Vissza

2022. július 16.

A biztonság fejlődése a FIDO protokollok révén

A szabványosított biztonsági protokollok soha nem voltak annyira fontosak, mint ma. Olvassa el, hogyan használja a FIDO a legújabb technológiákat a biztonságos, jelszó nélküli bejelentkezéshez.

1966-ban Marie Van Brittan Brown okleveles ápolónő megalkotta az első biztonságosnak tartott “azonosító” rendszert. Villanyszerelő férjével kitalált egy kukucskálónyílásokból, mikrofonokból, kamerából és egy csúszókarból álló okos megoldást, amely lehetővé tette, hogy eldöntse, ki léphet be az otthonába mielőtt kinyitná a bejárati ajtót. Ha úgy ítélte meg, hogy az illető fenyegetést jelent, a beépített riasztó segítségével értesíthette a hatóságokat. Marie találmánya 1969-ben szabadalmat kapott és 32 további szabadalomban jegyezték fel. Megoldását a zárt láncú televíziós megfigyelőrendszerek (CCTV) elődjének tekintik. 

Manapság a biztonsági rendszerek sokkal összetettebbek és lényegesen automatizáltabbak, de még ennél is fontosabb, hogy sokkal több mindent kell megvédeniük, mint az otthonunkat. Legértékesebb vagyonunkat nem kulcsokkal és lakatokkal zárható épületekben tároljuk, hanem adatbázisokban, merevlemezeken és a felhőben. Személyes adataink ilyen jellegű tárolása körültekintőbb és magasabb szintű biztonsági előírásokat igényel, mint egy egyszerű zár és egy kulcs.

Néhány dolog azonban nem változott az idők folyamán: továbbra is fontos, hogy csak meghatározott személyek rendelkezzenek hozzáféréssel, továbbra is kulcsokra van szükségünk a hozzáférés biztosításához, valamint egy riasztó- és figyelmeztető rendszer megléte is kulcsfontosságú az illegális hozzáférési kísérletek megakadályozásához. 

A jelszavas védelem hiányosságai

Évek óta egyszerű, felhasználónevekből és jelszavakból álló megoldásokra támaszkodunk, hogy korlátozzuk az adatokhoz és a (számítástechnikai) rendszerekhez való hozzáférést. Ez a mára elavult biztonsági módszer Marie találmányához hasonlít. Bár lefektette az adatvédelem kereteit, de az nehézkes, és hiányzik belőle az automatizáltság egyszerűsége is. Emellett a hibáknak és a frusztrációnak is bőséges teret hagy. Minden alkalommal, amikor a felhasználó elfelejti a jelszavát, a jelszó visszaállításának fárasztó folyamata kellemetlenné teszi az olyan alapvető dolgok elvégzését, mint az online fiókokhoz való hozzáférés, a vásárlás vagy a pénzátutalás. 

Ennek eredményeként a felhasználók ellustultak és hanyaggá váltak, túlságosan egyszerű, könnyen feltörhető jelszavakat kezdtek használni. Több szolgáltatónál is ugyanazokat a jelszavakat használták, így egyetlen feltört jelszó az összes fiókjukat sebezhetővé tette a potenciális kibertámadásokkal szemben. 

Eltartott egy ideig, amíg a szolgáltatók rájöttek, hogy a fentiek miatt saját vállalkozásuk, eszközeik és hírnevük is veszélyben forog. Komolyabb ellenőrzési és hitelesítési rendszerre volt szükség mind a felhasználók, mind a belső rendszerek biztonsága érdekében.

A FIDO Szövetség (FIDO Alliance)

Az a gondolat, hogy a jelszóhasználat elavult, egyáltalán nem új keletű. 2009-ben a FIDO Szövetség néhány első alapítója már fontolóra vette a biometrikus azonosítók használatát a hitelesítéshez, és ez az ötlet hívta életre 2012-ben magát a FIDO Szövetséget. Az elmúlt évtizedben ez a szövetség még nagyobbra nőtt és mára már a technológiai ipar több vezető szereplőjét, valamint globális kormányzati ügynökségeket is magában foglal. Együtt új megoldásokon dolgoznak a jelszavas biztonságtól való függőségünk megszüntetésére, különös tekintettel a nyílt, bővíthető és kölcsönös átjárást biztosító mechanizmusokra. 

