Bár a Nemzeti Média- és Hírközlési Hatóság (NMHH) nem közölt pontos statisztikai adatokat a 2024-es kibertámadások számáról, korábbi kutatásaik szerint 2022-ben már 100–150 ezer magyar internetező adta meg személyes adatait csalóknak, és becslések szerint 20–50 ezren válhattak közvetlen adathalász-támadás áldozatává. Az idei trendek alapján feltételezhető, hogy ez a szám tovább emelkedett. 

A Sophos kiberbiztonsági vállalat ennek fényében arra figyelmeztet:

Kapcsolódó

a hagyományos, jelszavakon alapuló védelem mára elégtelenné vált. A szakértők szerint a jelszómentes hitelesítési módszerek jelenthetnek tartós megoldást a tömeges adatlopások és a kibertámadások visszaszorítására.

„El kell mozdulnunk a jelszavakra és megosztott titkokra épülő megoldásoktól. A hozzáférési kulcsok vagy passkey-ek ma a legrobusztusabb megoldást képviselik, amely biztonságos jövőt építhet, mentes a jelszavaktól, az adathalászattól és remélhetőleg a nagyszabású kompromittálódástól” - hangsúlyozta Chester Wisniewski, a Sophos CISO igazgatója.

A kiberszakértők rámutatnak, hogy a kompromittált hitelesítő adatok immár második éve az első számú támadási célpontok közé tartoznak világszerte. Ezért elengedhetetlennek tartják, hogy a különböző szervezetek és vállalatok felülvizsgálják hitelesítési módszereiket, és áttérjenek a robusztusabb, például WebAuthn-alapú vagy passkey-alapú megoldásokra, amelyek hatékonyabb védelmet nyújtanak az adathalász támadásokkal szemben.

WebAuthn, amely hozzáférési kulcsokat vagy passkey-eket használ, már széles körben elismert kiberbiztonsági megoldás. Ezzel a módszerrel, amikor a felhasználó fiókot hoz létre, egy egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcsot a webhely szerverén tárolják, míg a magánkulcsot a felhasználó eszközén, a webhely nevével és a felhasználói azonosítóval együtt.

A bejelentkezéshez többé nincs szükség jelszóra vagy SMS-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással.

A hitelesítés tehát továbbra is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire épít. Ezáltal elvileg nem lehet őket ellopni hagyományos adathalász módszerekkel.

A hitelesítési folyamat emellett kétirányú ellenőrzést is tartalmaz, amely lehetővé teszi a felhasználó számára, hogy a szerver hitelesítési kérelme alapján ellenőrizze a szolgáltatás azonosságát. A tudásalapú jelszavakat és titkos kódokat használó megoldásokkal ellentétben már nem csak a felhasználónak kell igazolnia jogosultságát.

Mindemellett a szakértők szerint továbbra is fontos, hogy a következő tényezőkre figyeljünk:

  • Biztosítani kell, hogy az eszköz vagy felhő, ahol a kulcsokat tárolják, biztonságos legyen.
  • A WebAuthn sikeres bevezetéséhez a vállalatok és a felhasználók elköteleződése és alkalmazkodása szükséges.
  • A munkamenet-sütik ellopása továbbra is egy olyan támadási módszer, amelyet kihasználhatnak a hekkerek