A jelszavak világa lejárt

Szeptember végén került sor az ITBN CONF-EXPO 2018 megrendezésére. Az eseményen az IT biztonsággal foglalkozó szakmai szereplők mellett részt vettek gyártók, cégvezetők, tanácsadók és a szakmai felügyeleti szervek képviselői is. A konferencián az IdomSoft munkatársa, Süttő Dániel rendszerfejlesztő mutatta be a szakmának, hogy milyen lehetőségek vannak az eSzemélyi kártyában.

Süttő Dániel elmondta, hogy két évvel ezelőtt, az új kártya bevezetésekor nem magyarázta el részletesen senki a szakma és az állampolgárok számára, hogy mi is az az eSzemélyi, mire jó és hol lehet használni. Ezért az IdomSoft kollégái ahol csak alkalom van rá, megpróbálnak részt venni a kártya népszerűsítésében.

A szakember szerint az előadás kifejezett célja az volt, hogy olyan élethelyzetekről meséljen a hallgatóknak, amelyekben az eSzemélyit lehet használni. Például amikor az magas biztonsági fokú személyazonosításra van szükség. Ezt a funkciót ugyanis már napi szinten használják az egészségügyben és az önkormányzati ügyintézésnél a hivatali dolgozók. Napi 30-30 ezer bejelentkezést bonyolít le az IdomSoft.

IT biztonsági közhely, hogy a felhasználónevek és jelszavak világa kezd lejárni. Már képtelenek vagyunk olyan jelszavakat generálni, amit az emberek még meg tudnak jegyezni, de a számítógépek már nem tudnak feltörni.

Süttő arról is beszélt, hogy a hitelesítés lehet tudás alapú, birtoklás alapú és biometriai alapú. Két faktorról akkor beszélünk, ha az előbbi háromból kettőt használnak. A biometria kellő biztonságú használata távoli azonosítás esetén nem feltétlen lehetséges. Egyébként ebben az esetben sem kell azonnal a véna vagy retina szkennerre gondolni. Ha egy rendőr megnézi a személyin a fényképünket, majd az arcunkat, gyakorlatilag már azzal is biometriai azonosítást végzett.

Forró téma tehát a kétfaktoros hitelesítés

A távoli azonosításnál így a tudás- és a birtoklás alapú faktornak van jelentősége. A jelszó tipikusan tudás alapú azonosítási faktor, míg a birtoklás alapúnak az a célja, hogy azt ne tudják tőlünk úgy elvenni, hogy azt ne vegyük észre. Azt ugyanis előbb-utóbb mindenki észreveszi, ha például ellopták a mobiltelefonját vagy a személyi igazolványát. Ha valaki ellopta a jelszavam, az lehet, hogy sose fogom észrevenni.

A jelszó ráadásul sokszorosítható, hiszen ha megosztják az interneten, rengetegen hozzáférhetnek. Ezzel ellentétben mobiltelefonból csak egy darab van, és a bankkártyával sem lehet egyszerre Afganisztánban és Peruban pénzt felvenni az automatából.

Az ember a gyenge pont

Az elektronikus útlevél és az eSzemélyi elektronikus útlevél funkciója olyan, hogy az okmányon látható adatok elektronikusan is leolvashatók róla. Ez meggyorsítja, megkönnyíti az életet a hétköznapi ügyintézés során. Természetesen ez csak azután használható, ha a polgár személyesen megjelent és az ügyintéző biometrikusan azonosította. Valahogy úgy, mint amikor valaki bemegy az irodaházba. Ott a portán elkérik a személyi igazolványát és rögzítik az adatait. Viszont utána már szabadon mozoghat az épületben a belépőkártyával. A folyamat gyenge pontja az, amikor valaki begépeli az adatokat.

Süttő Dániel példát is mondott erre a problémára. Az egyetemen, ahová járt, a diákok nevéből képezték a felhasználóneveket. Egyik ügyintéző véletlenül egy szóközt elé ütött a névnek. A kinyomtatott űrlapon senki sem vette észre a hibát, mégsem sikerült a jelszóval belépni sehová. Pedig az adatok látszólag rendben voltak.

De majd mindenkinek van elgépelős története, lemaradt második keresztneve, stb. Ezen segítene az eSzemélyis adatrögzítés. Pontosítaná a nyilvántartásokat és meggyorsítaná az ügyintézést.

Ehhez el kell terjeszteni az üzleti szférában is ezt az azonosítási módszert. Ez nem lehetetlen, hisz a telekom cégek szerint a beruházási költség elenyésző ahhoz képest, amennyi időt spórolnak az automatizált vagy a távoli azonosítással például a SIM kártyák kötelező regisztrálásánál.

A nem is olyan távoli cél az, hogy az állampolgároknak is tudjon az állam és az üzleti szféra olyan közigazgatási és piaci szolgáltatásokat nyújtani, hogy neki, személy szerint is megérje beszerezni egy kártyaolvasót. Ennek nincs technikai akadálya, hiszen a legkisebb olvasó nem nagyobb, mint egy pendrive. Ám 7-8 ezer forintba kerül. Megoldás lehetne a mobilba épített olvasó, ám sajnos a mobiltelefon gyártók igyekeznek minden fillért megspórolni és nem tesznek olyan antennát a készülékekbe, amely képes lenne stabil szolgáltatást biztosítani.

Esetleg a bankok is adhatnák a szolgáltatásaik mellé az ügyfeleiknek. Már három millió chipes okmány van az ügyfeleknél, erre minden piaci szolgáltatónak érdemes lehet alkalmazást fejlesztenie. Legyen szó bankokról, biztosítókról, vagy akár a közműszolgáltatókról.

Az Idomsoft mindenesetre igyekszik megteremteni a lehetőségét annak, hogy a polgárok értékes szolgáltatásokat vehessenek igénybe az eSzemélyi igazolványukkal.