Ha a Microsoft alkalmazását használja belépéshez, készüljön fel: hamarosan törlődik minden jelszava

Az utóbbi napokban egymást érik az interneten az olyan cikkek, amelyek elsőre elég vészjóslóan hangzanak: a Microsoft augusztus 1-jén törli a jelszavaidat, két hét, és törlődnek a jelszavaid, tíz nap, és a jelszavaid törlődnek, 75 millió felhasználó jelszavait törlik, és így tovább. Olyan radikális változás azért nem jön, mint ezek alapján gondolhatnánk, viszont aki eddig a Microsoft Authenticator nevű alkalmazást használta a jelszavai tárolásához és belépéskor a jelszavak automatikus kitöltéséhez, annak valóban van némi teendője még augusztus előtt.

De annak is érdekes fejlemény ez, aki közvetlenül nem érintett, mert a Microsoft döntése a cég felhasználóin túlmutató, általános trendekről is árulkodik: az internet kezd eltávolodni a jelszóhasználattól, ami végső soron nagyobb biztonsághoz és kevesebb adathalász támadáshoz fog vezetni. Ebben egyébként a Microsoft élharcosnak számít, de azért, mint a nagy techcégeknél azt gyakran láthatjuk, a biztonságosabb internet megteremtése közben igyekszik a saját szolgáltatásai felé terelni az embereket.

Mi változik, és mikor?

A Microsoft Authenticator sokak által használt alkalmazás, amely elsősorban kódgenerátorként ismert: egyszer használatos kódokat lehet vele létrehozni azokhoz a szolgáltatásokhoz, amelyeknél a nagyobb biztonság érdekében be van állítva, hogy a bejelentkezéskor a jelszó után ilyen kódot is meg kelljen adni. Az Ügyfélkapu+-hoz is ez az egyik hivatalos ajánlás, például a Google Hitelesítő mellett.

A Microsoft appja emellett jelszókezelőként is funkcionált, azaz el lehetett benne menteni a különféle szolgáltatások bejelentkezési adatait, és be lehetett állítani, hogy bejelentkezéskor ezeket automatikusan kitöltse, illetve bankkártyaadatokat, címeket is ugyanígy kezelt. Na ez az, ami épp változóban van, a Microsoft ezeket a funkciókat fokozatosan kivezeti:

• júniustól már nem lehet új jelszavakat hozzáadni vagy importálni az appba;
• júliustól már az automatikus kitöltés sem működik, és törlődnek a mentett fizetési adatok – itt tartunk most;
• augusztustól pedig a már korábban mentett jelszavak sem lesznek elérhetők.

Mi lesz a jelszavaimmal?

Ez attól függ, hogy az appban szinkronizálta-e a mentett jelszavakat (és a mentett címeket) a Microsoft-fiókjával, vagy most szeretné-e ezt megtenni. Ha igen, akkor a fiókjában és azon keresztül a cég saját böngészőjében, az Edge-ben továbbra is elérhetők és használhatók lesznek, ha engedélyezi ezt a funkciót a böngészőben.

Ha nem szeretné, hogy a Microsoft elmentse a fiókjába az összes jelszavát, illetve nem az Edge böngészőt szeretné használni (vagy nem minden platformon), akkor exportálhatja a mentett jelszavakat (ehhez itt egy magyar nyelvű hivatalos útmutató), majd importálhatja azokat bármelyik másik jelszókezelőbe. A mentett címeket manuálisan tudja kimásolgatni, vagy az Edge-en keresztül exportálni. Mindez a mentett fizetési adatokra nem vonatkozik, azokat biztonsági okokból újra be kell írnia, akár az Edge-ben, akár más szolgáltatásban tárolná ezeket.

És mi lesz a mentett hozzáférési kulcsokkal? Semmi, azok továbbra is elérhetők maradnak. Na de mik azok a hozzáférési kulcsok, és miben különböznek a jelszavaktól?

A jelszómentes jövő felé

Van ennek a változtatásnak egy általánosabb és egy közvetlenebb oka, illetve egy utóbbihoz kapcsolódó harmadik következmény is.

Az általánosabb ok, hogy a Microsoft egy ideje már nagy szószólója és élharcosa a jelszó nélküli világ eljövetelének. Ez természetesen nem azt jelenti, hogy mindenhova akadály nélkül léphet be bárki, hanem azt, hogy az azonosításhoz a jó öreg jelszó helyett valamilyen egyszerűbb, mégis biztonságosabb módszert lehet használni. Több jelszómentes lehetőség és ezek kombinációja is létezik ma már egyre több szolgáltatónál, ilyen például a biometrikus azonosítás (mint az ujjlenyomat-olvasás és az arcfelismerés), az eszközbe dugható vagy ahhoz érinthető hardverkulcs, az emailen küldött belépőlink, az emailben vagy sms-ben küldött egyszer használatos kód, a QR-kódos belépés (mint a Digitális Állampolgárság Program mobilalkalmazásával), illetve az angolul passkeynek hívott megoldás, amelyet magyarul a Microsoft hozzáférési kulcsnak, a Google azonosítókulcsnak hív.

A hozzáférési kulcsok technikai hátterébe, a nyilvános kulcsú titkosítás, a kulcspárok és hasonlók rejtelmeibe nem megyünk bele, de a lényeg, hogy ez a módszer a hagyományos jelszavas megoldásnál jóval biztonságosabb és – ha jól valósítják meg – egyszerűbb is.

