Prim Online

A Kingston Technology szakértői a május 2-i jelszó világnap alkalmából összefoglalták a jelszóval védett fájlok titkosítási lehetőségeit, és felhívták a figyelmet a hardveres titkosítás előnyeire.

Az IBM tavalyi Cost of a Data Breach Report felmérése szerint globálisan átlagosan 4,45 millió dollárba kerül egy adatszivárgás az érintett vállalat számára, ami 15%-os növekedést jelent 3 év alatt. Éppen ezért nem mindegy, milyen módszereket és eszközöket használunk az adatok védelme érdekében. Számos szakember, köztük orvosok, ügyvédek, üzletemberek és vállalati dolgozók jelszóval titkosítják az e-mailben továbbított dokumentumokat, feltételezve, hogy a fájlok megfelelően védettek az adattolvajokkal szemben. Tévhit azonban, hogy ez önmagában elegendő lenne. A szabványos jelszóvédelem az adatok fizikai titkosítása nélkül hiábavaló ugyanis, mivel ez egy könnyen megkerülhető biztonsági módszer. Így nem nyújt kellően átfogó biztonságot a fájlok és a meghajtók számára.

A jelszavas védelem általában csak az adatokhoz való hozzáférés módját jelenti, ám jelentős különbségek vannak a szoftveres titkosításon alapuló jelszavas védelem és a hardveralapú titkosítás között. A titkosítás elengedhetetlen a felhasználói adatok egyedi jelszóval történő védelméhez, de vajon mi a leghatékonyabb módja annak, hogy megvédjük a személyes vagy érzékeny vállalati adatokat az adatlopástól és az adatvesztéstől?

Szoftveres jelszóvédelem 

Sok alkalmazás (például MS Word, Excel, Adobe Acrobat) lehetővé teszi a jelszóval védett fájlok létrehozását, melynek során valamilyen szoftveres titkosítást hajtanak végre a fájlokon az adatok fizikai védelme érdekében. Esetenként azonban a titkosítás szintjét nem jelölik, így a felhasználók nincsenek tisztában azzal, hogy ezek a programok a hozzáadott jelszavas védelmen túl milyen mechanizmust alkalmaznak az adatokon. A Windows BitLocker egy olyan megoldás, ami a számítógép-meghajtót vagy az azon lévő fájlokat is képes titkosítani. Az új BitLocker-verziók támogatják a legmodernebb 256 bites Advanced Encryption Standard (AES) XTS szabványt, amihez érdemes ragaszkodni.

A fejlesztők általában azért szeretik a szoftveres titkosítást, mert olcsón kivitelezhető, nincs szükség hozzá speciális hardverre, a titkosító szoftver pedig szükség esetén könnyen licencelhető. Az előnyei mellett azonban megvannak a hátrányai is: ha a felhasználó jelszavát feltörik a hackerek és a számítógép memóriájából megszerzik a meghajtó helyreállítási kulcsait, akkor minden adathoz hozzáférhetnek. Szintén problémát jelent, hogy a szoftveres titkosítás működéséhez szükség van a számítógép feldolgozási teljesítményére, tehát ha a felhasználó nagyméretű, titkosított fájlokat, például képeket vagy videókat nyit meg vagy zár be, az befolyásolhatja a rendszer teljesítményét.

A szoftveres titkosítás azok számára lehet elegendő a számítógép, az e-mail fiók vagy egyéb felhőalapú fiók védelmére, akik csak utólag gondolnak az adatbiztonságra, vagy úgy gondolják, hogy „jó, ha van”. Ez a titkosítási módszer nem korlátozza a jelszótalálatok számát, azaz a brute force támadásokat, melyek során a hacker eltávolítási folyamatot és automatizált eszközöket használ a jelszavak feltörésére. Mivel a jelszavak többsége jellemzően 8 karakter hosszúságú, és a nagy teljesítményű számítógépek másodpercenként több mint egymilliárd jelszót képesek kitalálni, a szoftveresen titkosított fájlok gyorsan feltörhetők. A szakértők ezért ez esetben legalább 12 karakteres jelszavak használatát javasolják a támadók lelassítása érdekében.

Hardveres titkosítás 

A hardveres titkosítású megoldások robusztusabb és átfogóbb adatvédelmet kínálnak a fontos fájlok valódi jelszavas védelméhez, mint a szoftveralapú opciók. A szoftveressel ellentétben a hardveres titkosítást egy külön biztonságos mikroprocesszor hajtja végre, amely a felhasználói hitelesítésre és az adatok titkosítására szolgál. Ez egy biztonságosabb titkosítási módszer, mert a titkosítási folyamatok elkülönülnek a számítógép többi részétől, így nehezebb feltörni a jelszót. Emellett a titkosítási folyamatok sokkal gyorsabbak is, mivel egy hardveresen titkosított eszköz kezeli az összes adatfeldolgozást. 