A FIDO protokollokat alkalmazó vállalatok biztonsági gyakorlatukat egy jól bevált és tesztelt szabványra alapozzák, amely nyilvános kulcsú titkosítást használ. Ennek eredményeként, minden felhasználó, aki online szolgáltatáshoz csatlakozik, vagy a FIDO Szövetség tagjának szolgáltatásában felhasználói fiókot hoz létre, szabványosított biztonsági módszert használ.

Hogyan működnek pontosan a FIDO protokollok?

FIDO protokollok

Tegyük fel, hogy olyan felhasználói fiókot hoz létre, vagy olyan online szolgáltatásra regisztrál, amely a hitelesítéshez vagy a személyazonosság-ellenőrzéshez FIDO protokollt használ. A regisztráció során – pl. asztali számítógépén vagy mobiltelefonján – az eszköz két kulcsot hoz létre: egy nyilvános és egy privát kulcsot. A nyilvános kulcsot automatikusan regisztrálja a szolgáltatója, míg a privát kulcs biztonságosan tárolódik az eszközén. Innentől kezdve minden alkalommal, amikor megpróbál bejelentkezni, tranzakciót hajt végre vagy adatot cserél a szolgáltatással, platformmal, webhellyel, stb., a nyilvános kulcs hitelesíti Önt, ellenőrizve azt, hogy valóban Ön a privát kulcs tulajdonosa. 

A nyilvános és privát kulcsok létrehozása után az adatok dekódolása és titkosítása, valamint a kulcsok tulajdonjogának ellenőrzése felhasználói beavatkozás („köztes személy”) nélkül történik, így megszűnik a biztonsági lánc leggyengébb láncszeme – ez pedig Ön. Ahogy korábban említettük, a felhasználók gyakran akaratlanul is figyelmetlenek, ha biztonságról van szó. A jelszó “megszüntetésével” a gyenge vagy több helyen használt jelszavak használatából fakadó veszélyek is megszűnnek. 

Jelenleg három különböző FIDO protokoll van használatban:

  • FIDO Universal Second Factor (FIDO U2F)
  • FIDO Universal Authentication Framework (FIDO UAF)
  • FIDO2

FIDO U2F

Ez a korai FIDO protokoll egy tényleges, fizikai kulcsra (például egy YubiKey-re) támaszkodik az ellenőrzéshez. Ebben az esetben bedugnak egy kulcsot a számítógépbe vagy a mobileszközbe (vagy rákapcsolódnak, ha az eszköze alkalmas a közeli kommunikációra). Amikor egy szolgáltatás aláírási kérést küld a személyazonosság igazolására, a kulcs elvégzi a szükséges hitelesítést. Ez alapvetően a hitelesítés második lépcsőjeként szolgál (2FA, kétlépcsős hitelesítés), amely növeli az egyszerű felhasználónév és jelszó párossal történő bejelentkezés biztonságát. 

FIDO UAF

A FIDO Szövetség igyekezett tovább lépni a jelszó nélküli bejelentkezési élmény megteremtésének irányába. A FIDO UAF lehetővé teszi a felhasználók számára, hogy egy adott eszközt egy online szolgáltatásba regisztráljanak (ilyenkor nyilvános és privát kulcsok generálódnak), majd többtényezős hitelesítést – általában biometrikus megoldást, pl. ujjlenyomatot, arcszkennelést – vagy PIN-kódot, stb. alkalmazzanak, a személyazonosságuk igazolásához. Ez kiküszöböli a kézzelfogható kulcs szükségességét és igen magas szintű biztonságot nyújt, mivel továbbra is a nyilvános kulcsú titkosításra támaszkodik – jelszavak helyett.

