Používání hesel je jedním z největších rizik informačních technologií Možná i vy ohrožujete svá data svou virtuální identitu, aniž byste to věděli.
Před několika roky, v době masového šíření internetových služeb se pracovalo na vývoji několika různých autentizačních metod, které měly nahradit klasickou kombinaci jména a hesla. Toho jména a hesla, které dodnes používáme při přihlašování do různých internetových služeb.Do emailu, k sociální síti, do firemní aplikace, do diskusního serveru. Ale třeba také k programům, které slouží pro komunikaci s bankami, s pojišťovnami a dalšími podobnými institucemi.
I když právě některé z těchto institucí dnes používají k ověřovájní svých uživatelů bezpečnější metody, než je tradiční kombinace jména a hesla, pravda je taková, že plánované, dlouho a draze vyvíjené nahrazení kombinace jména a hesla bezpečnější metodou přihlašování se doposud nepodařilo. Důvody k tomu byly různé a nemá je smysl je zde popisovat. Jejich důsledky jdou ale s námi, s uživateli internetu. A představují jednu z vůbec největších uživatelských hrozeb. Touto hrozbou je kompromitace přihlašovacích údajů.
Kolik aplikací?
Průměrný uživatel internetu v Evropě používá pravidelně mezi pěti až osmi aplikacemi, které po něm vyžadují přihlašování na webové stránce. Naprostá většina těchto aplikací ověřuje uživatele pomocí kombinace jména a hesla. I když se v poslední době mnoho těchto aplikací sjednotilo pod společný přihlašovací systém vycházející ze sociální sítě Facebook, ty doopravdy důležité používají své vlastní přihlašovací systémy. Z toho plyne, že průměrný uživatel internetu by si měl pamatovat pět až osm,v praxi samozřejmě mnohem více, kombinací přihlašovacího jména a hesla. Člověk je tvor velmi líný, a proto si snaží zjednodušit život. To znamená, že v praxi velké množství lidí používajících internet používá ve všech online aplikacích jednu kombinaci jména a hesla. Jinými slovy, ve všech stejné přihlašovací údaje.
Rizika
Aniž by to věděli, způsobují tím tito uživatelé velké problémy a vystavují se velkému riziku. Jádrem problému je, že stačí, aby došlo ke kompromitaci jejich přihlašovacích údajů u jediné služby, a případný útočník bude schopen jejich jménem, respektive virtuální identitou používat jakoukoli jinou službu – pokud jej v tom nezastaví jiné heslo. Laicky řečeno, mít všude „stejné heslo“ je riskantní a potenciálně velmi nebezpečná věc.
Většina webových aplikací uchovává hesla v podobě, která útočníkovi znemožňuje jejich přečtení, rozluštění a následné zneužití. Na webu ale také existuje celá řada podvodných míst a neférových aplikací, určených třeba jen a pouze k tomu, aby cíleně vykrádaly přihlašovací údaje. Laický uživatel nedokáže některé z nich rozlišit od skutečných služeb, za něž se mohou velmi efektivně vydávat. Výsledkem tak je, že stačí málo a člověk používající do různých služeb totožné přihlašovací údaje se může vystavit ztrátě nebo krádeži dat a nejhůře, stavu, kdy se někdo jiný vydává za něj a jedná jeho jménem. Ne, že by takové riziko uživateli, který se ke svým přihlašovacím údajům chová bezpečně, nehrozilo, ale v tomto případě je násobně vyšší.
Kolik hesel máš?
Jak již bylo řečeno, člověk chce mít při používání internetu pohodlí. Jak ale zkombinovat potřebu pohodlí s potřebou bezpečnosti? Na internetu existuje několik univerzálních přihlašovacích služeb, které se pokoušejí kombinovat pohodlí jediné kombinace jména a hesla s bezpečností. Žádná s nich, s výjimkou využívání zmíněné sociální sítě, se prozatím neuchytila dostatečně, aby byla univerzálně přijatelná. Všechny také mají své vady, a to včetně bezpečnostních. A tak mnoho služeb fakticky zůstává u používání vlastního přihlašování – vlastních jmen a hesel. Co bychom měli dělat proto, abychom je používali bezpečně a zároveň se nevystavovali zbytečným rizikům?
Především, naprostá většina online služeb používá k přihlašování kombinaci jméno/heslo. Přihlašovací jméno (někdy označované anglickým pojmem login) je v zásadě veřejný údaj. Z toho plyne, že je můžeme používat na různých serverech stejné. Co by ale stejné být v žádném případě nemělo je heslo – ověřovacíúdaj. Za bezpečné se považuje takové heslo, které
- - Je delší než 8 znaků
- Není srozumitelným slovem, ani neobsahuje žádnoujeho část
- Obsahuje kombinaci malých, velkých písmen ačíslic
Takové heslo, například „Ess1A6Vsa13“ je sice bezpečné, ale nezapamatovatelné. Zapamatovat si zvlášť heslo ke každé službě je prakticky nemožné, nosit sebou napsaná hesla je zase nepraktické i nebezpečné. Přesto existují strategie, které kombinují pohodlí i bezpečnost.
Možnost
Jednou takovou strategií je nepoužívat pro všechny online služby totožné, často velmi snadno odhadnutelné heslo, jako to dělá většina uživatelů internetu, ale vytvořit a následně se nazpaměť naučit dvě, až tři bezpečná hesla a ta pak v rámci jednotlivých služeb střídat. Důležité je, abychom hesla vzájemně obměňovali. Také můžeme rozlišit mezi heslem, které máme určeno pro „důležité“ a pak také pro „méně důležité“ služby; tedy pro osobní email, bankovní aplikaci a obchodní systémy, versus hesla pro diskusní servery a jiné zábavní aplikace. Hesla také lze (a v praxi se to dělá) rozlišovat na „čistá“ a „špinavá“, tedy na ta, o která případně můžeme přijít, a ta, kterým byse to stát rozhodně nemělo
I takováto strategie je ale jen pouhou berličkou, která nezajišťuje skutečnou bezpečnost. Je však kompromisem. Cestou mezi bezpečností a pohodlím. Lepší, než spoléhání na to, že naše jediné heslo, které používáme doslova kamkoli, nám nikdo neodcizí a pak nezneužije.
Vojtěch Bednář, E-Bezpečí a AVEMEDIA