Megtört a jég, mindenkinek elérhetővé tették a biztonságosabb, külső alkalmazásos azonosítást is igénybe vevő kétfaktoros belépést a KRÉTA-ban. Így megszűnhet az a helyzet, hogy egy sima ellopott jelszóval bárki hiányzásokat törölgethet és egy online játék biztonsági előírásai magasabbak, mint a központi e-naplóé. Ugyanakkor ehhez az is kell, hogy mindenki bekapcsolja magának a lehetőséget, mert azt nem tették kötelezővé.

Többször is írtunk már róla, hogy a teljes közoktatásban használatos, KRÉTA nevű többfunkciós, de a többség által e-naplóként ismert rendszer biztonságával voltak és vannak is komoly gondok. Nem egyszer érte kibertámadás azt, ami azért aggasztó, mert itt tárolják az összes diák minden érzékeny adatát kezdve onnan, hogy miből áll bukásra, odáig, hogy milyen orvosi papírral van felmentve tesiből. Legutóbb például a héten jutott el vádemelésig egy olyan ügy, ahol két középiskolás tanáruk jelszavával törölt hiányzásokat a rendszerből.

Név, jelszó, enter?

A KRÉTA biztonságából különböző helyeken megszólaló szakértők jellemzően a kétfaktoros azonosítást hiányolták leginkább. Ha ezt így névről nem is feltétlenül ismeri fel mindenki, szinte biztos, hogy a többség nem csak már találkozott vele, de rendszeresen használja is. Arról van szó, amikor nem elég egy felhasználónév plusz jelszó bepötyögése a belépéshez, hanem egy, a fiókomhoz kapcsolt telefonos azonosítás is szükséges. Ennek a legegyszerűbb módja SMS-ben kiküldeni vagy egy alkalmazásban generálni egy kódot, amit aztán a felugró ablakba be kell írnunk. Ha valaki valahogyan ellopná a jelszavunkat, ehhez már nem fér hozzá, és hiába próbál belépni. Ennél is komolyabb megoldás, amikor az igénybe vett hitelesítő app a jóváhagyáshoz a legtöbb telefonon már fennlévő biometrikus – ujjlenyomat- vagy arcfelismerő – azonosítást is igénybe veszi, mielőtt bebocsátást ad.

Hogy mennyit számít mindez, azt jól érzékelteti ez a részlet egy két évvel ezelőtti rendőrségi sajtóközleményből: „Kiderült, hogy a rejtélyes LiL AdaM megszerezte a diák számítógépén elmentett összes felhasználónevet, így tudott belépni a KRÉTA-rendszerbe. Az elektronikus levelezésbe és az említett VanityEmpire játékba már nem nyert bebocsátást, mert azoknak erősebb volt a védelmi rendszerük.” Korábban azonban sajtóhírek szerint az tarthatta vissza a központi rendszer fejlesztőit, illetve vélhetően inkább a politikai döntéshozókat attól, hogy elvárják a kétlépcsős hitelesítést, hogy féltek tőle, hogy nem minden pedagógus tudja majd azt megfelelően használni.

Talán annak köszönhetően, hogy mára már szinte az összes – az idősebb generációk által is bőven használt – online szolgáltatás a Gmailtól a Facebookig nem csak lehetővé teszi, de el is várja a kettős azonosítást, idén márciusban úgy látszott, megtörik a jég. A hwsw.hu-hoz eljutott ugyanis egy belső levél, mely szerint fokozatosan, modulonként és jogosultsági szintenként bevezetik a kétfaktoros azonosítást a rendszerben, ami elsőként a – logikusan kiterjedt adminisztrátori hozzáféréssel rendelkező – fenntartói, azaz tankerületi oldalon indul el. Ugyanakkor a fenti példa is mutatja, hogy egy-egy pedagógus jelszavát is elég ellopni, hogy azzal már vissza tudjon élni valaki.

