A hirközlési hatóság (NMHH) adatai szerint Magyarországon éves szinten 20–50 ezer fő válhat közvetlen adathalász támadás áldozatává. A szakértők figyelmeztetnek a hagyományos, jelszavakon alapuló védelem mára elégtelenné vált. Mi legyen a megoldás?
A szakhatóság 2022-es adatai szerint adott évben 100–150 ezer magyar internetező adta meg személyes adatait csalóknak, és becslések szerint 20–50 ezer fő válhatott közvetlen adathalász-támadás áldozatává. A trendek alapján ez a szám tovább nőhetett.
A Sophos legutóbbi jelentésében megerősíti, hogy a kompromittált hitelesítő adatok már második éve tartoznak az első számú támadási felületek közé világszerte.
Szükség van a robusztusabb megoldásokra
A kiberbiztonsági szakértők szerint elengedhetetlen, hogy a vállalatok felülvizsgálják hitelesítési módszereiket, és áttérjenek a robusztusabb, például az WebAuthn-alapú vagy passkey-alapú megoldásokra, amelyek hatékonyabb védelmet nyújtanak az adathalász támadásokkal szemben.
A WebAuthn protokoll, amely hozzáférési kulcsokat vagy passkey-eket használ, már széles körben elismert kiberbiztonsági megoldás. Amikor a felhasználó fiókot hoz létre ezzel a módszerrel, akkor egy egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcsot a webhely szerverén tárolják, míg a magánkulcsot a felhasználó eszközén, a webhely nevével és a felhasználói azonosítóval együtt.
A bejelentkezéshez többé nincs szükség jelszóra vagy SMS-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással.
A hitelesítés tehát továbbra is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire építve. Ezáltal elvileg nem lehet őket ellopni hagyományos adathalász módszerekkel.
A hitelesítési folyamat kétirányú ellenőrzést is tartalmaz, amely lehetővé teszi a felhasználó számára, hogy a szerver hitelesítési kérelme alapján ellenőrizze a szolgáltatás azonosságát.
A tudásalapú jelszavakat és titkos kódokat használó megoldásokkal ellentétben már nemcsak a felhasználónak kell igazolnia jogosultságát.
Ezekre is figyelni kell
Bár a WebAuthn jelentős előrelépés, továbbra is fontos, hogy figyeljünk a következőkre:
• fontos, hogy az eszköz vagy a felhő, ahol a kulcsokat tárolják, biztonságos legyen;
• a munkamenet-sütik ellopása továbbra is egy olyan támadási módszer, amely kihasználható lehet a rendszer sebezhetőségein.
