A távmunkára való áttérés, és a jelszavakat érintő hackertámadások megugrása miatt még sürgetőbbé vált a mindennapi életben használt, könnyen elfelejthető és feltörhető betű- és számsorok lecserélése. Mivel egy átlagembernek ma már 70-80 jelszót kell megjegyeznie, a bostoni székhelyű Transmit Security – amely júniusban 543 millió dolláros tőkebevonást valósított meg – úgy véli, hogy van jobb módja is a weboldalakra és alkalmazásokba való bejelentkezésnek - írja a Financial Times.
Az arcfelismerő vagy ujjlenyomat-leolvasó technológiával ellátott okostelefonok és számítógépek már mindenütt jelen vannak, egyesek szerint pedig időszerű lenne, hogy nagyobb hangsúlyt kapjanak ezek a technológiák. A kiberbiztonság történetének legnagyobb, több mint félmilliárd dolláros befektetését elérő startup vállalatának egyetlen célja van, hogy felejtsük el a jelszavakat, de persze nem úgy, ahogy általában szoktuk.
Múlt évben a Világgazdasági Fórum azzal érvelt, hogy egy „jelszó nélküli jövő” jelentősen javítaná a cégek biztonságát, mivel összességében csökkenti a kiberbűnözők támadási felületét, valamint a hitelesítő adatok ellopásának kockázatát. Emiatt folyamatos verseny zajlik a jelszavak leváltásáért, amelyben a biometrikus biztonsági rendszerek tűnnek az egyik legnépszerűbb megoldásnak.
A gyenge fiókvédelem nem tréfa
A biometrikus azonosítás során a személyt nem külső kód vagy szám (például személyi igazolvány) alapján különböztetik meg, hanem valamilyen egyéni, biológiai jegy szerint. Utóbbi lehet az ujjlenyomat, az írisz (szivárványhártya) mintázata, de akár az arckép vagy a hang is. Andrew Shikiar, a Fast Identity Online szövetség ügyvezetője szerint a fogyasztói szolgáltatások túlnyomó többsége ilyen bejelentkezési rendszert fog kínálni néhány éven belül.
Annak dacára, hogy a piacon egyre több jelszókezelő szoftver érhető el – amely képes létrehozni véletlenszerű karakterekből álló, látszólag feltörhetetlen kódokat –, a leggyakoribb azonosítók még mindig az egyszerű számsorok szintjén mozognak a felhasználók körében. A feltörések több mint 80 százaléka a gyenge jelszavaknak tudható be a Világgazdasági Fórum szerint, miközben továbbra is ez a hackerek által leginkább keresett adat, ami még a személyes vagy érzékeny információk megszerzésénél is fontosabb.
Sok esetben a magánszemélyeket adathalász emailekkel és egyéb „social engineering” technikákkal veszik rá a jelszavak átadására, azonban a kibertámadók arra is törekednek, hogy alkalmazásokat feltörve egész adatbázisokat lopjanak el. A múltban olyan nagy technológiai csoportok, mint a Yahoo és a LinkedIn is szenvedett már el komoly feltöréseket.
Emellett a lopott jelszavaknak élénk piaca van a dark weben – az internet azon részén, amely csak egy lenyomozhatatlan böngészőn keresztül érhető el –, a Digital Shadows kutatása szerint a hackerfórumokon több mint 15 milliárd hitelesítő adat kering, amelyek több mint 100 000 különálló betörésből származnak.
Ráadásul sokba is kerülnek
Számos startup cég egyre több vállalatot győz meg arról, hogy a biztonság, a könnyű használat és a költségek csökkentése érdekében térjenek át a jelszavakról más hitelesítési módszerekre. A Forrester 2018-as jelentése szerint némely amerikai cég évente több mint 1 millió dollárt fordít a jelszavakkal kapcsolatos ügyekre, beleértve az automatizált feltörőprogramok elleni technológiák fejlesztési költségeit. Bár a becslések eltérőek, egyes vállalatoknál egy új jelszó beállítása akár 75 dollárba is kerülhet minden alkalommal.
