„A bejelentkezés sikertelen: a felhasználónév ismeretlen vagy a jelszó hibás.” Az elmúlt években jelentősen megnőtt az általunk használt különböző jelszavak és bejelentkezési azonosítók száma. A ‘Hozd magaddal a saját identitásodat’ (Bring Your Own Identity, BYOI vagy BYO-ID) megoldás célja, hogy lehetőséget adjon a felhasználóknak az egyszeri, központi bejelentkezésre (Single Sign-on, SSO). A BYOI egy olyan, az egyént hitelesítő módszer, amely magában foglalja a végfelhasználó felhasználónevének és jelszavának kezelését, amit ráadásul bizonyos esetekben egy harmadik fél szolgáltat. Az egyszeri, központi bejelentkezés (SSO) pedig a hitelesítési folyamathoz kapcsolódik: a felhasználó egy felhasználónevet és egy jelszót őriz meg, hogy azzal egyszeri bejelentkezés után több alkalmazáshoz is hozzáférhessen. Mindkét megoldás előnye, hogy a felhasználó így kényelmesen (központilag) tud bejelentkezni, a kritikusok szerint azonban fennáll annak a veszélye, hogy a személyes adatokat így könnyebb megszerezni vagy ellopni. Ez pedig felveti a kérdést: a praktikusság növelésével vajon nem sérül-e a felhasználók biztonsága? Az alábbi cikkben a BYOI és az SSO megoldások előnyeit és hátrányait mutatjuk be.
A jelszavak nagy száma komoly kihívás elé állítja a felhasználókat: minden online szolgáltatáshoz és minden fiókhoz számos bejelentkezési adatot kell megjegyezniük annak érdekében, hogy azonosítsák és hitelesítsék magukat. A felhasználónak átlagosan 100 jelszót kell tudniuk, amelyek közül sok – a biztonsági követelmények teljesítése érdekében – nagyon bonyolult. Míg a személyi igazolvánnyal való azonosítás az offline világban általában elegendő, a digitális világban számtalan felhasználói fiókunk van a különféle szolgáltatásokhoz, amelyekhez különböző jelszavak tartoz(hat)nak. A legrosszabb esetben az is előfordulhat, hogy egy online fiókot blokkolnak és csak az ügyfélszolgálaton keresztül lehet azt újra feloldani – ami időigényes és bosszantó.
A BYOI digitális hitelesítési módszer úgy lett kialakítva, hogy átláthatóvá tegye a jelszavak dzsungelét, így a koncepció kiválóan alkalmazható webhelyekre való bejelentkezéshez. A gyakorlatban ez azt jelenti, hogy a végfelhasználónak nem kell új jelszót vagy akár felhasználónevet létrehoznia, hanem egyszerűen egy harmadik félre bízhatja digitális identitásának kezelését (identitáskezelés vagy IdM), ami lehetővé teszi, hogy a már meglévő identitása használatával jelentkezzen be. Mindössze arra van szükség, hogy a célalkalmazás integrálja magát a BYOI szolgáltatást.
Ilyen például a Facebook, Twitter vagy LinkedIn azonosító segítségével történő bejelentkezés egy másik webhelyre, amit „közösségi bejelentkezésnek” nevezünk. A közösségi média platformok mellett kormányzati intézmények, internet- és hálózati szolgáltatók vagy akár bankok is biztosítják ügyfeleik számára a BYOI opciót. Ahhoz viszont, hogy elkerülhető legyen az adatokkal való visszaélés, a BYOI megerősített identitás-ellenőrzést igényel a belépés során. Vállalati szinten a BYOI-t gyakran Identity-as-a-Service-nek (Identitás mint szolgáltatás, IDaaS) is nevezik.
