:

Szerző: Hlács Ferenc

2014. október 22. 10:54

Szó szerint kulcsra zárhatók a Google fiókok

Már USB biztonsági kulccsal is helyettesíthetjük a kétfaktoros azonosítás második lépcsőjét Google-fiókunknál. A szolgáltatás a potenciális phishing támadások ellen védekezve vezette be a módszert, amelyekkel támadók akár a mobilra küldött kódot is elhalászhatják a felhasználóktól.

Új azonosítási megoldással egészíti ki a Google a felhasználók beléptetését. A kétfaktoros azonosítás második lépcsőjeként már nem csak az SMS-ben kapott vagy mobilapp által generált kód megadására van lehetőség, ezentúl USB-kulccsal is kinyithatjuk fiókunkat. Bár a kétlépéses bejelentkeztetést számos szolgáltatás használja, és az valóban nagyságrendekkel biztonságosabb mint egyetlen - az esetek jó részében gyenge - jelszóval megvédeni az érzékeny adatokat tartalmazó profilt, a leleményesebb támadók ezt is képesek lehetnek kijátszani, elég csak a nemrég nagy botrányt kavart iCloud-kiszivárogtatásokra gondolni, ahol egyébként szintén elérhető a kétlépcsős azonosítás.

A hasonló szolgáltatások feltörésére a támadók legtöbbször különböző phishing módszereket vetnek be, azaz az eredeti vállalatéra megtévesztésig hasonló, ám hamis weboldallal próbálják meg rávenni a felhasználókat, hogy adják meg a mobil készülékükre kapott azonosítót - amellyel aztán gond nélkül behatolnak a célba vett fiókba.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A most bevezetett megoldás esetében ugyanakkor erre már nincs lehetőségük, hiszen az azonosításhoz használt Security Key, vagy biztonsági kulcs felismeri, hogy éppen milyen szolgáltatáshoz próbálnak csatlakozni vele és csak a hiteles weboldalakkal működik. A titkosított kulcs másik előnye, hogy adott esetben. lemerült mobiltelefonnal sem zárja ki magát a fiókjából vele az ember. A rendszeresen használt készülékeken természetesen itt sem kell minden alkalommal csatlakoztatni a kulcsot, továbbra is lehetőség van beállítani, hogy azt az első bejelentkezés után ne kérje többé a szolgáltatás.

Az eszköznek ugyanakkor hátulütői is akadnak, a Google szerint egész pontosan kettő. Először is a Security Key kizárólag a Chrome böngészőben (annak 38-as és újabb verzióiban) működik, így aki más szoftvert használ, már az első körben kiesik a potenciális felhasználói bázisból, másodszor pedig, miután alkalmazásához - értelemszerűen - egy teljes értékű USB-csatlakozóra van szükség, a módszer egyelőre mobil eszközökön sem lesz használható. Természetesen a kulcsot nem támogató készülékek, illetve szoftverek esetében továbbra is használható marad a kódos azonosítás. Security Key-ként bármilyen a FIDO U2F (Universal 2nd Factor) szabványnak megfelelő USB biztonsági kulcs használható, ezek általában már néhány dolláros áron megvásárolhatók.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról