“Világ authenticatorai Magyarországra figyeljetek!” – mondhatnánk némi túlzással, bár, nem is olyan biztos, hogy túlságosan tévednénk, amikor arra célzunk, hogy rohadtul kevés időt hagytak arra, hogy az országunk népét “átkényszerítsék” a biztonságosnak ígérkező authenticátorok világába.
Könyvelőirodákban, családoknál otthoni hálózaton, távoli asztalon, közösségi munkahelyeken nem ritka dolog, hogy minden számítógépen/eszközön fut valamilyen (kedvenc) authenticator, és egyszer csak azt vesszük észre, hogy az egyik gép nem ugyanazt a kódot adja ki magából, mint a főnökasszony mobilja, vagy mint a másik 3 számítógép, avagy a szerverünk.
Az is izgalomra adhat majd okot, ha ugyan pontos az eszközünk órája, csak éppen a téli-nyári időszámítás váltás automatizmusa nincs bekapcsolva…
Mi az a kétfaktoros azonosítás?
Nagyon egyszerűen: egy alkalmazás (mint pl. az ENTE AUTH) által percenként* fél percenként, azaz 30 másodpercenként [megoldástól függően akár 10-30 másodperc között] generált, 6 számjegyű kód, amelyet az adott felületre történő belépéskor a felhasználónevünk és a hozzátartozó jelszavunk beírását követően még be kell írni a megfelelő mezőbe a belépéshez.
(* Köszönet Kiss Ferenc olvasónknak, kollégánknak, aki felhívta a figyelmet arra, hogy a generálás nem percenként történik.)
Ez a kétfaktoros azonosítás (2FA) védelmet nyújt céges és magánrendszereinknek. De van egy (nem is annyira ) apró csapda, amiről érdemes tudni!
Mire kell figyelni?
A kód csak akkor működik biztosan, ha az eszközök órája PONTOSAN AZONOS.
Miért fontos ez?
Ha az órák között néhány perces eltérés van, a generált biztonsági kódok KÜLÖNBÖZNI fognak, nem tudunk majd belépni a rendszerbe, és – ami még rosszabb – értetlenül állunk a belépési tilalom előtt, elkeseredetten próbáljuk beírni a hat számjegyet, egészen addig, amíg jól ki nem tiltjuk magunkat az adott rendszerből. Akkor aztán egy időre fuccs, a gyors önkormányzati adószámla megtekintésnek (is)… 🙁
Gyors ellenőrzési tanácsok
-
- Minden eszközön UGYANAZT az authenticator alkalmazást használjuk ugyanarra a helyre, de egy eszközön lehet többféle autentikátoris (nyilvánvalóan többféle helyre/célra is)
- Ellenőrizzük, hogy az eszközök órái szinkronizáltak-e [mindegyik ugyanazt az időt mutatja kb. másodpercre?]
- Mobilunkon engedélyezzük az automatikus időszinkronizálást
- Rendszeresen frissítsük az eszközeink szoftvereit
Hogyan befolyásolja a BIOS órájának pontatlansága a biztonságot?
A modern informatikai rendszerek egyik kulcsfontosságú, ám gyakran figyelmen kívül hagyott eleme a pontos időszinkronizáció. Ez különösen igaz az olyan biztonsági megoldásoknál, mint a kétfaktoros autentikáció (2FA).
Mi történhet, ha a BIOS órája pontatlan?
Az authenticator alkalmazás 30 másodpercenként változó, úgynevezett időalapú egyszeri jelszavakat (TOTP) generál. Ha a számítógépünk BIOS-ának órája akár néhány perccel is eltér a valós időtől, a rendszer teljesen eltérő biztonsági kódokat fog előállítani, amelynek a következményei:
-
- Sikertelen bejelentkezési kísérletek
- Folyamatos hozzáférési problémák
- Indokolatlan biztonsági riasztások
Hogyan előzhetjük meg?
Rendszeres ellenőrzéssel, legalább havonta egyszer egy rátekintéssel hasonlítsuk össze a BIOS óráját egy megbízható időforrással (pl. mobil, internet). Ha látható eltérést tapasztalunk, netalán más kódot mutat az egyik gépünk, vagy a másik, meg a mobilunk, akkor amit tehetünk:
Manuális BIOS/UEFI időbeállítás (rövid művelet, meg tudod csinálni, nem fog fájni!)
A BIOS beállításokban manuálisan is pontosan beállíthatjuk az időt, amihez a számítógép BIOS/UEFI menüjének időbeállító funkcióját kell használni.
BIOS/UEFI Időbeállítás Lépései
Belépés a BIOS/UEFI beállításokba:
1. Számítógép kikapcsolása és 5 másodperc várakozást követően újra bekapcsolása (nem újraindítás, hanem kikapcs, majd bekapcs!)
2. Rendszerindítás közben speciális billentyű többszöri lenyomása, amíg a képernyőkép elő nem jön
(Általában Esc billentyű, vagy Dell: F2 vagy F12, HP: F10, Lenovo: F1 vagy Enter, ASUS: F2 vagy Delete, MSI: Delete)
3. Idő beállítása
-
-
-
- Navigáljunk a “Date & Time” vagy “Time” menübe
- Válasszuk ki a dátum és idő mezőket
- Állítsuk be a pontos helyi időt (amit a mobilunkról nézhetünk le)
- Mentsük a változtatásokat (általában F10)
-
-
Fontos megjegyzések
-
- Ellenőrizzük a helyes időzónát (Time Zone)
- Kapcsoljuk be az automatikus időszinkronizációt, ha elérhető
- Mentés után a rendszer újraindul
Konkrét, részletes útmutatóért javasolt a gép gyártójának specifikus útmutatóját is megnézni.
Automatikus szinkronizáció
Windows rendszereken engedélyezze az internetes időszinkronizációt
Használjunk megbízható időszervereket (pl. time.windows.com, még jobb, ha magyar időszervert használunk, pl. 0.hu.pool.ntp.org) [lásd részletesen: https://www.ntppool.org/hhu/use.html]
Tipp szakembereknek
A problémát okozhatja:
-
- Elhasználódott CMOS elem
- Elavult BIOS firmware
- Hardveres időzítési hibák
Néhány percnyi eltérés is elegendő ahhoz, hogy biztonsági rendszerek működése megszakadjon!