Időközben azonban megjelentek a KRÉTA „Tudásbázis” nevű edukációs oldalán arról szóló útmutatók, hogy hogyan lehet bekapcsolni a tanulói-gondviselői, illetve a tanári felületen a kétfaktoros bejelentkezést. A témában online előadást is tartottak és oktatóvideókat is készítettek június közepén. Amik azonban túl nagy hírverést eddig még nem kaptak: a YouTube-csatornájukon fenn lévő, egyébként abszolút érthető és nem is hosszú videók közül cikkünk írásakor még egyiket sem nézték meg ezerszer.

Mindenkinek elérhető, de senkinek nem kötelező

Ezek után megkerestük a közoktatást is irányító Belügyminisztériumot (BM), hogy megtudjuk, kinek elérhető most a kétfaktoros hitelesítés a KRÉTA-ban és közülük kiknek kötelező. Erre a következő választ kaptuk:

„a kétfaktoros hitelesítés lehetősége minden köznevelési és szakképzési intézmény valamennyi pedagógusa, diákja, az érintett szülők, gondviselők számára elérhető, használata azonban nem kötelező.”

(Igaz, a helpdesk-felület egy pontján az is le van írva, hogy adminisztrátori jogosultsággal a pedagógusoknak kötelezővé tehető, legalábbis a rendszernek van egy ilyen rubrikája.)

A jó hír tehát, hogy nem kell tovább várni, lehet biztonságosabb a KRÉTA. Ugyanakkor ez mindenkire rá van bízva. Talán nem sérti meg az újságírói pártatlanságot, ha a cikk ezen pontján minden érintettet arra buzdítunk:

kapcsolja be ezt a lehetőséget magának!

A pedagógusok esetén meg lehet vele előzni a fenti ügyészségi esethez hasonló incidenseket, a diákok esetén pedig „csupán” kisebb az esélye annak, hogy illetéktelenekhez kerülnek valaki adatai.

Fontos pozitívum, hogy más rendszerrel ellentétben itt sokféle azonosító appot elfogadnak, ajánlanak négyet, de a gyakran ismételt kérdések oldaluk szerint „a felhasználók bármilyen, időalapú, a 2FA technológiával kompatibilis Hitelesítő alkalmazást használhatnak a rendszerbe történő belépés során”. A négy ajánlott közt pedig ott van a Google és a Microsoft hitelesítő alkalmazása is, amit több helyen is használnak a beléptetéshez, így sokaknak jó eséllyel már most is ott lehet a telefonján.

Pár kattintás az egész

Ha eddig nem jött volna át, hogy közszolgálati perceinket éljük éppen, akkor mutatjuk, ki hogyan tudja aktiválni. Mind diákok és szüleik, mind pedagógusok esetén a jobb felső sarokban a névre kattintva a „Profilbeállítások” alatt találjuk a „Biztonsági beállítások” részt.

Itt a rendszer linkeli is mind a négy, ajánlott külső hitelesítő alkalmazást mind androidosoknak, mind iPhone-osoknak (arról nincs hír, hogy a Google Playből kiűzetett Huawei-felhasználókkal mi lesz). Ha letöltöttünk egyet közülük, a kék „Beállítási lehetőségek” gombra kattintva tudjuk bekapcsolni a hitelesítést. Ezt jól összefoglalja ez a videójuk:

Egy QR-kód beolvasásával és egy visszaigazoló kód beírásával kötjük össze a telefonos alkalmazást a rendszerrel, hogy ezután ott kiadhassa nekünk a bejelentkezéshez pluszban szükséges, csak a mi telefonunkon elérhető egyszeri kódokat.

Innentől kezdve ezzel a plusz lépéssel fogunk tudni bejelentkezni.

A szokásos felhasználónév és jelszó páros után a telefonunk által kiadott egyszeri kódot is meg kell adnunk. Az ilyen appokról azért írták a fent idézett részben is, hogy időalapúak, mert viszonylag rövid idő alatt „lejárnak” a kódjaik. Ha a megnyitás után esetleg lejár az első pár kód, amit kiír a rendszer, nem történik semmi, várjuk meg a következőt és írjuk be azt. De szerencsére a kétfaktoros belépés működéséről is összeraktak nekünk egy remek videót, mutatjuk ezt is:

Mit tegyek, ha lemerültem?

