításhoz az Apple-től vásárolt iPhone-ját használja. Pontos menetrend egyelőre nincs, de az iparági várakozások szerint az idei korai befogadók után az átlagfelhasználók körében, tömegesen 2023-ban kezdhet elterjedni a jelszómentes megoldás.