A jelszavak használata sokakat gyakran az őrületbe kerget, mert most már nagyon sok felületen kötik azok használatát jelszavakhoz. Sőt, a cégeknél használt egyéb felületek esetében is általában jelszavas azonosításokkal próbálják védeni az adott platformokat. A jelszavak viszont a hackerek álma. Nagyon sokan ugyanis nem alkotnak új jelszavakat minden egyes online-profiljukhoz, -regisztrációjukhoz. Korábbi felmérésekből kiderült már, hogy egy átlagos felhasználó 14-szer használja újra a jelszavát, a Verizon 2020-as mobilbiztonsági elemzése (MSI) pedig arra mutatott rá, hogy a megkérdezettek kevesebb mint fele változtatja meg a gyártók által megadott jelszót, és mindössze 51 százalék kódolja le az érzékeny adatait, ha publikus hálózatok keresztül küldi el azokat.
Így a hackerek sokszor nem bajlódnak a célba vett szervezet rendszerének feltörésével, hanem inkább valami ügyes trükkel a jelszavakat és a kiváltságos (privelegizált) hozzáférési jogokat próbálják ellopni. Nem véletlen, hogy a jelszavak nagyon értékes "árunak" számítanak a dark weben is (ami a személyes- és banki adatokkal, drogokkal, hacker-eszközökkel kereskedő kiberbűnözők kedvelt felülete is).
A leggyengébb láncszem
Miután a mobileszközök és az általuk használt applikációk az egyik leggyorsabban növekvő szegmens és egyben ezek a legvédtelenebb felületek a vállalkozások számára, a hackereknél ez vált az elsődleges célponttá. A mobil eszközöknek csupán egy - nagy eséllyel gyenge - jelszóval való levédése viszont a leggyengébb láncszemévé teszik ezeket az eszközöket a rendszerben.
Vállalati környezetben ugyan már elterjedt a mobileszköz menedzsment, vagy újabb nevén az egyesített végpontmenedzsment (UEM) rendszer használata, amely képes az eszközökön összetett jelszó használatát, vagy más alapvető biztonsági intézkedést kikényszeríteni, azonban egy UEM rendszer önmagában még nem számít végpontvédelemnek - hívta fel a figyelmet Kerékfy Miklós, az S&T Magyarország IT biztonsági szakértője.
Intő jel lehet, hogy a Verizon mobilbiztonsági elemzése is arra mutatott rá, hogy egyre emelkedik azoknak a cégeknek a száma, amelyeket mobileszközökön keresztül ért valamilyen IT biztonsági incidens. A felmérés szerint a megkérdezettek körében ez 39 százalékos arányt jelentett. Az ilyen incidensek pedig súlyosak voltak (66 százalék nyilatkozott így) és 36 százalék számára hosszabb távú következményekkel járt.
Kerékfy szerint ez a sérülékenység most még inkább a figyelem középpontjába kerül a koronavírus-járvány miatt, amikor a munkavállalók jelentős része otthonról dolgozik, ami egy cég informatikai biztonsága szempontjából sokszor nem minősül biztonságos környezetnek. Ez sokak számára megmutatta azt is, hogy nem elég csupán az UEM rendszert használni és kezelni, kell mellé egy fejlett mobil végpontvédelmi (MTD) megoldás is, amelyet minél mélyebben integrálni kell az UEM rendszer működésébe és munkafolyamataiba - tette hozzá a szakember.
A jelszavak ideje lejárt
Nem csoda, hogy az IT szakemberek egyre inkább véget vetnének ennek a rendszernek és inkább kiiktatnák a jelszavakat az azonosítások sorából, és azokat olyanokkal váltanák fel, amelyek jóval nagyobb biztonságot jelentenek, mint például a biometrikus alapú azonosítások (retina szkennelés, ujjlenyomat, arcfelismerés). Sőt, IT biztonsági vezetők közel kétharmada a biometrikus azonosítókat sokkal felhasználóbarátabbnak is tekintik, mint a jelszavakat - derült ki az IDG egy tavaly publikált felméréséből, amelyet 200, ötszáz főnél több embert foglalkoztató amerikai, brit, ausztrál és új-zélandi vállalat IT biztonsági vezetője megkérdezésével készítettek.
Ez a kutatás alapvetően azt boncolgatta, hogy a jelszavak használata milyen veszélyeket rejt, és miért szeretnének ettől az azonosítási formától búcsút venni az IT szakemberek. A jelszavak használatának kiiktatása mellett a kutatás szerint a következő érvek szólnak:
- az IT biztonsági szakemberek 90 százaléka találkozott már olyan jogosulatlan belépési kísérlettel, ami ellopott hozzáférések eredményeként történt;
- az IT szakemberek úgy vélik, hogy a jogosulatlan behatolások kockázatát közel felével lehetne csökkenteni, ha a jelszavakat kiiktatnák;
- az ügyfélszolgálati ügyek 41 százaléka jelszó vagy többtényezős hitelesítés (MFA) miatti kizárásból fakadt;
- a jelszavak miatti kizárások a felhasználóknak 68 százalékát zavarja, 63 százalékát irritálja, 62 százalékát frusztrálja és 62 százaléka úgy érzi, időt veszteget ezzel;
- a vállalati végfelhasználók közel fele újra és újra felhasználja a személyes és vállalati jelszavát, ami egyébként nem felel meg a bevált legjobb biztonsági gyakorlatoknak;
- az IT biztonsági vezetők 86 százaléka legszívesebben megszüntetné a jelszavak használatát, sőt, a szakemberek közel háromnegyede aktívan keresi is a jelszavak helyettesítésének módját.
Már a kezünkben a megoldás
A jelszavak kiváltására a legjobb megoldásnak a mobil eszközöket tartanák, miután egyrészt egyre inkább ezek kerülnek a vállalatok ügymenetének középpontjába, másrészt ezek az eszközök már rendelkeznek azokkal a technológiákkal, amelyek képesek a biztonságos azonosításra. Az IDG fent említett felmérése szerint az IT biztonsági szakemberek közel 90 százaléka gondolta úgy, hogy hamarosan a mobileszközök veszik át azoknak a digitális azonosításoknak a szerepét, amelyeken keresztül egy vállalat szolgáltatásaihoz és adataihoz hozzá lehet férni. Ezt a vélekedést erősítheti egyrészt az IDG elemzése, mely szerint a végfelhasználók mintegy 42 százalékának szükséges naponta üzleti applikációkhoz hozzáférnie, ami a felmérés szerint a következő két évben jelentősen megemelkedhet, másrészt a Verizon 2020-as mobilbiztonsági elemzése (MSI), amelyben arra a kérdésre, hogy a megkérdezettek vállalkozásának szempontjából mennyire fontos a mobiltelefon, 83 százalékuk egy 10-es skálán 8 vagy ennél magasabb értéket jelölt meg.
Kerékfy ezzel kapcsolatban arra hívta fel a figyelmet, hogy az utóbbi években sok minden megváltozott, a felhasználói szokások, az elérhető szolgáltatások száma és a nagyvállalati munkához használt szoftverek is. "Magánéletünkben minden általunk interneten elérhető szolgáltatás abba az irányba halad, hogy a mobileszközünk azonosítson minket, így miért ne használnák a vállalatok is ugyanezt a megoldást? Egy jól megvédett mobileszköz sokkal biztonságosabb, mint egy könnyen ellopható jelszó" - vélekedett a szakértő.
(Cikkünk az S&T együttműködésével készült.)