Online jelszavak keresése
Az online biztonság sokak számára megterhelő. A Google munkatársai, Mark Risher és Stephan Micklitz arról beszélnek, hogy ezeket az érzelmeket is figyelembe kell venni a biztonsági intézkedések kifejlesztése során
Risher úr, Ön a Google termékmenedzsment-igazgatója, aki az internetes biztonság világában tevékenykedik. Előfordult már, hogy online csalás áldozatává vált?
Mark Risher: Nem emlékszem konkrét példára, de feltételezem, hogy igen. Én is követek el hibákat internetezés közben, ahogyan mindenki más. Például nemrégiben nem a megfelelő webhelyen adtam meg a Google-jelszavamat. Szerencsére telepítve volt a gépemen a Chrome Jelszóriasztás beépülő modulja, amely rámutatott a hibámra. Ezután persze rögtön megváltoztattam a jelszavamat.
Stephan Micklitz, műszaki igazgató a Google adatvédelmi és biztonsági csapatában: Emberek vagyunk, olykor hibázunk. Miután megjegyeztünk egy jelszót, könnyen előfordulhat, hogy anélkül írjuk be, hogy gondosan odafigyelnénk arra, hol adjuk meg a jelszót.
Risher: Legszívesebben teljes mértékben megszabadulnánk a jelszavaktól, de sajnos ez nem megy olyan könnyen.
„Számos biztonsági intézkedés a színfalak mögött zajlik.”
Mark Risher
Mi annyira rossz a jelszavakkal kapcsolatban?
Risher: Több hátrányuk is van: Megjegyezni nehéz, de ellopni könnyű őket, és a jelszavak kezelése nehézkes lehet. Sok felhasználó gondolja úgy, hogy minél hosszabb és bonyolultabb egy jelszó, annál jobb – pedig ez valójában növelheti a biztonsági kockázatot. A bonyolult jelszavak arra ösztönzik a felhasználókat, hogy több fióknál is használják őket – és ezáltal sebezhetőbbé válnak.
Micklitz: Minél ritkábban ad meg egy jelszót, annál jobb. Ezért nem ajánljuk, hogy egymás után sokszor jelentkezzen ki, majd be a fiókjába. Ez idővel azt eredményezhetné, hogy a felhasználók nem figyelnek oda, hogy épp melyik weboldalon tartózkodnak, ami könnyítheti a jelszótolvajok dolgát. Éppen ezért javasoljuk felhasználóinknak, hogy maradjanak bejelentkezve.
A bankom webhelye automatikusan kijelentkeztet, ha néhány percig inaktív vagyok.
Micklitz: Sajnos több cég még mindig az idejétmúlt szabályokat alkalmazza. A folyamatos kijelentkezés gondolata abból az időből származik, amikor legtöbben internetes kávézókban interneteztek, illetve másokkal is megosztották ugyanazt a számítógépet. Felmérésünk szerint minél többször adják meg a felhasználók a jelszavaikat, annál valószínűbb, hogy kibertámadás áldozatává válnak. Emiatt biztonságosabb, ha egyszerűen aktiválja a képernyőzárat a mobiltelefonján vagy a számítógépén, továbbá biztonságos jelszót használ.
Risher: Ez így van. Sajnos számos téves vagy gyakorlatiatlan tanács terjed, ami sok felhasználót összezavar. A legrosszabb forgatókönyv szerint az emberek annyira bizonytalanná válnak, hogy egyszerűen feladják: „Ha annyira nehéz megvédenem magam, akkor talán kár is próbálkoznom.” Ez egy kicsit olyan, mintha nyitva hagynánk az ajtót, mert tudjuk, hogy betörők vannak a környéken.
Mark Risher a Google biztonsági és adatvédelmi termékmenedzsmentért felelős igazgatója. 2010-ben megalapította kiberbiztonsági start-up vállalkozását, az Impermiumot, amelyet a Google 2014-ben felvásárolt. Risher azóta a cég központjában dolgozik a Kalifornia állambeli Mountain View-ban. Jobb oldalon: a Speciális védelem programban használt biztonsági kulcs. Alacsony áron kapható, és számos különböző webhelyen felhasználható.
Hogyan gondoskodna a Google a felhasználók biztonságáról, ha megszüntetnék a jelszavakat?
