Érdekességek, Képzések

JELSZÓ MENTES ÉLET? LEHETSÉGES EZ?

A cikk megjelenésének szakmai támogatója a CyberCamp, 
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen a cikk szerzője is oktat.
www.cybercamp.hu

A rövid válasz az, hogy igen, de még gyerekcipőben jár, és nem minden eszköz támogatja egyelőre.

2023. május 3-tól kezdve létre lehet hozni úgynevezett passkey-eket a személyes Google-fiókokhoz. Ez a Google „Advenced Protection Program” részeként jött létre. A Google nem fog jelszót kérni vagy kétlépcsős azonosítást a bejelentkezéskor. Az ilyen passkey-ek kényelmesebb és biztonságosabb alternatívát jelenthetnek a jelszavakhoz képest. Működnek minden jelentős platformon és böngészőben, és lehetővé teszik a felhasználók számára, hogy bejelentkezzenek a számítógépükbe vagy mobil eszközükbe ujjlenyomatuk, arcfelismerésük vagy PIN-kódjuk segítségével.

MIÉRT BIZTONSÁGOSABB, MINT A JELSZÓ?

A passkey-ek, ellentétben a jelszavakkal, csak saját eszközökön tárolódnak. Ez azt jelenti, hogy a passkey-ek védelmet nyújthatnak a phishing támadások, jelszó újrahasználás, vagy adatszivárgások ellen. Ez erősebb védelmet jelent, mint amit a legtöbb kétfaktoros módszer kínál ma, ezért a kétfaktoros azonosítást is kihagyhatod, amikor passkey-t használsz. A meglévő bejelentkezési módszerek, mint például a jelszavak, még mindig működni fognak, ha szükség van rájuk, például olyan eszközök használatakor, amelyek még nem támogatják a passkey-t. A passkey-ek még újnak számítanak, és időbe telik, amíg minden eszközön működni fognak.  Ha új eszközön szeretnél először bejelentkezni, vagy ideiglenesen másvalaki eszközét szeretnéd használni, használhatod a telefonodon tárolt passkey-t erre. Ha elveszítesz egy olyan eszközt, amelyen van egy passkey a Google-fiókodhoz, és úgy gondolod, hogy más fel tudja azt oldani, azonnal visszavonhatod a passkey-t a fiókbeállításokban.

DE HOGYAN IS MŰKÖDIK?

A passkey fő összetevője egy kriptográfiai privát kulcs, amely a készülékeiden tárolódik. Amikor létrehozol egyet, azzal a hozzá tartozó publikus kulcsot feltöltik a Google-rendszerbe. Amikor bejelentkezel, a Google kéri az eszközödet, hogy a privát kulccsal aláírjon egy egyedi hívást. Az eszköz csak akkor teszi ezt meg, ha ezt jóváhagyod, ezután ellenőrzi a publikus kulcsoddal az aláírást. Az eszközöd továbbá biztosítja, hogy az aláírás csak a Google weboldalain és alkalmazásain keresztül legyen megosztva. Az aláírás bizonyítja a Google számára, hogy az eszköz a tied, mivel rendelkezik a privát kulccsal, hogy jelen voltál annak feloldásakor, és hogy valóban a Google-be szeretnél bejelentkezni. Ehhez csak a publikus kulcsot és az aláírást osztod meg a Google-lel. Egyik sem tartalmaz semmilyen információt a biometrikus adataidról. Mivel minden passkey csak egyetlen fiókhoz használható, nincs kockázata annak, hogy ugyanazt újrahasználod más szolgáltatásokhoz, így a jelszó újra használást ki lehet zárni.

MIÉRT NEM SZEREZHETIK MEG TÁVOLRÓL A BEJELENTKEZÉSI INFORMÁCIÓKAT?

Amikor egy másik eszközön szeretnél először bejelentkezni a telefonodban tárolt passkey segítségével, az első lépés az, hogy beolvasd a másik eszközön megjelenő QR-kódot. Az eszköz ezután ellenőrzi, hogy a telefonod közel van-e egy kis, anonim Bluetooth-üzenet segítségével, majd egy végponttól végpontig titkosított kapcsolatot hoz létre az interneten keresztül a telefonnal. A telefon ezt a kapcsolatot használja a kért egyszeri passkey aláírásának elküldésére, amelyhez jóváhagyásod és a telefonon található biometrikus vagy képernyőzárolási lépés szükséges. Sem maga a passkey, sem a képernyőzárolási információ nem kerül elküldésre az új eszközre. Az Bluetooth-közelség ellenőrzés biztosítja, hogy távoli támadók ne szerezhessenek meg semmilyen infomációt.

MIÉRT BÍZHATUNK BENNE?

A passkey-ek a FIDO Alliance és a W3C WebAuthn munkacsoport által létrehozott protokollokra és szabványokra épülnek. Ez azt jelenti, hogy a passkey támogatás működik az összes platformon és böngészőn, amelyek elfogadják ezeket a szabványokat. Ugyanezek a szabványok és protokollok biztosítják a biztonsági kulcsokat, amelyek erős védelmet nyújtanak. A passkey-ek sok erős fiókvédelmi intézkedést örökölnek a biztonsági kulcsoktól, de kényelmesek mindenki számára.

Ez még egy új eljárás, és technikai korlátai is vannak, mert nem minden eszköz tud úgynevezett Bluetotth Low Enegry-t észlelni, de izgalmas látni, hogy a Google hogyan próbálja kiváltani a jelszavak használatát, és növelni a fiókok biztonságát.

Források:

https://landing.google.com/advancedprotection/

https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html?m=1

Beszélgessünk!

Tegye fel kérdéseit szakértőinknek!

Tanácsadás

FORTIX Consulting Kft.
Székhely: 1114 Budapest, Magyari István utca 2.
Fsz. 4.

Iroda: 1061 Budapest, Liszt Ferenc tér 2. 4. em. 1.
hello@fortix.hu

SALES MANAGER

Dr. Simon Norbert
+36 30 255 7866
norbert.simon@fortix.hu

CyberCamp

Oktatásszervezés

TELEFON: +36 70 907 2689 vagy +36 70 303 2617
Munkanapokon 10:00-15:00

E-MAIL: webinfo@cybercamp.hu 

Hírlevél
Maradjunk kapcsolatban! Naprakész iparági hírek, izgalmas cikkek, hetente.
Az év Családbarát vállalata 2023Opten A MinősítésAz év Családbarát vállalata 2023Innovatív márka 2023
Fortix facebookFortix LinkedinFortix youtube
Copyright © FORTIX Consulting Kft.
Impresszum Jogi nyilatkozat Adatkezelési tájékoztató