Kétfaktoros azonosítás az eduID szövetségben

Szabó Gyula <>
MTA SZTAKI



„Egy zár nem zár.”

Napjainkban a legelterjedtebb és legkézenfekvőbb azonosítási módszer a felhasználói azonosító és egy titkos jelszó használata. A titkos jelszóról feltételezzük, hogy csak a felhasználó emlékezetében van.

A jelszavak használatában sok buktató van, amit kétségbeesetten próbálunk valahogy áthidalni.

A jelszót meg lehet szerezni billentyűzetleütéseket tároló kémprogramokkal, nem eléggé biztonságos környezetben le lehet hallgatni a hálózaton, le lehet lesni a felhasználó válla fölött, el lehet lopni gyengébb jelszó menedzser programokból, szótárak felhasználásával próbálgatással ki lehet találni, és még számtalan módszer, eszköz létezik arra, hogy jelszavainkon keresztül elektronikus identitásunkkal vissza lehessen élni.

A jelszavak megkövetelt formai bonyolításával, periodikus cseréjével egy pontig tudjuk növelni a jelszavak biztonságát, támadásokkal szembeni ellenállását, de egy ponton túl a felhasználók már erős késztetést éreznek arra, hogy leírják, képernyőre ragasszák, kétes biztonságú jelszó menedzser programokra bízzák jelszavaikat. A kellően nagy szigor kontraproduktívvá válik.

Az azonosítás során egy másik, a memorizált jelszótól független, új faktor használata nagyságrendekkel megnöveli az azonosítás biztonságát. Az új, második faktorként egy általunk birtokolt tárgy, vagy testünk egy darabja” – biometrikus azonosítás – megfelelően független tud lenni az első faktortól.

Második faktornak érdemes egy olcsó, vagy feltételezhetően mindenkinél megtalálható, a felhasználó által birtokolt tárgyat választani. Ezek a tárgyak egyszer használatos jelszavakat bocsátanak a felhasználó rendelkezésére, legyen ez egy SMS, egy kód egy papíron leírt listából, vagy egy hardver eszköz által előállított karaktersorozat.

Rendszereinkben vannak olyan szolgáltatások, ahol megfelelő lehet egy egy faktoros bejelentkezés, de vannak olyanok, ahol nagyobb biztonsággal kell tudnunk arról, hogy a felhasználó, akivel éppen tranzakciókat folytatunk, valóban az, akinek mondja magát.
Ezek a szolgáltatások joggal követelhetik a felhasználók erős azonosítását.

Mi a helyzet az eduID szövetségben?
Hogyan tud egy felhasználó nagyobb biztonságú azonosítást megkövetelni a rendszerektől? Hogyan kényszerítheti ki egy kritikus szolgáltatás a magasabb szintű azonosítást?