Szerző: Dömös Zsuzsanna

2023. július 14. 09:48

A GitHub is bevezeti a jelszómentes azonosítást

Megérkeztek a passkey-ek a legnépszerűbb fejlesztői kollaborációs platformra, ami a jelszavak kiváltásával még egy fokkal biztonságosabbá teszi a szolgáltatás használatát.

Egyelőre bétában, de a GitHub megkezdte a jelszó nélküli hitelesítés támogatásának bevezetését, ami a jövőben lehetővé teszi a felhasználók számára, hogy azonosítókulcsok (passkey) segítségével hitelesítsék magukat. Ez azt jelenti, hogy elhagyhatják a hagyományos jelszavakat és a kétlépcsős hitelesítés során kiküldött ellenőrzőkódokat anélkül, hogy le kellene mondaniuk a biztonságos azonosításról. Helyette a biztonságosként megjelölt eszközről PIN-kóddal, vagy valamilyen biometrikus azonosítóval hitelesíthetik magukat, így az azonosítás helyben történik az eszközön. A kulcsok aktiválását a felhasználói fiók beállításai alól előhívható „Feature Preview” menüben lehet megtenni.

A kizárólag jelszóval történő hitelesítés az egyik legnagyobb biztonsági probléma, sok felhasználó nem fordít figyelmet a jelszavak újrafelhasználásának kockázatára, vagy a kétfaktoros hitelesítés bekapcsolására. A jelszó nélküli bejelentkezés lehetővé teszi a felhasználók számára, hogy az eszközüket, így például a telefonjukat, vagy laptopjukat használják az alkalmazások, webhelyek és más digitális szolgáltatások fő hitelesítési eszközeként.

A fizikai eszköztől függő bejelentkezés sokkal nehezebbé teszi a hackerek számára a bejelentkezési adatok távolról történő kompromittálását, így nehezebb végrehajtani azokat az adathalász támadásokat, amelyek során a felhasználókat hamis webhelyre irányítják a jelszavak ellopásának céljából. Azáltal, hogy nem kell minden alkalmazáshoz és webhelyhez emlékezni és kezelni az egyedi jelszavakat, jelentősen javítják a felhasználói élményt és a biztonságot.

github

Elindult a heti kraftie hírlevél!

Rapid IT karrier tippek és trendek szerdánként az inboxodban.

Elindult a heti kraftie hírlevél! Rapid IT karrier tippek és trendek szerdánként az inboxodban.

A GitHub ezzel újabb lépést tesz a szoftver-ellátási lánc biztonságának erősítése érdekében. A bejelentést megelőzően a kollaborációs platform március 13-tól kötelezővé tette a kéttényezős hitelesítést (2FA) használatát az összes aktív fejlesztő számára, előtte pedig kivezette a fiókjelszavak használatát. Az évek során a GitHub megerősítette fiókbiztonsági intézkedéseit azáltal, hogy kétfaktoros hitelesítést és bejelentkezési figyelmeztetéseket vezetett be, blokkolta a feltört jelszóhasználatot, és bevezette a WebAuthn támogatást.

Google, az Apple és a Microsoft tavaly jelentették be, hogy hamarosan minden saját platformjukon kiterjesztik a FIDO Alliance és a World Wide Web konzorcium által kidolgozott FIDO (Fast IDentity Online) bejelentkezési szabványok támogatását, legyen szó mobilról, számítógépről, böngészőkről. Ezzel a lépéssel a jelszómentes bejelentkezés szép lassan egyre több szolgáltatás részévé válhat. A Google idén a személyes Google-fiókok után a Workspace és Cloud ügyfelek számára is lehetővé tette a jelszavakat és 2FA-kódokat kiváltó új hitelesítési lehetőség használatát, így a passkeyek  több mint 9 millió vállalkozás, iskola és kormányzati szervezet számára váltak elérhetővé elérhetőek.

Mik azok a sötét mintázatok, vagy ahogy az angol nevezi őket, dark patternek? Miért találkozunk egyre többször velük és mit tehetünk, hogy ne kerüljünk a csapdájukba?

a címlapról