Napjaink digitális ökoszisztémájában szinte lehetetlen küldetésnek tűnik fejben tartani azt a kismillió jelszót, amit a különböző webshopok, közösségi oldalak és munkahelyi felületek követelnek meg tőlünk. Sokan még mindig a kockás füzetnél vagy a monitor szélére ragasztott cetliknél tartanak, ami minden, csak nem biztonságos megoldás. A technológiai fejlődés azonban most egy olyan ponthoz érkezett, ahol a hagyományos karakterláncok ideje végleg lejárni látszik.
Miért vált tarthatatlanná a jelenlegi rendszer?
A jelszavak alapvető problémája, hogy az emberi agy nem a véletlenszerű karakterek tárolására lett kitalálva. Emiatt hajlamosak vagyunk ugyanazt a könnyen megjegyezhető kódot használni mindenhol, ami hatalmas biztonsági kockázatot jelent. Ha egyetlen kisebb szolgáltató adatbázisát feltörik, a kiberbűnözők azonnal hozzáférnek a levelezésünkhöz vagy akár a banki adatainkhoz is. Ez a láncreakció naponta több tízezer felhasználót érint világszerte.
A kétlépcsős azonosítás bár sokat javított a helyzeten, sokak számára nehézkes és lassú folyamat. Az SMS-ben kapott kódok várása és bepötyögése megtöri a felhasználói élményt, ráadásul ezek a csatornák sem teljesen támadhatatlanok. A kiberbiztonsági szakértők évek óta hangoztatják, hogy egy olyan megoldásra van szükség, amely egyszerre kényelmes és feltörhetetlen. A jelszókezelők ugyan segítenek a rendszerezésben, de magát az alapvető problémát, a jelszavak létezését nem szüntetik meg.
Végül ott van az elfelejtett jelszavak miatti frusztráció, ami évente több millió munkaórát emészt fel globális szinten. A „jelszó-emlékeztető” folyamatok sokszor annyira bonyolultak, hogy a felhasználók inkább feladják a vásárlást vagy a regisztrációt. Ez nemcsak az egyénnek bosszúság, hanem a digitális gazdaságnak is komoly bevételkiesést okoz. Itt volt az ideje, hogy a techóriások valami radikálisan újhoz nyúljanak.
Hogyan működik a titkosítás jelszavak nélkül?
Az új szabvány, amelyet passkey-nek vagy magyarul jelkulcsnak nevezünk, teljesen szakít a hagyományos karakteralapú megközelítéssel. A technológia a kriptográfiából már jól ismert nyilvános és magánkulcsos pároson alapul, ami sokkal stabilabb védelmet nyújt. Amikor regisztrálunk egy oldalra, az eszközünk létrehoz egy egyedi kulcspárt, amelynek egyik fele a szolgáltatónál, a másik pedig titkosítva nálunk marad. Ez a két darabka csak együtt képes megnyitni a digitális ajtót.
A legfontosabb különbség, hogy a mi kulcsunk soha nem hagyja el a telefonunkat vagy a számítógépünket. Mivel nincs egy központi szerveren tárolt jelszó, amit el lehetne lopni, az adathalász támadások szinte teljesen hatástalanná válnak. Még ha egy hamis weboldalra is tévedünk, a rendszer nem fogja kiadni a kulcsot, mert az csak az eredeti, hitelesített domainhez kapcsolódik. Ez a fajta automatikus védelem olyan biztonsági hálót nyújt, amire eddig nem volt példa.
A biometrikus azonosítás szerepe a biztonságban
A passkey használata során az azonosítás folyamata rendkívül egyszerűvé és természetessé válik. Nem kell többé bonyolult kódokat begépelnünk, elég csupán az ujjlenyomatunkat a leolvasóra helyezni vagy az arcunkat a kamera felé fordítani. Ez ugyanaz a mozdulat, amivel a telefonunkat is feloldjuk nap mint nap. A rendszer a háttérben elvégzi a bonyolult matematikai műveleteket, nekünk csak a fizikai jelenlétünket kell igazolnunk.
Ez a módszer azért is biztonságosabb, mert a biometrikus adataink nem kerülnek fel a felhőbe. Az ujjlenyomatunk mintázata egy biztonsági chipben tárolódik a készüléken belül, és onnan semmilyen szoftver nem tudja kinyerni. A weboldalak és alkalmazások csak egy igen/nem választ kapnak a chipről, magát az adatot soha nem látják.
Sokan tartanak attól, hogy mi történik, ha megsérül az ujjuk vagy maszkot viselnek. A modern rendszerek ilyenkor alternatívaként a készülék képernyőfeloldó kódját kérik el, ami még mindig biztonságosabb, mint egy globális jelszó. A lényeg, hogy a hitelesítés egy olyan eszközhöz kötődik, ami fizikailag is a birtokunkban van. Ez a kettős faktor – valami, ami mi vagyunk, és valami, amink van – teszi sziklaszilárddá a védelmet.