Ismet Geri, a Veridium jelszómentes azonosítással foglalkozó vállalat vezérigazgatója arról számolt be, hogy a hatalmas kereslet miatt 250 százalékkal nőttek a bevételeik 2020-ban. A Veridium, a Trasmit és más online pénzügyeket, fizetést és kiskereskedelmet célzó vállalat mellett a Google és az Apple is egyre gyakrabban alkalmazza azt a biometrikus hitelesítést, melyet a Fido – egy hitelesítési szabványok biztosítására összpontosító cég – is szorgalmaz.
Még nem tökéletes
Az ilyen rendszerek használatának azonban még mindig vannak kockázatai, ugyanis a jelszavakkal ellentétben a biológiai mintákat nem lehet megváltoztatni. Tehát ezeket az adatokat szigorúan őrizni kell, egyrészt adatvédelmi okokból, másrészt pedig a hamisítás megakadályozása érdekében, mivel az elkövetők gyakran megpróbálják becsapni a kamerákat és érzékelőket az áldozatukról készült fotókkal vagy ujjlenyomatokkal.
A biometrikus és jelszó nélküli hitelesítésnek is megvan a saját támadási felülete
– mondta Lavi Lazarovitz, a CyberArk biztonságkutatással foglalkozó igazgatója, aki csapatával beazonosított egy tervezési hibát a Microsoft operációs rendszerének arcfelismerő funkciójában (Windows Hello), amit kihasználva a potenciális támadók hamisított fotókkal is be tudnának jelentkezni. A szakértő szerint bár egy ilyen kísérlet fizikai jelenlétet igényel, a rendkívül értékes biometrikus adatok feketepiaca elterjedtebb lehet a jövőben.
Azonban jó hír, hogy amíg régebben az adatokat központi szervereken lévő adatbázisokban tárolták, ma már könnyebb biztosítani, hogy azok a saját eszközön legyenek. Rakesh Loonkar, a Transmit elnöke és társalapítója szerint az emberek többsége inkább a centralizált hálózatokon lévő, központi szervek által ellopható információktól fél. Kiemeli azt a 2018-as indiai esetet, amikor kormányzat által tárolt biometrikus adatok kerültek illetéktelen kezekbe. Ugyanakkor hozzáteszi, hogy az új technológia hatékony védelmet nyújt a tömeges feltörések ellen, hiszen a támadásokat „eszközönként” kellene végrehajtani.
Rossz kezekben végzetes
Eközben más startupok, például a BioCatch és a BehavioSec olyan módszereket vizsgálnak, amelyeknél a felhasználó folyamatos ellenőrzésével lehetne küzdeni a hamisítások ellen. A viselkedésalapú rendszereik valós időben figyelik az eszközöket, valamint azonnal jelzik, ha bármilyen gyanús – a felhasználó vélt szokásaitól eltérő – változást tapasztalnak.
Mindemellett egyes szakértők szigorúbb piacfelügyeletet szeretnének annak érdekében, hogy megakadályozzák a vállalatok és kormányok visszaéléseit. Az arcfelismerő rendszerek elterjedésétől sokan tartanak, különösen olyan autoriter és elnyomó politikai rezsimekben, mint amilyen Kína és Oroszország.
Anil Jain, a Michigani Állami Egyetem professzora szerint erős szabályozásra van szükség a biometrikus adatok esetében, miután a személyes adataink egyre inkább a hirdetők kezében vannak.
A jelszómentes megoldásokban reménykedő startupok sikere leginkább azon múlhat, hogy miként képesek változtatni az ügyfelek szokásain. Ed Amoroso, a TAG Cyber kiberkutató és tanácsadó cég vezérigazgatója azzal érvel, hogy amíg egyes alkalmazások gyorsan átállhatnak, addig más webhelyek – például az online pókeroldalak – kevésbé szeretnék frissíteni a meglévő rendszereiket. A szakértő szerint egyébként soha nem fogunk eljutni egy teljesen jelszómentes korszakba, ezért a biometrikus azonosítás inkább kényelmes alternatíva marad, mintsem egyedüli szolgáltatás a jövőben.