Előszó – Miért veszélyesek a gyenge jelszavak?
Manapság, amikor egyre több és több trükköt vetnek be a kártékony kódok gyártói, illetve a felhasználó félrevezetésén nyerészkedő kiberbűnözők, feltétlenül szükséges legjobb tudásunk szerint védenünk fontos felhasználói fiókjainkat, hogy minél kisebb eséllyel váljunk szomorkodó áldozattá. Alapvető dolog, hogy kellően erős jelszavakat választunk, a különböző szolgáltatásokhoz pedig nem használjuk ugyanazt az erős jelszót, ugyanis ha egy biztonsági rés – vagy emberi hiba – miatt kiszivárognak a jelszavak egy adatlopás kapcsán, akkor bőven lesz feladatunk a jelszómódosítással. Persze a jelszavakat rendszerint titkosítva és „sózva” tárolják a különböző szolgáltatók szerverei, legalábbis a legtöbb esetben ezt feltételeznénk, ám néha-néha kiderül egy-egy szereplőről, hogy a kényes adatokat egyszerű szöveges formában tárolta, így a támadóknak nem kellett bajlódniuk a titkosítás visszafejtésével.
Az egyszerűen kitalálható jelszavakat egyébként „szótár alapú” támadás során is könnyen kiderítik a támadók: ekkor egy adatbázisból vagy egy egyszerű szöveges fájlból dolgoznak, amely tartalmazza a leggyakrabban használt jelszavakat, illetve azok leggyakoribb módosításait, így az algoritmusnak csak végig kell próbálgatnia a lista tartalmát, és ha nem voltunk elég kreatívak a jelszóválasztás során, könnyen sikerrel járhatnak a támadók. Sajnos az adatszivárgások alapján összeállított éves listák szerint még mindig úgy tűnik, hogy sokan használják a legegyszerűbb jelszavakat, és ez a tendencia valahogy nem is nagyon akar változni. Egyes szolgáltatások persze már régóta megkövetelik az erős jelszavak használatát, igaz, ebbe a követelménybe rendszerint csak a regisztráció alkalmával futhatnak bele a felhasználók, a régebbi fiókoknál maradhatnak a régi és gyenge jelszavak – tisztelet a kivételnek.
A jelszó-próbálgatós algoritmusok ellen is igyekeznek védekezni a szolgáltatók, ugyanis bizonyos mennyiségű hibás próbálkozás után érvénybe lép a Captcha alapú védelem, de egyes esetekben akár a felhasználói fiók ideiglenes blokklására is sor kerülhet, szolgáltatótól függően.
Éppen ezért érdemes erős jelszavakat használni, amelyek akár idézetekre, illetve különböző mondatokra is alapozhatnak. Az erősség fokozása érdekében bizonyos karaktereket speciális írásjelekre is cserélhetünk, valamint számokat is bevethetünk a siker érdekében – és érdemes is élni e lehetőségekkel. Legyünk minél kreatívabbak, de a saját módszerünket ne osszuk meg senki mással se – fő a biztonság. Egy kis találékonysággal könnyen külön-külön jelszavakat készíthetünk az egyes szolgáltatásokhoz, amelyeket könnyű megjegyezni.
Mivel fokozhatjuk a védelmet?
A jelszavaknál említett tippek mellett érdemes elgondolkozni a kétfaktoros hitelesítésen – amit kétlépcsős hitelesítésként is emlegetnek –, így ugyanis a jelszó mellett egy második védelmi vonalat is emelhetünk a felhasználói fiók köré. A kétfaktoros hitelesítés történhet SMS alapon, ám ezt nem érdemes használni, ugyanis az SMS alapú hitelesítő kódok nem éppen biztonságosak. Helyette érdemesebb egy okostelefon alapú appot használni, ami idő alapon generál egyszer használatos hitelesítő kódokat – erre a célra jó választás lehet a Google Authenticator, amennyiben az adott szolgáltatás rendelkezik ilyen támogatással.