Mivel a hozzáférési kulcsot nem a felhasználó találja ki, hanem az eszköze generálja, és magát az eszközt a kulcs titkos része soha nem is hagyja el, ez a módszer számos fontos előnnyel jár:

• nincs több gyenge jelszó – mivel a felhasználónak nem kell megadnia jelszót, nem tud elcsábulni, hogy kitaláljon egy könnyen megjegyezhető karaktersort, így a hekkerek se tudják gépi segítséggel (brute force támadással) pillanatok alatt kitalálni, azaz vége a jelszo12345 típusú könnyű prédáknak;
• nincs több újrahasznosított jelszó – mivel a hozzáférési kulcsokat nem kell megjegyezni, a felhasználó nem tudja ugyanazt a kódot több helyen használni, így a hekkerek se tudnak többféle szolgáltatásba bejutni egyetlen megszerzett, aztán újrahasznosított jelszóval;
• nincs több adathalászat – mivel a felhasználónak nem kell semmilyen kódot megadnia, az adathalász támadóknak nincs mit kiénekelniük a szájából, de még ha lenne is, a hozzáférési kulcs technológiai felépítése miatt azzal se mennének sokra.

Ezek a remélt előnyök, de ahhoz, hogy mindez realizálódjon is, jobban el kell terjednie ennek a megoldásnak, és mindenhol zökkenőmentesen kell megvalósítani, minimum annyira, mint a jelszavas belépést – de ideális esetben még inkább. Utóbbiban segíthet, hogy a Microsoft és más cégek is igyekeznek összekötni (de akár úgy is mondhatnánk, összemosni) a hozzáférési kulcsokat a biometrikus azonosítással, így a kettő gyakran jár kéz a kézben.

Ebbe a jelszómentes jövőbe tesz újabb lépést a Microsoft azzal, hogy száműzi az Authenticator appból a jelszavakat.

Egy kis Edge-promó

A másik indok a változtatás mögött az egyszerűsítés. Közleménye szerint a Microsoft „egyszerűsíti az automatikus kitöltést, hogy a mentett jelszavakat egyszerűen használhassa az eszközök között”. Ez a gyakorlatban azt jelenti, hogy azzal, hogy egy mobilappból a böngészőjébe költözteti ezeket a funkciókat, bárhol elérhetővé teszi őket, ahol a böngésző elérhető. Magyarul míg az Authenticator appal csak mobilon lehetett automatikusan beírni egy-egy jelszót, ha be akartunk jelentkezni, az Edge-dzsel ezt értelemszerűen asztali gépen is megtehetjük, még ha maga a Microsoft is inkább azt szeretné, hogy ne a jelszavakat, hanem – ahol lehet – a hozzáférési kulcsokat használjuk.

De ha már használunk jelszót, a cég a jelek szerint örülne, ha ezt az ő ökoszisztémájukban tennénk meg, egyúttal a Chrome mellett elenyésző (bár a Firefoxot például már így is kényelmesen előző) piaci részesedést magáénak tudó Edge pozícióját is erősítve ezzel. Ez egyrészt a Microsoft szempontjából érthető, másrészt viszont illeszkedik abba a felhasználói szempontból aggályos trendbe, amelyet a mesterséges intelligenciára épülő csetbotok és más MI-megoldások is képviselnek: a nagy techcégek igyekeznek a saját ökoszisztémájukba, angolul walled gardenjükbe, azaz fallal körülvett kertjükbe zárni a felhasználókat, hiszen minél több mindent csinálnak és minél több időt töltenek el az ő szolgáltatásaikkal, annál jobb nekik üzletileg. A Microsoft lépésének ezt az aspektusát a big tech alternatívájaként létrejött Proton se mulasztotta el kiemelni – igaz, nekik van saját konkurens jelszókezelőjük.

Mit használjak, ha nem akarom az Edge-re bízni a jelszavaimat?

Rengetegen használják jelszókezelésre a böngészőjükbe épített megoldást, hiszen minden nagyobb böngésző kínál ilyesmit, nem csak az Edge. De ha valaki a böngészőjétől független jelszókezelőt használna – amit a biztonsági szakértők jellemzően jobb megoldásnak tartanak –, akkor is számos szolgáltatás közül lehet választani.

Néhány éve az egyik legnépszerűbb ingyenes megoldás a LastPass volt, de 2021-ben jelentősen szűkítettek az ingyenes csomagjukon. Akkor arra jutottunk, hogy a legátfogóbb és a legtöbb felhasználási esetre megfelelő ingyenes jelszókezelő a Bitwarden, amelyet akkoriban be is mutattunk, azzal együtt, hogy mi értelme egyáltalán jelszókezelőt használni – és ha már feljebb szó volt a hozzáférési kulcsokról, érdemes megjegyezni, hogy a legtöbb modern jelszókezelőhöz hasonlóan a Bitwarden is gond nélkül kezeli ezeket is.

De igényektől és pénztárcától függően egy sor további kedvelt szolgáltatás közül lehet választani, ilyen például a 1Password, a Dashlane, a Proton Pass, a NordPass vagy a kicsit fapadosabb, de teljesen ingyenes és nyílt forráskódú KeePass.