A hardveres titkosítású meghajtók (például USB-k vagy SSD meghajtók) viszont drágábbak, mint a szoftveres verziók, mivel fejlett komponenseket, kifinomultabb technológiát alkalmaznak, és kezdettől fogva adatvédelmi eszközként tervezték őket (ellentétben a titkosítatlan alternatívákkal). A hagyományos USB-eszközök egyszerű, biztonsági intézkedések nélküli tárolóeszközök, míg a hardveres titkosítású meghajtók kizárólag az adatok védelmét szolgálják, mint például a meghajtó ellopása vagy elvesztése elleni biztosítás. A Kingston vállalati felhasználók körében végzett X (Twitter) felmérése szerint a válaszadók 68,5 százaléka még mindig nem használ titkosított USB-meghajtókat. Csupán 16,9 százalékuk vallott úgy, hogy használ ilyen adatvédelmi eszközöket, 14,6 százalékuk pedig tervezi ezek bevezetését a jövőben. 

A hardveralapú titkosítás előnyei

• Nehezebben támadható: A Kingston IronKey termékcsaládhoz hasonló meghajtókat úgy tervezték, hogy ellenálljanak a kibertámadásoknak, ellentétben a szoftveres titkosítási lehetőségekkel. Ezek fejlett védelemmel rendelkeznek az olyan módszerek ellen, mint a brute force jelszótámadások, hiszen a legjobb, 256 bites AES titkosítással XTS módban védenek. A hardveres titkosítási eljárás képes megszámolni az összes jelszókísérletet, és megadott számú próbálkozás után kriptográfiai törlést végez a meghajtón. Éppen ezért a kiberbűnözők általában a szoftveresen titkosított eszközök feltörését részesítik előnyben, mivel ezek könnyebb prédát jelentenek.

• Fizikailag és digitálisan ellenálló: A Nemzeti Szabványügyi és Technológiai Intézet (NIST) által meghatározott FIPS 140-3 Level 3 szabvány szerint a katonai szintű biztonsággal rendelkező, hardveres titkosítású meghajtók fokozott védelemmel vannak ellátva a fizikai támadásokkal szemben. Az ilyen USB-kulcsokban – mint pl. a kategóriájában legjobb IronKey D500S és IronKey Keypad 200-ban – epoxigyanta töltet van, ami védőtömítést képez a meghajtó belső alkatrészei körül, így azok ellenállóbbá válnak a fizikai manipulációval szemben. Ezek a típusú meghajtók a védelmi mechanizmusoknak köszönhetően maguktól leállnak, ha például túl magas hőmérséklet vagy feszültség éri őket, vagy az önteszt során behatolást észlelnek.

• Hordozható: Az asztali számítógépet vagy laptopot nem mindig tudjuk hordozni, a hardveres titkosítású eszközöket viszont könnyen magunkkal vihetjük mindenhová. Nem kell megkockáztatni, hogy e-mailben küldjük el a pénzügyi dokumentumokat egy könyvelőnek vagy ügyvédnek, vagy hogy bizalmas adatokat tároljunk a felhőben – a személyes adatokat a hálózaton kívül, biztonságosan tárolhatjuk. Egy külső SSD, például az IronKey Vault Privacy 80ES akár 8 TB-nyi adat biztonsági másolatának tárolását teszi lehetővé, amit az internettől távol, egy általunk meghatározott helyen tarthatunk.

• A törvényeknek és előírásoknak való megfelelés: Az adatok titkosítása számos esetben követelmény, amit többek között a GDPR ír elő az Európai Unióban, vagy a HIPAA az USA-ban. A Kingston IronKey meghajtók segítenek az adatvédelmi megfelelésben, mivel a rajtuk lévő adatok mindig titkosítva vannak. Az összetett jelszó- vagy jelmondathitelesítés biztosítja a hozzáférést a meghajtóhoz (a Kingston IronKey meghajtók legfeljebb 64, a D500S esetében pedig 128 karakteres jelmondatokat támogatnak). A brute force támadás elleni védelem pedig megakadályozza a behatolási támadásokat, és ha jelszófeltörést kísérelnek meg, a meghajtó képes törölni a rajta lévő adatokat és visszaállítani a gyári állapotot.

Az adatok helyreállítása

A zsarolóvírus-támadások számának növekedésével a rendszeres biztonsági mentések létfontosságúak az adatok helyreállításához. Bármelyik titkosítási lehetőséget is választjuk, alkalmazzuk a 3-2-1 biztonsági mentési stratégiát. Ennek lényege, hogy készítsünk 3 másolatot az adatokról, használjunk 2 különböző adathordozót vagy meghajtót arra az esetre, ha az egyik meghibásodik vagy megsérül, és 1 meghajtót tartsunk egy másik, biztonságos és elzárt helyen.