Az idősebb generációk számára is hatalmas könnyebbség ez a váltás. Nekik nem kell megjegyezniük a kis- és nagybetűk, számok és különleges karakterek kaotikus egyvelegét. A technológia végre alkalmazkodik az emberhez, és nem fordítva történik a folyamat.
Mit tegyünk ha elveszítjük az eszközünket?
Az első kérdés, ami ilyenkor felmerül az emberekben, hogy mi történik, ha ellopják a telefonjukat vagy tönkremegy a laptopjuk. Szerencsére a fejlesztők erre is gondoltak, és a jelkulcsokat szinkronizálhatóvá tették a nagy felhőszolgáltatásokon keresztül. Ha Apple, Google vagy Microsoft fiókot használunk, a kulcsaink biztonságos másolata ott vár ránk az új készülékünk beállításakor. Ez a szinkronizáció végpontok közötti titkosítással történik, tehát még a szolgáltató sem lát bele.
Lehetőség van arra is, hogy több különböző eszközt is felvegyünk a bizalmi körünkbe. Bejelentkezhetünk például a tévénken egy QR-kód beolvasásával a telefonunk segítségével. Ez a fajta rugalmasság biztosítja, hogy soha ne ragadjunk a digitális világon kívül. A biztonsági mentéseknek köszönhetően a jelszó nélküli világ nem jelent egyet a kockázattal.
A legnagyobb techóriások is beálltak a sorba
Ritka pillanat a technológia történetében, amikor az Apple, a Google és a Microsoft teljes egyetértésben dolgozik valamin. A FIDO Alliance nevű szervezet keretein belül közösen fektették le az alapokat, hogy a rendszer keresztplatformos legyen. Ez azt jelenti, hogy egy iPhone segítségével is bejelentkezhetünk egy Windows alapú számítógépen futó weboldalra. Az átjárhatóság kulcsfontosságú volt ahhoz, hogy a technológia tömegesen elterjedhessen.
A nagy szolgáltatók már elkezdték a fokozatos átállást a saját felületeiken. A Gmail, a PayPal, sőt már az Amazon is felajánlja a jelkulcsok használatát a hagyományos jelszavak helyett. Ahogy ezek a gigászok példát mutatnak, a kisebb weboldalak is kénytelenek lesznek követni a trendet. Senki nem akar lemaradni egy olyan fejlesztésről, ami látványosan növeli a felhasználói elégedettséget.
A vállalati szektorban is hatalmas a lelkesedés a technológia iránt. A cégeknek nem kell többé drága és bonyolult jelszókezelő rendszereket fenntartaniuk az alkalmazottaknak. A biztonsági incidensek száma drasztikusan csökkenhet, ha megszűnik a gyenge jelszavak lehetősége. Ez a gazdasági ösztönző erő fogja végül teljesen kiszorítani a régi módszereket.
Mikor köszönt be a jelszómentes korszak a magyar felhasználóknak?
A jó hír az, hogy a technológia már itt van, és a legtöbb modern okostelefonon elérhető. Magyarországon a nagybankok és a nagyobb e-kereskedelmi szereplők is elkezdték vizsgálni a bevezetés lehetőségeit. Nem egy távoli, sci-fi jövőről beszélünk, hanem egy olyan folyamatról, ami már most is zajlik a szemünk előtt. Érdemes szétnézni a kedvenc alkalmazásaink biztonsági beállításai között, mert meglepődhetünk, hány helyen aktiválhatjuk már most is a funkciót.
Persze az átállás nem fog egyik napról a másikra megtörténni mindenhol. Még évekig velünk maradnak a régi típusú bejelentkezések is, főleg a kisebb, régebbi weboldalak esetében. Azonban a kritikus tömeg hamarosan eléri azt a szintet, amikor a jelszó már csak egy elavult opció lesz. A digitális higiénia új korszaka kezdődik el, ahol a biztonság nem követel meg tőlünk emberfeletti memóriát.
A jelszavak nélküli világ ígérete végre valósággá válik, és ez az egyik legfontosabb technológiai előrelépés az utóbbi évtizedben. Kevesebb stressz, nagyobb biztonság és zökkenőmentes böngészés vár ránk. Ahogy egyre több szolgáltatás áll át az új rendszerre, úgy fogunk lassan elfelejteni minden olyan bosszúságot, amit egy elfelejtett kód okozott. A jövőnk kulcsa szó szerint a kezünkben, vagyis inkább az ujjunk hegyén van.
