A kétlépcsős azonosítás sokáig extra biztonsági opciónak számított, ma viszont egyre több helyen alapelvárás. A jelszó önmagában már ritkán elég, különösen ott, ahol személyes adatok, pénzügyi információk vagy üzleti hozzáférések forognak kockán.
A kétlépcsős azonosítás lényege, hogy a belépéshez egy második megerősítés is szükséges, amely jellemzően egy eszközhöz vagy alkalmazáshoz kötődik.
Mikor kötelező a kétlépcsős azonosítás?
Bizonyos szolgáltatásoknál a kétlépcsős azonosítás már alapkövetelmény. Ilyen helyzetek elsősorban pénzügyi és közigazgatási környezetben jelennek meg, ahol jogszabály vagy belső biztonsági szabályzat írja elő a használatát.
Az online banki felületek jó példát adnak erre. Magyarországon a netbanki belépés és az utalások jóváhagyása jellemzően kétlépcsős azonosítással történik. A belépéskor érkező SMS-kód, banki mobilalkalmazásban megjelenő jóváhagyás vagy biometrikus megerősítés mind ebbe a körbe tartozik. Itt a cél az, hogy egy ellopott jelszó önmagában ne legyen elég a hozzáféréshez.
Hasonló elv érvényesül az Ügyfélkapu+ esetében is. A magyar állami ügyintézésben a kétlépcsős azonosítás egyre több folyamatnál jelenik meg, különösen érzékeny adatokkal járó ügyeknél. A belépéshez ilyenkor egy jelszó és egy külön generált kód együttesen szükséges.
Nagyvállalati környezetben szintén gyakori az előírt kétlépcsős azonosítás. Microsoft 365, Google Workspace vagy vállalati VPN-hozzáférések esetében a rendszergazdák gyakran kötelezővé teszik a második lépcsőt minden felhasználónak. Itt az adatvédelem és a céges infrastruktúra biztonsága indokolja a szigorúbb hozzáférést.
Hol erősen ajánlott?
Számos olyan szolgáltatás létezik, ahol a kétlépcsős azonosítás nem kötelező, mégis komoly kockázatot jelent a hiánya. Ezeknél a felületeknél egy sikeres fiókfeltörés hosszabb távon is problémát okozhat.
Az e-mail fiókok tipikusan ebbe a körbe tartoznak. Egy Gmail-, Outlook- vagy iCloud-fiók hozzáférést adhat más szolgáltatások jelszó-visszaállításához is. A kétlépcsős azonosítás itt azért fontos, mert az e-mail gyakran kulcsfiókként működik a digitális életben.
Közösségi oldalaknál szintén ajánlott a használata. Facebook-, Instagram- vagy LinkedIn-fiókok esetében a visszaélések gyakran üzleti vagy reputációs kárt okoznak. Egy átvett fiók alkalmas lehet adathalász üzenetek küldésére, hirdetések indítására vagy bizalmas beszélgetések elérésére.
Felhőszolgáltatásoknál, mint a Google Drive, Dropbox vagy OneDrive, a kétlépcsős azonosítás a személyes és munkaanyagok védelmét szolgálja. Ezeken a felületeken gyakran évek dokumentumai találhatók, amelyek elvesztése vagy kiszivárgása komoly következményekkel járhat.
Mi a második lépcső?
A legelterjedtebb forma továbbra is az SMS-ben küldött kód, amely egyszerű és széles körben támogatott. Emellett egyre gyakoribbak az autentikátor alkalmazások, mint a Google Authenticator, a Microsoft Authenticator vagy az Authy. Ezek az appok időalapú kódokat generálnak, amelyek internetkapcsolat nélkül is működnek.
Sok szolgáltatás kínál push értesítéses jóváhagyást is. Ilyenkor a belépéskor egy értesítés jelenik meg a telefonon, amelyet egy érintéssel lehet elfogadni. Ez a megoldás kényelmes, és kevesebb hibalehetőséget hordoz.
Bizonyos rendszereknél hardveres kulcsok is megjelennek, például YubiKey formájában. Ezek főként vállalati környezetben és fejlesztői fiókoknál terjedtek el.
A jelszólopás ma már nem ritka esemény. Adatszivárgások, adathalász e-mailek és újrahasznált jelszavak mind növelik a kockázatot. Amikor csak egyetlen azonosítási tényező védi a fiókot, a támadó azonnal hozzáférést kap.
Kétlépcsős azonosítás esetén a helyzet megváltozik. A megszerzett jelszó önmagában kevés, mert hiányzik a második megerősítés. Ez a plusz lépés gyakran elegendő ahhoz, hogy a támadás meghiúsuljon, vagy időben észlelhető legyen.
