Mennyire biztonságos a kétfaktoros hitelesítés (2FA)?
Az adatlopások és adatsértések nagyon káros következményekkel járhatnak mind a felhasználó, mind a weboldal és alkalmazások tulajdonosai számára. Szerencsére már sok vállalat a kétfaktoros hitelesítést (2FA) is használja a jelszó mellett, hogy biztosítsa azt, hogy illetéktelenek ne férjenek hozzá a felhasználó adataihoz. A Google például nemrég jelentette be, hogy a kétfaktoros hitelesítést alapértelmezetté kívánja tenni a felhasználók számára. A népszerűsége ellenére azonban a szakértők néhány esetben mégis megkérdőjelezik, hogy mennyire biztonságos a 2FA. De először is értsük meg, mi is az a kétfaktoros hitelesítés.
Mi a kétfaktoros hitelesítés?
A kétfaktoros hitelesítés (2FA) olyan biztonsági intézkedés, amely két tényezőt igényel a digitális személyazonosság ellenőrzéséhez. Ez azt jelenti, hogy nem biztosít hozzáférést, ha a felhasználó nem tudja bemutatni a megfelelő felhasználónév és jelszó mellett a második azonosítót is, ahol mindkettőnek egyedinek kell lenni. A többfaktoros hitelesítési folyamat során tehát egy további információt, például Google Authenticator, Magic Link vagy SMS-ben küldött jelszókódot kér a fiókba való bejelentkezéshez.
Erre a hitelesítésre egy példa az Instagram használatakor a bejelentkezési folyamat. A folyamat első része a jelszó és a felhasználónév megadását jelenti. Ezután következik a biztonsági kód, amelyet e-mailben vagy SMS-ben küldenek el a felhasználónak.
Számos más weboldal is használ ehhez hasonló hitelesítő alkalmazásokat egyedi kódok generálására, amelyek erre a funkcióra fejlesztett speciális alkalmazások hoznak létre. Ilyen alkalmazása Google Authenticator is.
Hogyan működik a 2FA?
A 2FA működési folyamata attól függően változik, hogy milyen információt kérnek a felhasználótól. A bejelentkezési folyamat az alábbi két variáció kombinációját tartalmazhatja:
- A bejelentkezési adatok – felhasználónév és jelszó – már ismertek az egyén számára. Már olyan alkalmazások is léteznek, amelyek biztonságosan elmentik ezeket az információkat. Ilyen például a Google Password Manager vagy a Passkey alkalmazások.
- Az egyén fizikai aspektusára vonatkozó adatok, mint például a biometrikus adatok.
- A mobiltelefonok alkalmazásaiban megerősítő kódokat generáló alkalmazások.
A vállalkozások e három követelmény közül kettőt a bejelentkezési adatokkal és a telefonszámokkal együtt használnak a felhasználó védelmére.
Pár mítosz a 2FA-ról
Ezekután már csak azt érdemes tisztázni, hogy mennyire biztonságos a 2FA.
A 2FA számos hackertámadás esetén sebezhető. Ilyen eset lehet például, amikor a felhasználó véletlenül jóváhagyja a hozzáférést egy hacker által kiadott kérésnél anélkül, hogy azt tudomásul venné. Másik ilyen eset, hogy a kódokat megbízhatatlan harmadik fél által használt médiumokon keresztül küldik el. A kód SMS-üzeneten keresztül történő elküldésének biztonsága pedig a mobilszolgáltatótól függhet.
A koncepció kidolgozása óta óriási véleménykülönbség van abban, hogy mennyire biztonságos a 2FA. A hitelesítés történhet SMS küldésével, az e-mail fiókban található ellenőrző linkkel és más alkalmazásokkal. Vannak olyan esetek is, amikor a 2FA folyamat automatikusan, a böngészőben tárolt információk beütésével történik.
A legtöbb vállalatot azonban nem érdekli, hogy mennyivel növeli a biztonságot a 2FA, hanem egy jogi követelményként tekint rá. A kisebb vállalatok többnyire nem fordítanak jelentős összeget a biztonságra. Rögtönzött biztonsági szabályzatot hoznak létre, és lazán használják a 2FA-t anélkül, hogy megértenék annak működési elveit. Egyes vállalatok pedig úgy tekintenek rá, mint ami a fogyasztói élményt akadályozza, mivel a szokásosnál hosszabb bejelentkezési folyamatot igényel.
Amikor szembesülünk a kérdéssel, hogy biztonságos-e a 2FA, a válasz egy biztos igen. Azonban nem bolondbiztos.