Risher: Már most is számos további biztonsági intézkedést foganatosítottunk a színfalak mögött. Ha egy hacker megszerzi jelszavát és telefonszámát, még mindig 99,9 százalékos biztonságot garantálunk a Google-fiókjának. Például ellenőrizzük, hogy melyik eszközről vagy országból jelentkezik be a felhasználó. Ha valaki egymás után többször megpróbál bejelentkezni a fiókjába helytelen jelszóval, azzal riasztás érkezik a biztonsági rendszereinkhez.
Micklitz: Kifejlesztettük továbbá a Biztonsági ellenőrzés nevű eszközt, amely lehetővé teszi a felhasználók számára, hogy lépésenként végigmenjenek a Google-fiókjuk biztonsági beállításain. A Speciális védelem programmal pedig még egy lépést teszünk előre.
Milyen elképzelés húzódik a program mögött?
Micklitz: A programot eredetileg olyan felhasználóknak terveztük, amilyenek a politikusok, cégvezetők és újságírók, akik különösen felkeltik a bűnözők érdeklődését. Mára azonban mindenki számára rendelkezésre áll, aki plusz online védelmet szeretne. Csak a speciális USB- vagy Bluetooth-kulccsal rendelkező felhasználók férhetnek hozzá a védett Google-fiókjukhoz.
Risher: Tapasztalatból tudjuk, hogy mennyire hatékony ez a rendszer, hiszen a Google minden alkalmazottja biztonsági kulccsal gondoskodik céges fiókja biztonságáról. Mióta bevezettük ezt a biztonsági intézkedést, egyetlen olyan adathalász incidens sem történt, amelyet vissza lehetett volna követni a jelszó megerősítésééig. A token jelentős mértékben javítja a Google-fiók biztonságát, hiszen még ha meg is szerzik a támadók a jelszót, a token nélkül nem férnek hozzá a fiókhoz. Az online fiókokat általánosságban bárhonnan fel lehet törni a világon. Ugyanez nem igaz azokra a fiókokra, amelyeket fizikai biztonsági kulcs véd.
Micklitz: Ha már itt tartunk, a biztonsági tokenek számos webhelynél használhatók – nem csupán a Google Speciális védelem programjában. Alacsony áron szerezheti be a kulcsot tőlünk vagy más szolgáltatóktól. Az összes részlet megtalálható a következő címen: g.co/advancedprotection.
„A felhasználóknak néha nehéz felmérni a kockázatokat az interneten.”
Stephan Micklitz
Véleménye szerint milyen veszélyek a legfenyegetőbbek az interneten manapság?
Risher: Az egyik problémát azok a listák jelentik, amelyek az interneten keringenek, és felhasználónevek és jelszavak kombinációit tartalmazzák. Kollégánk, Tadek Pietraszek a csapatával együtt hat hétig az internetet kutatva 3,5 milliárd felhasználónév és jelszó kombinációjára bukkant rá. Ezek az adatok nem feltört Google-fiókokból származnak – más szolgáltatóktól lopták el őket. Mivel azonban sok felhasználó ugyanazt a jelszót számos különböző fióknál használja, ezek a listák számunkra is problémát jelentenek.
Micklitz: Véleményem szerint a „szigonyos adathalászat” óriási problémát jelent. Ez azt az esetet jelenti, amikor egy támadó annyira okosan személyre szabott üzenetet küld, hogy az áldozat csak nagyon nehezen veheti észre a csalás szándékát. Úgy látjuk, hogy a hackerek egyre gyakrabban használják ezt a módszert – sikeresen.
Risher: Egyetértek Stephannal. Ráadásul a „szigonyos adathalászat” egyáltalán nem annyira időigényes, mint ahogyan hangzik. Gyakran csak néhány percet vesz igénybe egy spam jellegű e-mail személyre szabása. A hackerek fel tudják használni azokat az információkat, amelyeket a felhasználók közzétesznek magukról az interneten. Ez például a kriptovalutáknál is problémát jelenthet: Azok a személyek, akik nyilvánosan közzéteszik, hogy van 10 000 bitcoinjuk, ne lepődjenek meg rajta, hogy ez az információ felkeltheti a kiberbűnözők figyelmét.
