Mindennapos hír, hogy valamelyik nagyvállalatot meghekkelték, adatokat szivárogtattak ki tőlük, vagy illetéktelen kezekbe kerültek a cégtitoknak számító információk. A Google viszont kivétel: több mint 85 ezer munkatársuk van, de 2017 óta egyikük profilját sem tudták feltörni.
Hogy hogyan csinálták? Egy szó: hardverkulcs.
A Google 2017-ben vezette be – a hagyományos szoftveres többlépcsős azonosítás helyett – azt a módszert, hogy egy USB-s pendrive-ot használt a céges autentikációhoz. A Krebs on Security szerint azóta, hogy a Google bevezette a hardverkulcsok kötelező használatát, egyetlenegyszer sem tudtak adathalász támadást (phising) indítani ellenük.
Nem voltak jelentett vagy megerősített fiókfeltörések, mióta bevezettük a biztonsági kulcsokat a Google-nél. A felhasználókat több alkalommal is felszólíthatják rá, hogy a hardverkulccsal azonosítsák magukat; ez az alkalmazás érzékenységétől és a kockázati faktortól függ
– mondta a Google szóvivője.
A hardverkulcsokat a Yubikey gyártja. Ezekkel simán bejelentkezhetünk egy weboldalon, ha bedugjuk a pendrive-ot és megnyomjuk rajta a gombot; még jelszót sem kell megadni. Bár ennek is megvannak a hátulütői – ha elveszítjük őket, az épp olyan biztonsági kockázatot jelent, mint a lakáskulcsunk elhagyása –, de a szakértők szerint ez megbízhatóbb a többlépcsős azonosítás más formáinál. Logikus – elvégre a hekkerek például az SMS-ben küldött jelszót is eltéríthetik.
A hardverkulcsos azonosítás támogatása ma még igencsak gyerekcipőben jár. A Chrome böngésző felkínálja a lehetőséget, de Firefoxon már manuálisan kell aktiválni, és a Microsoft is csak 2019 második felére tervezi a bevezetését az Edge böngészőben. Az Apple még nem említette, hogy a Safari fogja-e támogatni a szabványt. A hardverkulcsok elterjedését tovább nehezíti, hogy a módszert még csak néhány weboldal és szolgáltatás alkalmazza.