Kétfaktoros hitelesítés (2FA)

Mi az a kétfaktoros hitelesítés?

Minden platformon, ahova valaha regisztráltunk, létrehoztunk egy bejelentkezéshez szükséges jelszót. Azonban pusztán a jelszóval történő bejelentkezés nem nyújt elegendő védelmet a fiókfeltöréssel szemben. Itt jön képbe a kétfaktoros hitelesítés (2FA): ez egy biztonsági folyamat, amelynek során a felhasználó bejelentkezéskor két különböző módon is azonosítja magát. A 2FA-nak köszönhetően ha valakinek sikerülne megszereznie vagy kitalálnia a jelszót, egy második akadályt is teljesítenie kell, ami megnehezíti a fiók feltörését.

A kétfaktoros azonosítás során a hitelesítés lehet valami, amit ismersz (pl. jelszó vagy PIN-kód), valami, amit birtokolsz (pl. biztonsági kulcs vagy mobiltelefon), vagy valami, ami elválaszthatatlan tőled (pl. ujjlenyomat vagy arc).

Hogyan tudom használni?

Számos online szolgáltatás - például a Facebook, Instagram, WhatsApp, Apple, Google, TikTok - kínál 2FA-t a kizárólag jelszavas hitelesítés alternatívájaként. Ha engedélyezed a kétfaktoros hitelesítést, akkor a rendszer jellemzően egy jelszót és egy másodlagos hitelesítési módszert is kérni fog.

Ez a másodlagos módszer platformtól függően lehet:

• SMS-üzenet,
• egy hitelesítő alkalmazás által generált kód,
• push-értesítés,
• vagy egy USB-eszköz (úgynevezett biztonsági kulcs).

Ha engedélyezed az SMS alapú belépést, akkor egy kódot kapsz a telefonszámodra, amit be kell írnod a kétfaktorú bejelentkezés befejezéséhez. Az SMS alapú 2FA jobb, mint a semmi, de számos potenciális problémája van, mivel az SMS-üzenetek nem kifejezetten biztonságosak. Előfordulhat, hogy egy kifinomult hacker, aki hozzáfér a telefonhálózathoz, ellopja és felhasználja az SMS-ben küldött kódokat. Lehetnek olyan esetek is, amikor egy kevésbé kifinomult támadó képes hívásokat vagy szöveges üzeneteket továbbítani egy másik számra. Emellett az SMS-alapú 2FA használata során még több személyes információt (telefonszámot) kell kiadni az alkalmazások, közösségi platformok felé.

Ha mobilos autentikációs alkalmazást használsz, a bejelentkezéshez először le kell olvasnod telefonoddal a számítógép képernyőjén megjelenő QR-kódot. Ezután a telefonodon futó hitelesítő alkalmazás automatikusan hatjegyű váltakozó kódokat generál, melyek minden egyes regisztrált weboldalhoz egyediek. A bejelentkezéshez a generált kódok közül az aktuális weboldalhoz tartozót kell megadnod, hogy sikeresen végrehajtsd a bejelentkezési folyamatot. Ezek a kódok egyszer használatosak és csak rövid ideig érvényesek

Találkozhatsz “push értesítés alapú” 2FA-val is, ami például a Google, Apple vagy Microsoft fiókok esetében elterjedt. Ugyancsak népszerű a játékszolgáltatásoknál, mint például a Steam és a Blizzard platformján. A push-alapú 2FA során a szolgáltatás egy értesítést küld az egyik eszközödre a bejelentkezéshez. Ez az értesítés tájékoztatást nyújt arról, hogy valaki (jó esetben te) megpróbál bejelentkezni, valamint megmutatja a bejelentkezési kísérlet becsült helyét. Ezután lehetőséged van engedélyezni vagy elutasítani a bejelentkezési kísérletet.

A második faktor lehet egy külön megvásárolható fizikai eszköz is, az úgynevezett biztonsági kulcs. Ezek a kulcsok általában USB-n keresztül vagy NFC-vel (Near field communication) csatlakoztathatók a számítógéphez vagy a telefonhoz. A fent említettekhez hasonlóan ezeket is regisztrálnod kell, és a kulcs behelyezése nélkül nem tudsz bejelentkezni a weboldalra. A biztonsági kulcsok a 2FA legerősebb formája, de a webhelyek nem támogatják olyan széles körben, mint a többi lehetőséget.

