A szakértők szerint a jelszómentes, WebAuthn-alapú hitelesítési módszerek jelenthetnek tartós megoldást a tömeges adatlopások és a kibertámadások visszaszorítására.
Bár a Nemzeti Média- és Hírközlési Hatóság (NMHH) nem közölt pontos statisztikai adatokat a 2024-es kibertámadások számáról, korábbi kutatásaik szerint 2022-ben már 100–150 ezer magyar internetező adta meg személyes adatait csalóknak, és becslések szerint 20–50 ezer fő válhatott közvetlen adathalász-támadás áldozatává. Az idei trendek alapján feltételezhető, hogy ez a szám tovább emelkedett.
A Sophos 2025-ös Active Adversary jelentésében megerősíti, hogy a kompromittált hitelesítő adatok immár második éve az első számú támadási vektorok közé tartoznak világszerte. A kiberbiztonsági szakértők szerint elengedhetetlen, hogy a szervezetek és vállalatok felülvizsgálják hitelesítési módszereiket, és áttérjenek a robusztusabb, például WebAuthn-alapú vagy passkey-alapú megoldásokra, amelyek hatékonyabb védelmet nyújtanak az adathalász támadásokkal szemben.
WebAuthn és hozzáférési kulcsok: Az erősebb többlépcsős hitelesítés felé?
A WebAuthn protokoll, amely a hozzáférési kulcsokat vagy passkey-eket használ, már széles körben elismert kiberbiztonsági megoldás. Ezzel a módszerrel, amikor a felhasználó fiókot hoz létre, egy egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcsot a webhely szerverén tárolják, míg a magánkulcsot a felhasználó eszközén, a webhely nevével és a felhasználói azonosítóval együtt.
A bejelentkezéshez többé nincs szükség jelszóra vagy SMS-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással.
A hitelesítés tehát továbbra is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire építve. Ezáltal elvileg nem lehet őket ellopni hagyományos adathalász módszerekkel.
A hitelesítési folyamat emellett kétirányú ellenőrzést is tartalmaz, amely lehetővé teszi a felhasználó számára, hogy a szerver hitelesítési kérelme alapján ellenőrizze a szolgáltatás azonosságát. A tudásalapú jelszavakat és titkos kódokat használó megoldásokkal ellentétben már nem csak a felhasználónak kell igazolnia jogosultságát.
Óvintézkedések a robusztus, egyszerűsített hitelesítés biztosításához
Ez az új iparági szabvány, amely a FIDO2 alapú WebAuthn-ra épít, jelentős védelmet biztosít az adathalászat és a hitelesítő adatok ellopásának ellen, miközben a felhasználói élményt is javítja.
• Biztosítani kell, hogy az eszköz vagy felhő, ahol a kulcsokat tárolják, biztonságos legyen;
• A WebAuthn sikeres bevezetéséhez a vállalatok és a felhasználók elköteleződése és alkalmazkodása szükséges;
• A munkamenet-sütik ellopása továbbra is egy olyan támadási módszer, amely kihasználható lehet a rendszer sebezhetőségein.
Mivel a kiberbűnözők folyamatosan tökéletesítik támadási módszereiket, ezen technológiák alkalmazása ma már stratégiai kiberbiztonsági prioritás kell legyen a vállalatok számára.
Chester Wisniewski, a Sophos CISO igazgatója szerint: „El kell mozdulnunk a jelszavakra és megosztott titkokra épülő megoldásoktól. A hozzáférési kulcsok vagy passkey-ek ma a legrobusztusabb megoldást képviselik, amely biztonságos jövőt építhet, mentes a jelszavaktól, az adathalászattól és remélhetőleg a nagyszabású kompromittálódástól.”