A BYOI kulcsa: az SSO
A BYOI az egyszeri bejelentkezési megoldáson (SSO) alapszik. Ez azt jelenti, hogy a felhasználó létrehoz egy (központi) nevet és jelszót, amely lehetővé teszi, hogy több különböző alkalmazásban hitelesítse vele magát. Ezáltal nem kell több információt megadnia, és nincs szükség további azonosításra sem. Az egyszeri bejelentkezést (SSO) a privát közegen túl vállalati környezetben is használják a webes alkalmazások azonosítási folyamataiban (például a vállalati felhőhöz való hozzáférés érdekében); így tehát a különálló bejelentkezési folyamatok helyettesítésére szolgál és egységes identitásként működik a felhasználók számára. Az egyszeri bejelentkezés és az azonos felhasználó-azonos jelszó (Same User – Same Password, SUSP) közötti alapvető különbség az, hogy míg a SUSP esetén a felhasználónak minden alkalmazáshoz külön-külön kell bejelentkeznie – különböző bejelentkezési adatokkal- , addig az SSO egy sor alkalmazáshoz automatikusan (központi) hitelesítést biztosít.
Az SSO nem azonos az önszuverén identitás fogalmával (Self-Sovereign Identity, SSI). Bár a mozaikszavak csak egy betűben térnek el egymástól, alapvetően különböző dolgokat jelölnek: míg az SSO központi identitás kezelést valósít meg – gyakran csak gyenge adatellenőrzéssel –, addig az SSI központi fél jelenléte nélkül hoz létre egyéni digitális identitást. Az SSI-t leginkább digitális pénztárcákhoz használják.
A BYOI és az SSO előnyei és hátrányai
A BYOI és az SSO egyik fő előnye az egyszerű hitelesítés: sok vállalat egyre gyakrabban használ elkülönülő felhő alapú megoldásokat (multi-cloud) különböző céljaiknak megfelelően. Az SSO-nak köszönhetően a felhasználók könnyedén bejelentkezhetnek a különböző felhőszolgáltatásokba. Ez magasabb szintű felhasználói élményt biztosít és különböző felhasználói nevek és jelszavak időigényes kezelésére sincs többé szükség. Webalapú szolgáltatások esetén a BYOI és az SSO biztosítja a felhasználók számára, hogy új felhasználónevek és jelszavak megjegyzése nélkül gyorsan tudjanak regisztrálni.
De vannak a megoldásnak árnyoldalai is: habár a támogatói szerint nem lényeges, hogy hol futtatják magát az identitás és hozzáférés kezelő (Identity and Access Management – IAM) rendszert, a kritikusok többször hangoztatják, hogy ez adatbiztonság és adatvédelem szempontjából túl laza megközelítés. Azt is kifogásolják, hogy a vállalatok függővé válnak az azonosítást nyújtó szolgáltatójuktól, ami azt jelenti, hogy egyetlen, közös meghibásodási pont keletkezik a különböző alkalmazások használata során: ha a digitális azonosítási adatokat ellopják vagy feltörik, annak bizonyos esetekben rendkívül jelentős következményei lehetnek, beleértve a pénzügyi hatásokat is.
Mindazonáltal a jelszavak és felhasználónevek folyamatosan bővülő gyűjteménye is biztonsági kockázatot jelent, mivel előfordulhat, hogy a felhasználók “jelszó-higiéniája” nem megfelelő. Például sok felhasználó ugyanazokat a bejelentkezési adatokat használja különböző alkalmazásokhoz. Elég, ha az adatok csak egy helyről kikerülnek, máris minden alkalmazás veszélybe kerül.
Az SSO másik előnye az automatizált hozzáférési adatkezelés: az adminisztrátoroknak többé nem kell gondoskodniuk alkalmazottaik egyéni fiókjairól, így az IT-csapatok szabadon koncentrálhatnak a fontosabb feladatokra. Sőt, a többfaktoros azonosítás (Multi-Factor Authentication, MFA) segítségével még biztonságosabbá tehető az alkalmazásokba történő egyszeri bejelentkezés. Ez utóbbi megoldás mindkét kulcsfontosságú szempontot teljesíti: a felhasználóbarát használatot és a(z) (adat)biztonságot.
Az eredeti cikk a Nevis Security honlapján
