Index Vakbarát Hírportál

Hogy csinálta a Google, hogy 2017 óta nem hekkelték meg őket?

2018. július 24., kedd 14:31

Mindennapos hír, hogy valamelyik nagyvállalatot meghekkelték, adatokat szivárogtattak ki tőlük, vagy illetéktelen kezekbe kerültek a cégtitoknak számító információk. A Google viszont kivétel: több mint 85 ezer munkatársuk van, de 2017 óta egyikük profilját sem tudták feltörni.

Hogy hogyan csinálták? Egy szó: hardverkulcs.

A Google 2017-ben vezette be – a hagyományos szoftveres többlépcsős azonosítás helyett – azt a módszert, hogy egy USB-s pendrive-ot használt a céges autentikációhoz. A Krebs on Security szerint azóta, hogy a Google bevezette a hardverkulcsok kötelező használatát, egyetlenegyszer sem tudtak adathalász támadást (phising) indítani ellenük.

Nem voltak jelentett vagy megerősített fiókfeltörések, mióta bevezettük a biztonsági kulcsokat a Google-nél. A felhasználókat több alkalommal is felszólíthatják rá, hogy a hardverkulccsal azonosítsák magukat; ez az alkalmazás érzékenységétől és a kockázati faktortól függ

– mondta a Google szóvivője.

A hardverkulcsokat a Yubikey gyártja. Ezekkel simán bejelentkezhetünk egy weboldalon, ha bedugjuk a pendrive-ot és megnyomjuk rajta a gombot; még jelszót sem kell megadni. Bár ennek is megvannak a hátulütői – ha elveszítjük őket, az épp olyan biztonsági kockázatot jelent, mint a lakáskulcsunk elhagyása –, de a szakértők szerint ez megbízhatóbb a többlépcsős azonosítás más formáinál. Logikus – elvégre a hekkerek például az SMS-ben küldött jelszót is eltéríthetik.

A hardverkulcsos azonosítás támogatása ma még igencsak gyerekcipőben jár. A Chrome böngésző felkínálja a lehetőséget, de Firefoxon már manuálisan kell aktiválni, és a Microsoft is csak 2019 második felére tervezi a bevezetését az Edge böngészőben. Az Apple még nem említette, hogy a Safari fogja-e támogatni a szabványt. A hardverkulcsok elterjedését tovább nehezíti, hogy a módszert még csak néhány weboldal és szolgáltatás alkalmazza.

(Engadget | Krebs on Security)

Rovatok