A kétfaktoros hitelesítés alkalmával a jelszó mellett az app által generált hitelesítő kódot is meg kell adni, így a támadó nem megy sokra, ha csak a jelszót szerzi meg – egy csali oldalt is kell használnia, amelyen keresztül eléri, hogy a felhasználó önként adja át a hitelesítő kódot, ami viszont csak 30 másodpercig érvényes. Itt már elég komplex dolga van a támadónak, azaz ez a fiókvédelem mindenképpen jobb választás az egyszerű jelszavas módszernél.
Ráadásul a telefon elvesztésével sem zárjuk ki magunkat a fiókunkból, ugyanis visszaállítási kódokkal ekkor is bejuthatunk – ezeket viszont érdemes időben beszerezni az adott szolgáltatás biztonsági menüjén keresztül, ellenkező esetben nem segíthetnek.
És ha nem tudom megjegyezni azt a sok jelszót?
Arra is van megoldás, ugyanis régóta vannak már jelszómenedzser szolgáltatások, mint például
- a LastPass,
- a Dashlane,
- a Sticky Password,
- a LogMeOnce Password Management Suite,
- az Agile Bits 1 Password,
- a Zoho Vault, a KeePass Password Safe,
- vagy éppen a RoboForm
– hogy csak néhányat említsünk. Ezek rendszerint ingyenes és fizetős funkciókat egyaránt kínálnak, elsődleges feladatuk pedig az, hogy ne kelljen megjegyeznünk a különböző szolgáltatások jelszavait – az adott jelszómenedzser elvégzi a szükséges feladatokat.
Rendszerint ezek a szolgáltatások is kínálnak kétfaktoros hitelesítést, így magát a jelszómenedzsert is védhetjük az illetéktelen hozzáférésektől, valamint erős jelszavak generálásában is segítséget nyújtanak, plusz egyéb szolgáltatásokkal is rendelkeznek. A legnépszerűbb ezek közül egyértelműen a LastPass, ugyanis könnyű kezelni, ingyenes szolgáltatásai is vannak, valamint megbízhatónak is tekinthető, igaz, ez a népszerűség a kiberbűnözők figyelmét is felkeltheti, ugyanis minél többen használják a szolgáltatást, annál érdekesebb és ígéretesebb célpontnak tűnhet.
A következő szint: hardveres biztonsági kulcs
A fentebb említett módszereket helyettesíthetjük, illetve szándéktól függően akár ki is egészíthetjük egy hardveres biztonsági kulccsal, ami USB portra illeszkedik, de egyes modellek NFC és Bluetooth támogatással is rendelkeznek – utóbbira remek példa a Google megoldása, amely legutóbb éppen egy biztonsági rés miatt került rivaldafénybe. Ezek a biztonsági kulcsok publikus és privát kulcsokkal dolgoznak, valamint speciális algoritmusokat is bevetnek a hitelesítés során, így biztonsági felhasználó-azonosításra adnak módot.
Használatukhoz arra van szükség, hogy az adott szolgáltatás támogassa őket, ha viszont jelen van a támogatás, csak párosítani kell a kulcsot a szolgáltatással, majd a következő bejelentkezésnél a jelszó megadása után a hardveres kulcsot is használhatjuk. Ilyen kulccsal nem csak online, de akár offline fiókokat is lehet védeni – például a Windows fiókot is –, de akár levelek és fájlok titkosításához, illetve feloldásukhoz is használhatjuk őket, így viszonylag sok területen rúghatnak labdába. A hitelesítő alkalmazásokkal ellentétben itt nincs mód arra, hogy egy malware segítségével megszerezze a támadó az aktuális egyszer használatos hitelesítési kulcsot, így mindenképpen magasabb a biztonsági szint, ám ennek ára van, hiszen egy ilyen kulcs 6 és 25 ezer forint közötti összegbe kerül, modelltől függően.
És a gyártók jellemzően azt ajánlják, hogy érdemes legalább két ilyen kulcsot használni annak érdekében, ha az egyiket elhagynánk vagy éppen megsérülne, legyen egy másik is, amivel kényelmesen hozzáférünk fiókjainkhoz. Persze rendszerint vészhelyzetben használható biztonsági kódok is rendelkezésre állhatnak, így nem minden esetben veszítjük el a hozzáférést a fontos szolgáltatásokhoz, ám a funkciót támogatnia kell az adott online szolgáltatásnak is.
