A jelszó elszáll, a kétlépcsős azonosítás megmarad
„A jelszó fogalma egy oximoronon alapul. Az az alapötlet, hogy legyen egy véletlenszerű karaktersor, ami könnyen megjegyezhető. Azonban ami könnyen megjegyezhető, az sajnos nem véletlenszerű, ilyen például az, hogy ’Susan’. Ami pedig véletlenszerű, mint például az,
hogy ’r7U2*Qnp’, azt nem könnyű megjegyezni.”
Bruce Schneier, amerikai kriptográfus, IT-biztonsági szakember, adatvédelmi szakértő
Sajnos már elmúltak azok az idők, amikor elég volt hosszú és összetett jelszavakat használni ahhoz, hogy biztonságban tudhassuk adatainkat és rendszereinket. A legfrissebb elemzések szerint csak idő kérdése, hogy a bonyolultabb jelszavakat is feltörjék. Ezért a szervezetek elkezdtek új hitelesítési eszközöket bevezetni. Ezzel viszont az a gond, hogy nehézkessé válik a kezelésük, különösen akkor, ha eltérő termékeket és technológiákat alkalmaznak a különféle alkalmazásokban és rendszerekben. A Micro Focus szakértői szerint a megfelelő megoldást az átfogó hitelesítési keretrendszer nyújtja.
Egyre gyakrabban merül fel a vállalatoknál a kérdés, hogy jelszavas azonosítást használjanak, vagy átálljanak egy korszerűbb stratégiára. A kérdés jogosultságát a legfrissebb Verizon Data Breach Report eredményei is alátámasztják, és olyan konkrét esetek is, mint például a Cisco incidense. A vállalat rendszeréből úgy loptak el adatokat 2022 májusában, hogy az egyik alkalmazott Google fiókját törték fel, amellyel a munkavállaló a céges fiókjának belépési adatait is szinkronizálta.
Még a „megfelelő” jelszó sem elég
Bár a szervezetek egyre szélesebb körben megkövetelik az erős jelszavak használatát, a jelek szerint ez nem elég, a Verizon kutatása szerint ugyanis a brute force támadásoknál kihasznált jelszavak 93 százaléka 8 vagy annál több karakterből állt. Tehát hiába hosszú egy jelszó, akkor is fel tudják törni, legfeljebb több időbe telik. Ennél a módszernél ugyanis automatizált módon találgatják a jelszót egészen addig, amíg meg nem lesz az eredmény. Ez annál gyorsabban történik, minél nagyobb teljesítményű hardvereket használnak a folyamathoz, illetve minél rövidebb és egyszerűbb jelszót kell feltörni.
Csak a baj van velük
A jelszavas azonosításhoz egyébként is számos probléma kapcsolódik a szervezeteknél direkt vagy indirekt módon. Például leterhelheti a helpdesk részleget, ha sok a jelszó-helyreállítási kérés. A felhasználóknak is nehéz sok jelszót kezelni, megjegyezni és megújítani megadott időközönként. Ezen a kihíváson enyhíthetne például egy professzionális jelszókezelő eszköz, de a Verizon Data Breach Report eredményei szerint a cégek 54 százalékánál semmilyen megoldást nem használnak a jelszavak kezelésére.
Az előírások is egyre szigorúbbá válnak, ezért a teljesítésükhöz sok esetben már nem is elég, ha jelszavas azonosítást használnak a szervezetnél. Olyan megoldásra van szükség, amely többféle támadástól véd, beleértve a brute force, az adathalász vagy a billentyűleütéseket titokban naplózó módszereket, illetve a közbeékelődéses támadást, amely során a két fél közötti kommunikációt kompromittálja egy támadó úgy, hogy a kommunikációs csatornát eltérítve mindkét fél számára a másik szereplőnek adja ki magát.
Kell még pár lépcső
Ezért egyre szélesebb körben terjed a cégeknél a többlépcsős hitelesítés, ahol egyéb azonosítási módszert is alkalmaznak a jelszavak mellett. A lehetőségek tárháza széles, használhatnak többek között tokent, mobiltelefonra küldött jelszót, külön erre a célra létrehozott alkalmazást, okoskártyát vagy különféle biometrikus azonosítókat.
Ez viszont bonyolítja a helyzetet azon szakemberek számára, akiknek felügyelniük kell ezeket az azonosítási megoldásokat, különösen akkor, ha elkezdenek eltérő technológiákat és termékeket használni a szervezeten belül a különböző területeken és alkalmazásokban. Például nem csak a munkavállalók számára megterhelő, ha az irodába okoskártyával tudnak belépni, a levelezőrendszerbe telefonra küldött kóddal, más céges rendszerekbe pedig tokennel. Azok számára még komplikáltabb a dolog, akiknek felügyelniük és működtetniük kell mindennek a hátterét.
A Micro Focus szakértői szerint hatékony segítséget nyújthat mindebben egy olyan keretrendszer, mint például a NetIQ Advanced Authentication. Ezzel a megoldással a szervezetek egyszerűen, egyetlen megoldásban felügyelhetik az összes azonosítási eszközt, módszert és technológiát – azokat is, amelyeket éppen aktuálisan használnak, és azokat is, amelyeket csupán később vezetnek majd be. A termék segítségével a szervezetek egységes szabályokat alkalmazhatnak minden azonosítási megoldás esetében, ami elősegíti a biztonság növelését és a megfelelőségi előírások teljesítését. A NetIQ Advanced Authentication azt is lehetővé teszi, hogy a szervezetek ellenőrizzék a kockázatokat és úgy optimalizálják az üzleti folyamatokat, hogy biztonságos munkavégzést és hatékony támogatást biztosíthassanak a távolról dolgozó kollégák számára is.