Eltörölhetjük-e a jelszavakat az interneten?

Fura módon az egyik legnehezebb feladat, ami elé az online szolgáltatások a felhasználókat állítják, a bejelentkezés. Mindenki számára teljesen megszokott és elfogadott, hogy a legtöbb helyen felhasználónév (email)/jelszó kombinációval lépünk be, az utóbbi időben azonban több felhasználói élménnyel foglalkozó blog is pedzegette a témát, hogy megvalósítható-e a jelszómentes bejelentkezés. Ha elsőre meredeken hangzik, olvass tovább.

Ha azt gondolod, hogy a jelszó eltörölhetetlen, szerves része az azonosításnak, érdemes elvégezni az alábbi kísérletet. Amikor legközelebb regisztrálsz egy új oldalra, adj meg egy teljesen véletlenszerű jelszót — üss a billentyűzetre, vagy használj más tetszőleges módszert —, és ne jegyezd fel sehová, felejtsd el. A legtöbb szolgáltatás az első alkalom után egy eszközről gyakorlatilag végtelen ideig bejelentkezve fog tartani, ha pedig máshonnan szeretnél belépni, használd az elfelejtett jelszó funkciót.

Ez a metódus a gyakorlatban is tökéletesen működik, már többen is sikerrel alkalmazzák. Könnyű látni, hogy ezzel gyakorlatilag meg is valósítottuk a jelszómentes bejelentkezést — bár van jelszavunk, valójában magunk sem ismerjük azt, mégis mindig hozzá tudunk férni bármelyik fiókunkhoz egészen addig, amíg az elsődleges email fiókunk jelszavát ismerjük.

Ben Askins ezen gondolatok mentén egy olyan megoldást javasol, ahol egyedül a felhasználónevet kellene megadnunk (de azt is automatikus kiegészítéssel, hogy gyorsabb legyen az egész), utána pedig kapunk egy titkos belépési linket a biztonságos email címünkre — erre kattintva léphetnénk be az adott szolgáltatásba. A login link akár több eszközről is használható lenne, még gördülékenyebbé téve a folyamatot.

A legtöbb online szolgáltató első használat előtt amúgy is igényel valamilyen aktiválási folyamatot, mielőtt teljes hozzáférést kapnánk a fiókunkhoz, és a statisztikák szerint a felhasználók meglepően nagy hányada használja az elfelejtett jelszó funkciót. Fejlesztői szempontból is nyernénk ezzel a dologgal, hogy nem kéne jelszavakat tárolnunk az adatbázisban semmilyen módon, a bejelentkezési link használata pedig lehetne számban és időben is limitált. Azt se feledjük, hogy az egész folyamat feltételezi, hogy a felhasználó elsődleges email címe valóban biztonságos, de bátran kimondhatjuk, hogy ezzel a feltevéssel a jelszavas bejelentkezés megvalósításánál is élni szoktunk.

A jelszavak eltörlése persze jár némi biztonsági kockázattal (ahogy minden), ugyanakkor sok jelenlegi támadástípust megszüntetne. Gondoljunk csak a szokásos phishingre, ahol a hackerek például banki oldalak másának elkészítésével szerzik meg jelszavunkat; ez a jelszómentes módszerrel némileg azért nehezebbé válna.

Természetesen ebben a formában a dolog inkább csak egyfajta gondolatkísérletként kezelendő, mégis érdemes elmélázni rajta. A jelszó, mint fogalom eltörlése elsőre ugyan drasztikusnak tűnt, de jobban végiggondolva teljesen logikusnak és megvalósíthatónak hangzik — persze csak a biztonsági részletek és a különböző best practice-ek kidolgozása után.