Offline fiókok esetében már más a helyzet, ott mindig az adott szoftvertől függ, milyen menekülőutak vannak – ezekről mindenképpen érdemes tájékozódni még időben, legkésőbb a biztonsági kulcs párosításakor. És itt el is érkeztünk jelenlegi cikkünk főszereplőjéhez a Yubico által gyártott Yubikey 5 NFC típusú hardveres biztonsági kulcshoz.
Yubikey 5 NFC – Sokoldalú biztonsági kulcs okostelefonhoz, PC-hez, noteszgépekhez és táblákhoz
A Yubikey 5 sorozat legsokoldalúbb tagját próbáljuk most ki, ami nem csak USB alapon, de NFC alapon is használható, így nem csak asztali számítógépekhez, hanem NFC olvasóval ellátott mobileszközökhöz is be lehet vetni. Android fronton elég sok telefont támogat a rendszer, iOS fronton azonban iPhone 7-re, vagy ennél frissebb modellre lesz szükség a használathoz. Ráadásul az androidos eszközöknél az OTG kapcsolatban rejlő előnyöket is élvezhetjük, így megfelelő átalakítóval USB-s módon is használhatjuk a kulcsot.
Maga a kulcs akkora, mint egy átlagos pendrive, hiszen csak 45 milliméter hosszú, 18 milliméter széles és 3,3 milliméter vastag, tömege pedig nem több 3 grammnál. Annak érdekében, hogy strapabíró lehessen a dizájn, fröccsöntött házzal látták el, ami üvegszál-erősítést is kapott, így egy ütés- és vízálló konstrukcióval van dolgunk. A kulcs felső részén egy Yubico logót látunk, ami mögött egy zöld LED is megbújik: ez gyakorlatilag egy kapacitív „érintőgomb”, amit a hitelesítés alkalmával kell megérinteni, ha a zöld LED elkezd villogni. Miért van rá szükség? Azért, hogy egy malware vagy egy hacker ne tudja kijátszani a rendszert, azaz csak akkor történjen hitelesítés, amennyiben azt ténylegesen egy felhasználó – remélhetőleg a kulcs tulajdonosa – kezdeményezi.
Az Amerikai Egyesült Államokban és Svédországban készülő eszköz NFC támogatást is kapott, amely megfelel az ISO/IEC 14443-A és ISO/IEC 14443-4 NFC szabványokban rögzített követelményeknek, az ezektől eltérő szabványok támogatása nem biztosított. Az USB és az NFC felületen keresztül ugyanazok a felhasználási módok érhetőek el: van OTP, FIDO2, FIDO U2F, OpenPGP, PIV és OATH támogatás, amelyeket egyenként engedélyezhetünk és tilthatunk le mind az USB, mind pedig NFC alapú kapcsolatoknál. Ezeket a funkciókat a Yubikey Manager alkalmazás segítségével tudjuk aktiválni és deaktiválni – alap esetben mind aktív. Átlagfelhasználói szemmel nézve igazából ennyit elég tudni, így a további pár bekezdést érdemes is átugrani, ha nem akarunk elveszni a rengetegben – ebben az esetben ugorjunk a tapasztalatokról szóló részhez.
Az említett alkalmazáson keresztül a biztonsági kulcs két OTP slotjának működését is módosíthatjuk: gyárilag csak az első slot aktív, amelyre a Yubico OTP funkciót telepítették. Ez gyakorlatilag a 12 karakterből álló felhasználói azonosítót kombinálja egy 32 karakterből álló, minden használatnál változó karaktersorral – a kommunikáció során privát és publikus kulcsot használ az infrastruktúra. A biztonsági kuclcs ebben az esetben egyszerű HID billentyűzetként működik, ám annak érdekében, hogy minden rendszerrel és eszközzel kompatibilis lehessen, billentyűzetkiosztástól függően, ModHex, azaz módosított hexadecimális kódolást használ, ami a Yubico fejlesztése. Ennek köszönhetően a termék gyakorlatilag csak a billentyűk kódjait küldi el a rendszer számára (scan codes), amelyet az adott eszköz fordít le tényleges karaktersorra, így a végeredmény mindig ugyanaz lehet. A funkció egy rövid érintéssel érhető el a támogatott szolgáltatások esetében – ha viszont egy üres jegyzettömböt nyitunk, majd megérintjük a Yubico logót, akkor láthatjuk is, hogy néz ki egy ilyen kód. Apropó kód: a kulcs RSA 2048, RSA 4096 (PGP), ECC p256 és ECC p384 támogatással rendelkezik, már ami a kriptográfiai tulajdonságokat illeti.
