Az elmúlt években több milliárd hitelesítési adat, azonosító és jelszó került nyilvánosságra, amelyből mintegy 6-7 millió adat magyar felhasználókhoz tartozott. A csalók és internetes bűnözők egyre gyakrabban élnek vissza ezekkel az adatokkal, több milliós károkat okozva ezzel cégeknek és felhasználóknak egyaránt. A helyzetet nehezíti, hogy manapság rengeteg, már-már megjegyezhetetlen mennyiségű jelszót kell alkalmaznunk, ezért sokszor egyszerűsítünk, és több felülethez is ugyanazt a belépőkódot használjuk – ezzel megkönnyítve az adattolvajok dolgát.

Kép: Wikimedia

Itt jön képbe a tufa. De mi is ez pontosan? A tufa, más néven darázskő, vulkánkitörés során a porból és hamuból létrejött kőzet. És hogy mi köze van ennek a digitális személyazonosságunkhoz és adataink védelemhez? Az égvilágon semmi. Azonban a 2FA-nak, vagyis Two-Factor Authentication-nek már igen. Amikor az azonosítás (felhasználónév, internetbanki azonosító, stb.) mellett mindössze egy tényezőt, vagyis faktort kell helyesen megadni, akkor beszélünk egy faktoros hitelesítésről.

Amikor már kell egy második hitelesítési adat is, akkor beszélünk a klasszikus 2FA-ról – magyarosan tufáról.

„Az elmúlt hetekben látott napvilágot a hír, miszerint a legnagyobb közösségi oldal dolgozói több millió felhasználó jelszavát láthatták nyílt szövegként, ami óriási hiba - mégsem lett belőle komolyabb felháborodás. Az eset jól példázza, hogy az internetes szolgáltatásokat nyújtó cégek esetében a felhasználók csak reménykedhetnek abban, hogy a vállalat, amelyre rábízták szinte az egész életüket, megfelelően védi személyes adataikat. Nagy csalódás azzal szembesülni, hogy még a milliárdokat kereső, és a világ legjobb szakembereit alkalmazó cégek is mennyire gyenge védelmi szintet képviselnek esetenként” – hangsúlyozza Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője.

A tufa (2FA), vagyis a két vagy több faktorú hitelesítés pont az ilyen esetek hatásait tudja

mérsékelni. Ha egy cég nem jól építi ki az információvédelmi rendszereit, a jelszavakat ezután is el fogják lopni a hackerek, de a tufa tud segíteni, hogy ezekkel az adatokkal a támadók kevésbé tudjanak visszaélni.

„A tufa (2FA) általánosságban egy második, jellemzően véletlenszám-generáláson alapuló, korlátozott élettartamú, egyszer használatos kód, amit az adott szolgáltatás eljuttat a felhasználóhoz abban az esetben, ha az az azonosítót és az első faktort, a jelszót helyesen megadta. A második faktor lehet egy SMS-ben küldött karaktersor, egy előre megadott listából egy egyszer használatos kód, lehet egy QR kód, vagy egy token (véletlenszám-generáló hardver eszköz vagy szoftver) által generált számsor. Közös tulajdonságuk, hogy egyedileg generálódnak, és ha a támadó el is lopja az azonosítónkat és az első faktornak megfelelő jelszavunkat, a második faktor hiányában nem fog tudni belépni a nevünkben az adott alkalmazásba. Bár ez macerásabban hangzik még egy jelszószéfnél is, mégis azt javasoljuk, hogy ahol lehet, térjünk át a tufára” – tanácsolja Solymos Ákos.

Ebben egy weboldal is segít, ahol szolgáltatástípusonként (bank, felhőszolgáltatók, játékok, oktatási oldalak, stb.) össze vannak gyűjtve, hogy egyes szolgáltatók milyen tufákkal érhetők el. A weboldal címe a https://twofactorauth.org/. Ezen kívül fontos, hogy erős és változatos jelszavakat használjunk, hogy ha valahonnan el is lopják, legalább abban lehessünk biztosak, hogy nem tudják máshol felhasználni.