Kétfaktoros hitelesítés: a biztonság illúziója

Amikor sajtcetlikre vésett jelszavakba botlunk a munkánk során, akkor gyakran halljuk, hogy a kétfaktoros hitelesítés (2FA) miatt úgysem férnének hozzá az adatokhoz illetéktelenek. Ez egy bizonyos nézőpontból, egy bizonyos típusú helyzetben valóban igaz is, viszont nagyon jól rávilágít arra a felelősségtelen hozzáállásra, ami a biztonság illúziójába ringat minket. Cikkünkben egy olyan életből kiragadott példát hoztunk, amikor a kétfaktoros hitelesítés nem nyújt védelmet.

Az alkalmazottak jelentik a legnagyobb IT biztonsági kockázatot a céged életében

Fontos megérteni, hogy a biztonsági rés általában nem a hardverből vagy a szoftverből fakad. A sikeres támadások gyakori közös jellemzője egy figyelmetlen munkatárs. Ezen sokat javíthatsz a dolgozóknak biztosított rendszeres informatikai képzésekkel. Azért írtuk, hogy “rendszeres”, mert szintén tapasztalat, hogy érdemes időről időre felfrissíteni a tudást ahhoz, hogy az valóban beépüljön a céges kultúrába.

Miért nem ment meg a kétfaktoros azonosítás, ha figyelmetlen a kolléga? – session token lopás

Ha te is csak a jelszavaddal tudsz belépni valahová, akkor hogyan lehetséges, hogy más anélkül jusson be valamilyen rendszeredbe? A válasz nagyon egyszerű: igazából csak nagyon ritkán írod be a jelszavakat ahhoz, hogy belépj valahova. Ismét egy való életből vett példa következik: a session token lopás.

Először is mi az a session token? Ez egy olyan digitális engedély, ami egy rendszeren belül lehetővé teszi, hogy jelszó nélkül lépj be valahova. Te is minden nap használsz ilyet, gondolj csak arra amikor betöltöd a Facebookot! Ha nem csinálsz “gyanús” dolgokat, például nem jelentkezel be a megszokottól eltérő helyekről, akkor hosszú ideig nem is látod a bejelentkezési felületet. Ezt az állapotot egyszerűen a kényelem szülte, valószínűleg kevesebbet lógnánk a social media platformokon, ha ehhez minden alkalommal át kellene mennünk a kétfaktoros hitelesítésen. Amit – zárójelben tesszük hozzá – szintén a felhasználói lustaságnak köszönhetünk, a három, négy, öt faktor sokkal megbízhatóbb lenne, de nincs az a felhasználó, akit erre rá lehetne szoktatni.

Helyette viszont aggódunk azon, hogy biztonságos-e a felhőben tárolni a céges adatokat. Visszatérve a témánkhoz, mivel a session tokenek kezelése semmiképpen sem sorolható az átlagos munkatársak feladatai közé, ezért felkészítés nélkül nem is várhatjuk el tőlük, hogy azonosítsák a helyzeteket, amikor elveszíthetik azt. Elég egyetlen .pdf-et letölteni a token elvesztéséhez, amivel aztán a következő bejelentkezésig észrevétlenül lépkedhetnek be idegenek a rendszerünkbe.

Ilyenkor persze mindenki elmondja, hogy ő nem tökkelütött, és nem szokott gyanús leveleket megnyitni, meg csak a biztonságos doksikat töltik le. A valóság az, hogy ha ez így lenne, akkor az imént leírt módszer nem létezne. Nem körültekintőek vagyunk, sokkal inkább annyira tájékozatlanok, hogy utólag sem jövünk rá a hibánkra.

Ha kellőképpen rád ijesztettünk, akkor keress minket bizalommal IT biztonsági szaktanácsadás ügyében!


Iratkozz fel hírlevelünkre!