Miért nem elég a jelszó?

Attól függően, hogy a rendszerünkben tárolt adatok mennyire képviselnek értéket a számunkra, különböző mértékben célszerű védeni őket az illetéktelen hozzáféréstől.

A védelem „frontvonala” a felhasználói hozzáférés-védelem, a jelszó pedig önmagában gyenge védelmet ad: könnyen kileshető, lehallgatható, kitalálható, feltörhető. Ha megszerezték, akkor a rendszerhez az illetéktelen személy minden további nélkül hozzáfér.

Kézenfekvő megoldás, hogy a frontvonal megerősítése révén csökkentsük a biztonsági kockázatokat, az illetéktelen hozzáférés esélyét. A legalább 3-es biztonsági szintbe besorolt rendszerektől kezdve az Ibtv. Rendelet kötelező jelleggel írja elő az azonosítás megerősítését különböző felhasználói körökre kiterjesztve:

  • 3-as besorolás esetén a privilegizált felhasználóknak kell a jelszó mellé valamilyen egyéb („birtokolt”, vagy „tulajdonságra alapozott”) bizonyítékot felmutatni a rendszernek,
  • 4-es besorolás esetén pedig mindenkinek kell a jelszó mellé valamilyen egyéb („birtokolt”, vagy „tulajdonságra alapozott”) bizonyítékot felmutatni a rendszernek.

Privilegizált felhasználó: alapvetően, aki másnak jogosultságot tud állítani, de bárki, akire az intézményi biztonsági felelős/szabályzat ezt határozza meg.

Birtokolt bizonyíték: olyan eszköz, ami informatikai rendszerben hitelesítésre használható, és kizárólag a felhasználó birtokában van (pl.: nem adható kölcsön, nem másolható, nem hamisítható, stb.) Az Ibtv. Rendelet Birtoklás alapú hitelesítésként hivatkozik a módszerre.

Tulajdonságra alapozott bizonyíték: a felhasználó valamilyen egyedi csak rá jellemző tulajdonságával igazolja az azonosságát. (Tipikusan biometrikus azonosítók, pl.: ujjlenyomat, írisz szkenner, véna szkenner, arc-, vagy hangfelismerés, vagy akár ezek tetszőleges kombinációja.)

Az Ibtv. Rendelet Tulajdonság alapú hitelesítésként hivatkozik rá.

A jelszavas hitelesítést nevezzük még „tudás/ismeret alapú hitelesítésnek” is, mivel a jelszó olyan bizonyíték, amit csak a hitelesítendő felhasználó tud, vagy ismer. Az Ibtv. Rendelet Jelszó (tudás) alapú hitelesítésként hivatkozik rá.

Amikor a három hitelesítési mód közül egynél többet alkalmazunk a beléptetés során, akkor több tényezős hitelesítésről beszélünk.