A második slot szabadon konfigurálható, eléréséhez azonban 3-4 másodpercre kell megérinteni az említett kapacitív felületet. Ide programozhatunk statikus jelszót is, ami például a Windowsba történő bejelentkezéskor, vagy egyéb esetben jöhet jól. Viszont ugyanazt a statikus jelszót ne használjuk több szolgáltatásnál, ez feltétlenül fontos!.
A lehetőségek között van még úgynevezett HMAC-SHA1 Challenge Response is, ami a támogatott offline alkalmazások esetében jöhet jól. Ekkor a hitelesítést az alkalmazásból kell kezdeményezni, a folyamatot pedig a Yubikey érintésével zárhatjuk. Van még OATH-HOTP és OATH TOTP opció is, aminél a hitelesítő OTP kódot egy RFC 4226 HOTP szabványt használó algoritmus végzi, a kész kódot pedig elküldi a Yubikey a támogatott szolgáltatás szerverére. Előbbi számláló, utóbbi pedig idő alapon generálja a kódokat.
Az OATH tárhely 32 fiókadat tárolására képes, amelyekhez a Yubico Authenticator alkalmazáson keresztül férhetünk hozzá. Ez az app Windowsra, Linuxra és macOS-re egyaránt elérhető. A listán szerepel még a különböző weboldalakat védő, erős, adathalászatnak is ellenálló U2F is, amelynek használatához nem szükséges semmiféle driver vagy egyéb kiegészítő, csak egy megfelelő támogatással ellátott webböngészőt igényel a folyamat.
Végül a FIDO2 támogatásról is említést kell tennünk, ami igazából az U2F-hez hasonló biztonsági szintet kínál, ám ennél a módszernél az adott YubiKey el is tudja tárolni a felhasználónévből és jelszóból álló párost, maximum 25 darabot, így ténylegesen jelszó nélkül használhatjuk azokat a szolgáltatásokat és alkalmazásokat, amelyek ezt a módszert támogatják. Ezeket a mentett adatokat akár 128 karakter hosszúságú PIN kóddal is védhetjük, ám a kód módosítására később nincs lehetőség, ezt szem előtt kell tartani. Valamint az is fontos infó, hogy a FIDO2 funkció engedélyezésével az U2F kulcs törlődik, így nem működnek majd azok a weboldalak a biztonsági kulccsal, amelyekhez társítottuk, csak akkor, ha újra társítjuk.
A szóban forgó kulcs PIV Smart Card funkciót is kínál, ami a YubiKey Smart Cart Minidriver segítségével érhető el Windows alatt. A funkció támogatja a FIPS 201-es szabványt, amit az amerikai kormányzat is használ. Végül, de nem utolsó sorban OpenPGP támogatás is rendelkezésre áll, ami egyebek mellett a GnuPGPG szoftverrel is kompatibilis. A funkció keretén belül egy PGP kulcs tárolására van lehetőség minden egyes hitelesítéshez, aláíráshoz és titkosításhoz.
A YubiKey funkcionalitása igazából sokkal gazdagabb annál, mint hogy beleférjen jelen cikkünkbe az összes funkció és szolgáltatás részletes, minden technikai sajátosságra kiterjedő magyarázata, így aki további információkra is vágyik, látogassa meg a gyártó hivatalos technikai kézikönyvét, amely részletes leírással szolgál. Amennyiben marad még kérdés, arra itt lehet választ találni, akár fejlesztői, akár üzleti szemmel nézzük a terméket.