Micklitz: Ez olyan, mintha kiállnék egy piac közepére egy megafonnal, és világgá kürtölném a bankszámlám egyenlegét. Ki tenne ilyet? Senki. Ugyanakkor néha sokkal nehezebben tudjuk azonosítani a kockázatokat az interneten.
Továbbra is problémát jelentenek a normál spam jellegű e-mailek?
Risher: Az eszközök és szolgáltatások egymáshoz kapcsolása jelentős kihívást jelent számunkra. Az emberek nem csupán laptopokat vagy okostelefonokat használnak internetezésre – használnak tévéket, okosórákat és intelligens hangszórókat is. Számos különböző alkalmazás fut mindezeken az eszközökön, és ez több potenciális támadási felületet jelent a hackerek számára. És mivel manapság számos eszköz kapcsolódik az internethez, a hackerek az egyik eszközön megpróbálhatnak hozzáférést szerezni a másik eszközön tárolt információkhoz. Ez azt jelenti, hogy manapság a következő kérdést kell megválaszolnunk: Hogyan garantálhatjuk a felhasználók biztonságát a rengeteg új használati szokás ellenére?
Micklitz: A válasz azzal kezdődik, hogy megkérdezzük magunktól, mely adatokra van valójában szükségünk az egyes szolgáltatásoknál – és mely adatokat kell átvinni a szolgáltatások között.
Stephan Micklitz
műszaki igazgató a Google adatvédelmi és biztonsági csapatánál. A Müncheni Műszaki Egyetemen tanult számítástechnikát, és 2007 vége óta dolgozik a Google müncheni telephelyén. Micklitz a német online biztonsági kezdeményezés, a Deutschland sicher im Netz (DsiN) igazgatótanácsának tagja.
Hogyan használják a mesterséges intelligenciát a felhasználók védelmében?
Micklitz: A Google már jó ideje igénybe veszi a mesterséges intelligencia lehetőségeit.
Risher: A technológiát már a kezdetek kezdetén beépítettük e-mail-szolgáltatásunkba, a Gmailbe. A Google még saját gépi tanulási eszközt is fejleszt [TensorFlow] néven (https://www.tensorflow.org/){:target="_blank" rel="noopener noreferrer"}, amelyik megkönnyíti a gépi tanulással foglalkozó programozók munkáját. A Gmail is kihasználja a TensorFlow szolgáltatás lehetőségeit, amely értékes segítséget nyújt a jellemző minták felismeréséhez.
El tudja magyarázni, hogyan működik ez a mintafelismerés?
Risher: Tegyük fel, hogy számos felhasználónál észlelünk olyan gyanús tevékenységet, amelyet nem tudunk kategorizálni. Az öntanító gép képes az ilyen események összehasonlítására, majd ideális esetben még azelőtt észleli a csalás új formáit, mielőtt elkezdenének terjedni az interneten.
Micklitz: Vannak azonban korlátok – egy gép csak annyira intelligens, amennyire a személy, aki használja. Ha hamis vagy egyoldalú adatokat adok a gépnek, akkor a felismert minták is hamisak vagy egyoldalúak lesznek. Bármennyire is slágertémává vált a mesterséges intelligencia, a hatékonysága mindig a felhasználótól függ. A felhasználó feladata, hogy minőségi adatokkal töltse fel, majd ellenőrizze az eredményeket.
Risher: Régebben, amikor még egy másik e-mail-szolgáltatónak dolgoztam, üzenetet kaptunk egy banki alkalmazottól, Lagosból. Ebben az időben számos megtévesztő e-mail keringett az interneten – ezeket látszólag Nigériából küldték. A férfi arról panaszkodott, hogy az e-mailjei mindig a címzett spam mappájában kötnek ki annak ellenére, hogy egy neves banknál dolgozik. Ez egy tipikus esete annak, hogy téves általánosítás történt egy minta felismerésénél a hiányos adatok miatt. Ezt a problémát úgy sikerült megoldanunk, hogy megváltoztattuk az algoritmust.
Fotók: Conny Mirbach
Kiberbiztonsági fejlesztések
További információ arról, hogy hogyan őrizzük meg több felhasználó biztonságát online, mint bármely más szolgáltató a világon.
További információ