FIDO2

A legújabb FIDO protokoll a biometrikus hitelesítés széles körű elérhetőségét használja ki. Amikor a felhasználók bejelentkeznek a FIDO2 szolgáltatásba, ujjlenyomattal, arcszkenneléssel vagy akár hangfelismeréssel igazolhatják, hogy van privát kulcsuk és így jogosultak az adatokhoz és tranzakciókhoz hozzáférni. A legfőbb újdonság a FIDO2 protokoll esetében, hogy maga az eszköz (például mobiltelefon) használható hitelesítőként. Például, ha FIDO2 biztonsági protokollt használó webhelyre szeretne bejelentkezni, akkor a szolgáltató által a webhelyen telepített Web Authentication API (WebAuthn) kezdeményezi az interakciót az adott webhely és az Ön hitelesítője (pl. mobiltelefon, kulcs, stb.) között. A hitelesítője, amelyet például ujjlenyomat- vagy arcszkenneléssel old fel, biztosítja a szükséges személyazonosság-ellenőrzést, és hozzáférést nyújt a szolgáltatáshoz, webhelyhez, platformhoz, stb.

A FIDO előnyei

A FIDO legfontosabb előnye a nagyon erős biztonság, köszönhetően annak, hogy nem használ könnyedén megfejthető (pl.: egyszeri jelszavak – OTP) és könnyedén feltörhető (pl.: felhasználónév jelszó páros) ellenőrzési módszereket. Ezen túlmenően a FIDO számos további előnnyel is büszkélkedhet. 

  • Egyszerű hozzáférés: A jelszavak kiiktatásának köszönhetően a felhasználók egyetlen érintéssel, egy gyors pillantással vagy a fizikai hitelesítő kulcson lévő gombnyomással bejelentkezhetnek a szolgáltatásokba. A felhasználóknak nem kell hitelesítés céljából további szoftvereket vagy mobilalkalmazásokat telepíteni.

  • Költségmegtakarítás: A jelszóhasználat rejtett költségekkel jár. A jelszó biztonságos visszaállításához sokszor képzett ügyfélszolgálati munkatársak segítségére van szükség. Ezen felül egy cég jó hírneve is sérülhet a nem megfelelő biztonságból adódó incidensek miatt, aminek költsége gyakran felbecsülhetetlen.

  • Lokalizált biztonság: Mivel a privát kulcs mindig a felhasználói eszközön marad (akár a fizikai kulcson, akár a hitelesítőként használt eszközön), a hackerek számára ennek visszafejtése vagy ellopása nem lehetséges.

  • Széleskörű használat és támogatás: A FIDO protokollokat számos különböző vállalat használja a különböző iparágakban. A főbb webböngészőkben is használhatóak.

A FIDO hátrányai

Az összes biztonsági intézkedéshez hasonlóan a FIDO sem tökéletes. Elsődleges hátránya a nagyszámú mozgó elem, különös tekintettel a FIDO2-re, amely a hitelesítők (privát kulcsok), a lekérdezett platform (pl. online szolgáltatás) és a használt böngésző közötti zökkenőmentes kommunikációra alapul. Nem minden böngésző működik minden hitelesítővel, és néhány régebbi iOS-verzió egyáltalán nem támogatja a FIDO2-t. Egyes Android-eszközökön FIDO2-protokollok vannak telepítve, míg az Apple-eszközök saját belső biztonsági rendszerükre támaszkodnak. A mindenkori elérhetőség hiánya nem kielégítő felhasználói élményt eredményezhet.

Ezenkívül a regisztráció eszközfüggő, ami a biztonság szempontjából kiváló. Azonban további erőfeszítést igényel a felhasználók részéről, akiknek minden egyes használni kívánt eszközt külön kell regisztrálniuk a szolgáltatáshoz, platformhoz, stb. Ezek a lépések ronthatják az általános felhasználói élményt.

Függetlenül attól, hogy cége milyen biztonsági megközelítést választ, egy dolog teljesen biztos: a jelszavak önmagukban már nem elegendőek. A felhőben és külső adatbázisokban tárolt legszemélyesebb információink miatt önmagukban is megbízható biztonsági intézkedésekre van szükségünk, nem pedig elavult mechanizmusokra, amelyeknél a felhasználókon múlik az adatbiztonság erőssége. A FIDO használata nemcsak azt jelenti, hogy a technológiai ipar legnagyobb szereplői által kidolgozott globális szabványt választjuk, hanem azt is, hogy egy olyan megoldásnak szavazunk bizalmat, amelyet az új fenyegetések és a technológiai fejlődés előrehaladtával folyamatosan újragondolnak és javítanak.

Vissza