Tapasztalatok
A YubiKey 5 NFC használata közben több tapasztalattal is gazdagabbak lettünk. A Facebook és a Google fiókok védelmét pillanatok alatt meg lehet oldani, csak engedélyezni kell a biztonsági beállításokban a biztonsági kulcs használatát, majd a párosítást követően a bejelentkezéskor már a YubiKey használatát is megköveteli majd a rendszer. A LastPass használata szintén nem volt nehéz, igaz, a Facebook és a Google fiókhoz képest kicsit bonyolultabb volt a folyamat. A fiókbeállításokon belül ki kellett választani a Többtényezős opciók menüt, ahol a YubiKey opció engedélyezése után a YubiKey 1 mezőre kattintva egyszer meg kellett nyomni a Yubico logót, majd az oldal alján a frissítésre kattintva a jelszavunk megadásával véglegesíthettük a beállítást.
A kulcs ezeken kívül számos egyéb weboldallal, szolgáltatással és alkalmazással is kompatibilis, amelyekről ez a folyamatosan bővülő lista ad pontos képet. A kulcs az online Microsoft Fiókokkal is használható, amelyeknél ráadásul jelszómentes üzemmód is beállítható: ekkor csak egy PIN kódot kell megadni, majd meg kell érinteni a YubiKey logót a kulcson és már bent is vagyunk. A funkciót a saját fiókunkra kattintva, a Biztonsági adatok frissítése menüpontra kattintva, a További biztonsági beállítások opciót használva érhetjük el, ahol a Windows Hello és biztonsági kulcsok menüben végezhetjük el a kulcs párosításával kapcsolatos feladatokat.
Esetünkben a Google Chrome webböngésző és a Windows 10 legfrissebb kiadása mellett sem sikerült a funkció aktiválása, ugyanis az alábbi hibaüzenetet kaptuk: A böngészője vagy az operációs rendszere ezt nem támogatja. A Yubico útmutatója alapján gyorsan kiderült, hogy a feladat azért nem sikerült, mert Chrome helyett Edge webböngészőre lett volna szükség, így tettünk még egy próbát, immár az Edge böngésző legfrissebb kiadásával. Ekkor már megjelent a Windows Hello és biztonsági kulcsok menüben a Biztonsági kulcs beállítása opció is, így csak a biztonsági kulcs korábban létrehozott négyjegyű PIN kódját kellett megadni a párosításhoz, majd elnevezhettük a kulcsot és már készen is voltunk a folyamattal. A következő bejelentkezésnél már a Bejelentkezés biztonsági kulccsal opciót is használhattuk az e-mail cím megadása után, így ismét csak a PIN kódot kellett megadni, majd meg kellett érinteni a Yubico logót és már bent is voltunk a fiókban.
Kipróbáltuk a statikus jelszó alapú üzemmódot is, amelyet a második slotra programoztunk. Ez hibátlanul működött: a YubiKey logót megérintve azonnal beírta a jelszó mezőbe a YubiKey az előre beállított jelszót, igaz, ehhez az üzemmódhoz nem elég egy érintés, hanem 3-4 másodpercig kell az ujjunkat a logón tartani.
A YubiKey segítségével Windows és macOS alapú rendszerekbe egyaránt be lehet jelentkezni – a Debian Linux mellett –, de a Windowshoz készített alkalmazás éppen nem volt elérhető (elavult, így újat fejlesztenek), így feliratkoztunk a később megjelenő szoftver tesztelői közé. Az új alkalmazás a Yubico Login for Windows Application nevet viseli, beállításához pedig egy igen terjedelmes kézikönyvet is kaptunk.
Amit fontos tudni: azoknál az automatikus bejelentkezést használó fiókoknál, amelyeknél az eredeti jelszót már elfelejtettük, a YubiKey használata és az automatikus bejelentkezés letiltása előtt új jelszót kell beállítani, ellenkező esetben kizárjuk magunkat a fiókból. Jelszó nélküli fiókhoz viszont használhatjuk a YubiKey-t: ekkor csak a felhasználónévre és a biztonsági kulcsra lesz szükség a bejelentkezéshez. Ha jelszót is meg akarunk adni, arra is van mód. A YubiKey beállítása során a Challenge Response alapú hitelesítési adatok a második slotba kerülnek, így ha ide már beállítottunk valamit, azt felül fogja írni az alkalmazás, de erről értesíteni fogja a felhasználót és természetesen az engedélyét is kikéri. Előtte azonban szükség lesz egy újraindításra, de ennek során ne ijedjünk meg: új bejelentkező ablak fogad majd, amit a Yubico Credentials Manager kezel. Itt továbbra is a megszokott felhasználónévvel és jelszóval jelentkezhetünk be.