A videó is tartalmazza, illetve mindenhol így működik az ilyen típusú hitelesítés, hogy erre a megoldást tíz helyreállító kód jelenti. Ezt rögtön az elején elkészíti nekünk a rendszer, érdemes kinyomtatni vagy felírni. Ugyanis, ha lemerült a telefonunk például és nem tudunk emiatt belépni a hitelesítő appba, akkor helyette ezek egyikével megtehetjük. Az alkalmazás által generált egyszeri jelszót kérő felület alján választhatjuk ki ezt a lehetőséget, ha szükség van rá. Ha a tíz kód nagy része elfogyott, lehet és érdemes is újat generáltatni a rendszerrel.

Esetleg felmerülhet valakiben az is, mi a teendő, ha telefonon akarunk bejelentkezni, hiszen rengetegen használják a KRÉTA mobil appjait is. Más esetben is előfordul, hogy valamilyen folyamat teljesítéséhez közben át kell lépnünk egy másik alkalmazásba (általában szintén biztonsági okból, például az online fizetések alkalmazásos hitelesítésekor). Ebben az esetben az alkalmazások közötti váltással lekérjük a kódot, visszaváltunk a KRÉTA-ra és ugyanúgy beírjuk, mintha asztali gépen váltogatnánk a böngészőnk lapjai között.

Akkor minden rendben?

Felmerülhet a kérdés: meg fog-e ezzel oldódni a KRÉTA összes biztonsági problémája? Annyi egészen biztos, hogy ez a lehetőség sokkal közelebb visz a megoldáshoz.

Nagyban múlik azonban a hatásossága – értelemszerűen – azon, hogy a nem kötelező jelleg ellenére a felhasználók mekkora része fogja bekapcsolni.

Ha ezután nem lesznek tele Reddit-fórumok a KRÉTA biztonsági rendszerén kódrészletek társaságában gúnyolódó posztokkal, az a vele kapcsolatos szubjektív biztonságérzetet biztosan segíti. Ez jó eséllyel arra már elég lehet, hogy unatkozó wannabe-programozó fiatalok ne akarjanak újra és újra behatolni a rendszerbe, nem túlzottan koherens trollkodó körüzenetek szétküldéséhez. Az esetleges komolyabb támadók elijesztésében viszont vélhetően a legtöbbet az segítene, ha pár hónap múlva valamelyik illetékes szerv mondjuk kiadhatna egy közleményt az MTI-n, hogy a felhasználók többsége már bekapcsolta a kéttényezős hitelesítést.

Egy nekünk nyilatkozó magyartanár azt mondja, a tanév végéig még nem kaptak ezzel kapcsolatos tájékoztatást, a nyári szünetben pedig nem használja a rendszert. Egy másik, matek-informatika szakos tanár – aki szintén tőlünk értesült a lehetőség bevezetéséről – is arról beszélt kérdésünkre, ő sem nem találkozott még ezzel kapcsolatos felhívással. Pedig az az időzítés, hogy hat nappal a tanév vége után tették fel az ezzel kapcsolatos videókat a YouTube-ra, csak elsőre tűnik furcsának. A pedagógusok ugyanis – tankerülettől függően – jellemzően még július elejéig bejárnak az iskolába, tehát elvileg ez az időszak ideális lehetne arra, hogy mindenkihez el is juttassák ezeket az oktatóanyagokat.

Megkérdeztük a BM-et arról is, hogy látják az éppen levelünk írásának napján kijött hiányzás-törléses eset tükrében például, így elég biztonságos-e már a rendszer. „A fejlesztést éppen azért valósítottuk meg, hogy visszaszorítsuk – a médiában hackertámadásként megjelenő – jogosulatlan belépések számát, melyek szinte kivétel nélkül az egyfaktoros azonosításra és a jelszavak nem biztonságos kezelésére vezethetők vissza. A fejlesztés hatását figyelemmel kísérjük az esetleges további intézkedések indokoltságának alátámasztására” – válaszolták.

(Kiemelt kép: Reviczky Zsolt)