Kulcs elvitelek
- A beépített Multi-Factor Authentication (MFA) rendszer könnyebben elérhető azon iOS-felhasználók számára, akik nincsenek tisztában harmadik féltől származó hitelesítő alkalmazások letöltésével, vagy nem érdeklődnek iránta.
- A biztonságot felügyelő kevesebb fél kevesebb esélyt jelent a rendszer kompromittálására, és könnyebben kezelheti a problémákat.
- A harmadik féltől származó alkalmazások továbbra is okozhatnak gyengeségeket, akár szándékosan, akár az adatok megfelelő védelmének elmulasztása miatt.
Az Apple bejelentette a beépített többtényezős hitelesítést az iOS 15-höz, amely a kiberbiztonsági szakértők szerint nagymértékben javítja személyes adatainak védelmét.
Az iOS-felhasználóknak, akik a többtényezős hitelesítést szeretnék használni, jelenleg le kell tölteniük harmadik féltől származó hitelesítő alkalmazásokat, például a Google Authenticator, az Authy vagy a Microsoft Authenticator alkalmazást. A beépített rendszer biztosításával az Apple elérhetőbbé teszi a telepítési folyamatot, és ezzel nagyobb számú embert ösztönöz annak használatára.
„Ha egy központosabb rendszerünk van a szétszórt rendszer helyett, az megváltoztatja a játékot.” – mondta Miranda Yan, a VinPit alapítója a Lifewire-nek adott e-mailes interjújában. „Bár az Apple hírneve a magánélet védelméről és a felhasználói adatok biztonságos kezeléséről, az új iOS 15 ezt egy magasabb szintre emeli.”
Túl sok szakács
MFA vagy kéttényezős hitelesítés (2FA) megköveteli, hogy egynél több igazolási módot adjon meg ahhoz, hogy hozzáférjen fiókjaihoz, például a közösségi médiához és az e-mailekhez. Az, hogy további azonosítást kell biztosítani – például szöveges üzenetben küldött egyszer használatos számkód megadása – megnehezíti a személyes fiókok átvételét a potenciális rosszfiúk számára.
A hitelesítő alkalmazások hasonló módon működnek. Ezek az alkalmazások véletlenszerű, hatjegyű kódot generálnak, amelyek különböző fiókokhoz kapcsolódnak, amelyekben engedélyezve van az MFA. Használatuk annyi, hogy megnyit egy alkalmazást a kód megtekintéséhez, majd be kell írni a kódot, amikor a rendszer kéri, miközben bejelentkezik a csatlakoztatott fiókba.
Ha egy rendszer biztonsága túl sok különálló entitásra támaszkodik a figyeléséhez és vezérléséhez, több lehetőség adódhat a kiaknázásra. Ha mindent egyetlen cégre (jelen esetben az Apple-re) bízunk, az sokkal stabilabb környezetet teremt.
Ezután a rendszer minden eleme ugyanazokkal az irányelvekkel rendelkezhet, és nem kell „lefordítani” az információkat a platformok között. Ha valami elromlik, akkor az egész rendszert ismerő és üzemeltető emberek próbálják megjavítani, nem pedig harmadik fél.
Sakinah Tanzil, a kiberbiztonsági karrieredző és a Breaking the Cyber Code szerzője szerint az új iOS 15 beépített MFA „…lehetővé teszi [Apple-nek] az alapvető biztonsági szolgáltatások nyújtását, például a számítási folyamatok integritásának fenntartását, a rendszererőforrásokhoz és adatokhoz való hozzáférés szabályozása, valamint következetes és kiszámítható számítástechnikai szolgáltatások biztosítása."
Valahányszor egy alkalmazás felhasználói adatokkal foglalkozik, fennáll annak a lehetősége, hogy valaki ellopja ezeket az adatokat. Minél több adatot osztanak meg, és minél nagyobb az érintett felek száma, annál nagyobb az esély a kompromittálásra. Ha az adatok veszélybe kerülnek, könnyebb egyetlen entitásnak felfedezni és megoldani a problémát, mintsem hogy többen próbálják meg koordinálni.
„Az MFA/2FA funkció bevezetése az új iOS 15-ben elősegíti az iPhone-eszközök biztonságának javítását azáltal, hogy megszünteti a harmadik féltől származó hitelesítő alkalmazásokat” – mondta Harriet Chan, a CocoFinder társalapítója. „…Ez azt jelenti, hogy az Ön adatait nem fenyegeti a harmadik féltől származó alkalmazásokban való helytelen kezelés veszélye, amely számos biztonsági kockázatnak és adatvédelmi incidensnek teheti ki Önt.”
Semmi sem tökéletes
Természetesen egyetlen biztonsági rendszer sem tökéletes, és bár a beépített MFA hozzáadása határozottan javítja az iOS 15-öt, a felhasználóknak továbbra is ébernek kell lenniük. Mivel nem elhanyagolható számú alkalmazás csalja ki az App Store felhasználóit több millió halmozott dollárból, könnyen belátható, miért.
„Mivel a felhasználók anélkül használhatják az MFA biztonsági funkcióit, hogy hozzáférnének harmadik féltől származó alkalmazásokhoz, ez kisebb nyomást gyakorol az alkalmazásfejlesztőkre, hogy kiberbiztonsági funkciókkal tegyék ki a részüket az alkalmazások védelmében” – mondta Phil Crippen, a John Adams vezérigazgatója. IT, mondta egy e-mailes interjúban.
„2021-ben még mindig meglehetősen gyakori, hogy a hacker különösebb erőfeszítés nélkül kinyeri a felhasználói adatokat egy alkalmazásból” – mondta.
Ez hasonló probléma az App Store szigorú belépési irányelvei által felvetett problémához, amely hamis biztonságérzetet jelenthet. Ha nem vigyázol, megnyithatod magad a hivatalosnak mondható hamis alkalmazások letöltésére, manipulatív, hamis vélemények alapján megnövelt besorolású alkalmazásokat stb. Ugyanez vonatkozik az iOS 15 túl kényelmes és biztonságos érzésére is. Igen, javított biztonsági funkciókkal rendelkezik, de nem legyőzhetetlen. A szakértők egyetértenek abban, hogy továbbra is tisztában kell lennie az MFA-val, és azt használnia kell, ha elérhető.