Az újraindítás után a Login Configurator névre keresztelt alkalmazással elkezdhetjük a YubiKey beállítását: a megjelenő menüben válasszuk a Slot 2 opciót, a Challenge/Response Secret menünél válasszuk az első opciót (Use existing if configured – generate if not configured), majd a Generate Recovery Code opciót hagyjuk bepipálva, és ha van második kulcsunk, akkor a Create backup decive for each user opciót is hagyjuk bepipálva. Mi utóbbit nem használtuk. A következő ablakban ki kell választani a felhasználót, akihez a hozzá szeretnénk rendelni a kulcsot, majd a folyamat végén menteni kell a Recovery Code-ot, ugyanis ha elveszítjük a YubiKey-t, vagy éppen ha meghibásodik, csak ezzel a kóddal jutunk be a rendszerbe újra. Ha mindent jól csináltunk, a következő bejelentkezésnél már szükség lesz a biztonsági kulcsra is, nem elég csak a felhasználónév és a jelszó megadása. Ha elvész a biztonsági kulcs, akkor a Recovery Code segítségével még mindig bejuthatunk.
Természetesen az NFC módot is teszteltük, méghozzá egy iPhone X segítségével: a hitelesítés ugyanúgy ,működött, mint a PC esetében az USB-s csatlakozás használta mellett, de itt most a kulcsot kellett a telefon hátuljához tartani, így történt meg a hitelesítés. A próbát a LastPass appal végeztük el, a folyamat zökkenőmentes volt.
Verdikt
A Yubikey 5-ös sorozat NFC támogatással rendelkező tagja remekül vizsgázott, hiszen használata nagyon egyszerű, beüzemelése azonban egyes esetekben komoly odafigyelést igényel, ha nem akarjuk magunkat kizárni egyes fiókjainkból. Amennyiben a pendrive méretű eszközt nagynak találnák, illetve az NFC támogatásra sem lenne szükségünk, akkor YubiKey 5 sorozat kisebb tagjait is választhatjuk. Ha klasszikus USB portokat használunk, akkor a Yubikey 5 Nano lesz a jó választás, ha viszont USB-C portos eszközeink vannak, akkor a kulcstartóra akasztható Yubikey 5C, illetve a notebook USB portjában szinte elvesző YubiKey 5C Nano lehet jó megoldás. Mindegyik USB-s kulcs érintéses hitelesítést használ, igaz, ezeknél nem a YubiKey logót, hanem a kulcs hátuljának szélét kell megérinteni, a YubiKey 5C esetében pedig az oldalsó kapacitív érintőcsíkhoz kell hozzáérni.
A YubiKey 5 sorozat tagjainak ára sajnos elég borsos, ugyanis 16 000 és 25 000 forint között mozog, modelltől függően, ami egy picit talán soknak tűnik, így nem mindenkinek lesz jó alternatíva egy efféle megoldás – főleg, ha megfogadná a tanácsokat és rögön tartalékba is venne egy ilyen kulcsot. Viszont a YubiKey 5 modellek kétségkívül többet is tudnak, mint amire egy átlagfelhasználónak szüksége lehet, így a régebbi, olcsóbb Yubikey modelleket is választhatjuk, ha csak különböző online fiókjainkat szeretnénk hatékonyan megvédeni. Az egyes modellek tudásával és kompatibilitásával kapcsolatban ez a táblázat nyújt segítséget. Aki viszont nem szeretne ilyesmire költeni, nagy általánosságban az okostelefon-alapú hitelesítő alkalmazásokkal is biztonságban tudhatja felhasználói fiókjait.
Az általunk kipróbált példány alapján bátran ajánljuk a terméket, illetve a YubiKey sorozat többi tagját is. Igény esetén később egyéb gyártók termékeit is kipróbáljuk, hogy átfogóbb képet nyújthassunk a kínálatról.