A belépőkulcs egy viszonylag új módja a bejelentkezésnek, ami biztosítja a 2FA biztonságát, ugyanakkor kevesebb kellemetlenséggel jár. A belépőkulcs körülbelül 100-1400 bájtnyi véletlenszerű adat, amely az eszközödön (például telefonodon, laptopodon vagy biztonsági kulcsodon) generálódik egy adott weboldalra való bejelentkezés céljából. Ha a belépőkulcs mellett döntesz, a webhely létrehozza ezt az egyedi adatot, és azon az eszközödön tárolja el, amelyen elkészíted (például a telefonodon vagy a laptopodon). Az adott eszköznek kéznél kell lennie ahhoz, hogy a belépőkulccsal bejelentkezhess.

Bár a 2FA (kétfaktoros azonosítás) biztonságosabb azonosítási módot kínál, nő a kockázata annak, hogy kizáródsz a fiókodból. Például ha elveszted a telefonodat, telefonszámot cserélsz, akkor elveszítheted a fiókjaidhoz való hozzáférést. Ez igaz a biztonsági kulcsokra is, amelyek könnyebben elkeverednek, mint egy telefon.

Éppen ezért sok 2FA szolgáltatás esetében biztosítva van egy rövid lista egy alkalommal használható “biztonsági kódokkal”. Minden visszaállító kód pontosan egyszer működik a fiókodba való visszajutáshoz, és ezután már nem használható. Ha aggódsz amiatt, hogy elveszíted a telefonodhoz vagy más hitelesítő eszközhöz való hozzáférést, nyomtasd ki és tartsd egy biztonságos helyen ezeket a kódokat.

Milyen eszközöket használj?

A 2FA beállítása platformonként eltérő. A 2FA-t támogató webhelyek részletes listája a https://2fa.directory/ oldalon érhető el. Mindenki biztonsági igénye más és más, és nem is minden webhely kínál lehetőséget a 2FA különböző formáira, így a megfelelő azonosítási mód kiválasztásához a saját igényeidet és lehetőségeidet kell mérlegelned.

• A belépőkulcs egy kiemelkedően erős, azonban magasabb szintű digitális ismereteket igénylő módja a bejelentkezésnek a jelszavakkal szemben. Még mindig egy friss technológia, így nem elérhető minden weboldalon. Belépőkulcsos szolgáltatás elérhető többek között például a 1password jelszókezelővel. https://1password.com/product/passkeys
• A biztonsági kulcsok nagyon erős védelmet biztosítanak, de körülményesebb őket használni, mivel mindig magadnál kell tartanod ezt a fizikai kulcsot. Az egyik legmegbízhatóbb fizikai “kulcs” a YubiKey, ami újságíróként ingyenesen igényelhető a Yubicon keresztül.
• Az értesítésalapú azonosítás közepes biztonságot nyújt, és könnyen használható, de csak néhány webes szolgáltatásnál áll rendelkezésre, és mivel nem szabványosított, előfordulhat, hogy több különböző hitelesítő alkalmazást kell telepítened a telefonodra.
• Az autentikációs alkalmazás/TOTP hitelesítés ma nagyon elterjedt, és a leginkább hozzáférhető, bárki számára egyszerűen használható megoldás jelenleg, de zavaró lehet kódokat másolni/beilleszteni az alkalmazások között, különösen mobil eszközökön. Sok cég készít ingyenes mobilautentikációs alkalmazást, ilyen például a Google Authenticator és az Authy.
• Az SMS a legalacsonyabb biztonsági szintet nyújtja, néha bosszantó lehet használni bizonyos körülmények között (vagy lehetetlen, ha éppen nincs mobil szolgáltatás), de ha ez az egyetlen elérhető opció, akkor még mindig jobb, mint a semmi.
• A legbiztonságosabb, ha egyszerre több fajta 2FA-t is beállítasz (például a TOTP mellett biztonsági kulcs).

Forrás:

• https://ssd.eff.org/module/how-enable-two-factor-authentication