V závěru minulého dílu jsme se zabývali tím, zda má optimalizace stránek pro vyhledávače smysl či nikoliv. Řekli jsme si, že pro umístění stránek na předních místech ve výsledcích vyhledávání je rozhodující především to, zda se na nich nachází dostatečně atraktivní obsah, jsou použita ta správná klíčová slova a zároveň na ně vedou odkazy z jiných důvěryhodných stránek.

SEO analýza

Pro úspěšnou propagaci firmy a jejich produktů a služeb na internetu je důležité se nejprve seznámit s portfoliem nabízených produktů a služeb, a následně navrhnout vhodnou informační architekturu webu. Té by měla předcházet tzv. SEO analýza, která v sobě často zahrnuje i kontrolu validity stránek, analýzu obsahu webu, jeho jednotlivých stránek a provázanosti mezi nimi, použitých klíčových slov, a dalších on-page a off-page faktorů. Provádí se nejen analýza stránek, které chcete optimalizovat, ale i stránek konkurence, především na jaká klíčová slova (keywords) a zda vůbec, jsou stránky optimalizovány a jaké jsou jejich aktuální pozice ve vyhledávačích.

SEO optimalizace

Po SEO analýze následuje logicky SEO optimalizace, která spočívá v provedení takových úprav na webu, resp. jeho struktury, zdrojového kódu a obsahu jednotlivých stránek, které by měly vést k lepšímu umístění ve výsledcích vyhledávání, nejlépe v první desítce. Dalším krokem je pak volba vhodné strategie získávání kvalitních zpětných odkazů, což je zpravidla nejnáročnější část, neboť vyžaduje značné úsilí a trpělivost, a proto se jí budeme věnovat v samostatném díle našeho seriálu.

Originální obsah

Optimalizace struktury webu a jednotlivých stránek často k dosažení lepší pozice ve vyhledávačích nestačí. Na jednotlivých stránkách se totiž musí nacházet především kvalitní obsah. Pokud se na stránkách nenachází, je nutné ho vytvořit a stávající nevyhovující text přepsat. V tom vám může pomoci tzv. copywriter, který se zabývá psaním takových textů, které budou obsahovat nejen správná klíčová slova, ale zároveň budou přinášet i vysokou informační hodnotu pro vaše návštěvníky. Jeho činnosti se pak říká copywriting.

Správná klíčová slova

Volba správných klíčových slov je neméně důležitá a této činnosti je třeba věnovat velkou pozornost, protože pokud se na vašich stránkách nebudou nacházet ta správná klíčová slova, tak těžko na vaše stránky někdo přes vyhledávač zavítá. Obvykle se proto volí taková klíčová slova, která nejlépe vystihují produkty nebo služby, které nabízíte, ale může se jednat i slova ne tak často používaná. Mnohdy je dokonce lepší místo nejvyhledávanějších obecných slov volit zcela konkrétní víceslovné fráze a cílit na tzv. long tail.

Validní zdrojový kód

To, zda je stránka validní či nikoliv, nemá až takový dopad na umístění ve výsledcích vyhledávání, jak někteří SEO experti tvrdí. Pouze v některých případech může dojít k tomu, že obsah stránky není z tohoto důvodu správně indexován. Ovšem to není důvod, abyste nepoužívali správně HTML tagy a nedodržovali určitá pravidla, obzvlášť když si můžete prověřit zdrojový kód validátorem, a snadno tak zjistit, zda odpovídá standardům W3C, a zjištěné nedostatky odstranit. Ostatně na správné použití a význam jednotlivých tagů v rámci SEO optimalizace se podíváme v některém z příštích dílů.

V dalších dílech našeho seriálu se již blíže podíváme na jednotlivé on-page a off-page faktory, které ovlivňují umístění stránek ve výsledcích vyhledávání.

Related posts:

1. SEO: má smysl optimalizovat stránky pro vyhledávače?

Na jakýkoliv telefon s dotykovým displejem může být veden smudge attack, avšak obrana proti tomuto útoku je naprosto jednoduchá. Stačí vždy po použití telefonu otřít displej. Ovšem pokud tak neučiníte, zůstanou na něm zřetelné stopy. V takovém případě je pak celkem velká pravděpodobnost, že se útočníkovi podaří váš telefon, v případě že se ho zmocní, odemknout.

Pokud uživatel používá k ochraně svého telefonu gesto, je poměrně snadné ho zopakovat podle stopy, která na displeji zůstala. Co když ale uživatel používá k ochraně svého telefonu PIN? I v takovém případě ulpí na displeji otisky v místech, kde se nachází klávesy virtuální klávesnice a útočník má poměrně slušnou šanci, že se do vašeho telefonu dostane. Položme si otázku, kolik by musel teoreticky vyzkoušet různých PINů. Je zřejmé, že počet všech kombinací bude záležet na tom, o kolika místný PIN se bude jednat.

Vzhledem k tomu, že na iOS se pro odemčení zařízení často používá 4ciferný PIN, je zřejmé, že na displeji v takovém případě pravděpodobně najdeme 4 otisky. A pak útočník musí logicky vyzkoušet 24 možností (můžeme je spočítat jako 4!, protože žádná cifra se nemůže opakovat). Co když jsou ale na displeji otisky jen 3? V takovém případě se jedna číslice v PINu opakuje dvakrát a útočník musí vyzkoušet 36 možností (můžeme je spočítat jako 4!/2!*3, protože jedna ze tří cifer se může opakovat dvakrát).

Počkat, to by ale znamenalo, že PIN, ve kterém se jedna cifra opakuje, je bezpečnější než PIN, ve kterém jsou použity 4 různé cifry, protože 36 je přeci víc než 24. Ano, na dotykovém displeji zůstanou vaše otisky na 4 místech, a to tam, kde se na virtuální klávesnici nachází jednotlivé klávesy, zatímco v případě, že ve svém 4místném PINu použijete jen 3 různé cifry, tak se na displeji budou nacházet jen 3 otisky. Je tomu ale opravdu tak?

Pomineme nyní skutečnost, že jestli má útočník vyzkoušet 24 nebo 36 možností, tak to nehraje v podstatě žádnou roli, a zamysleme se znovu nad tím, zda je za jinak stejných podmínek skutečně bezpečnější PIN, ve kterém jsou použity různé cifry než PIN, ve kterém se jedna cifra opakuje. Předpokládejme, že je použit běžný smartphone s iOS nebo Android, který nebyl nijak upravován, a že umístění jednotlivých čísel na numerické klávesnici je neměnné.

Závěr: Tento příspěvek jsem sepsal na základě článku na skeletonkeysecurity a mindyourdecisions. V teoretické rovině je úvaha autorů správná a stejně tak i použitý matematický aparát, ovšem realita je taková, že…

Related posts:

1. Chytré telefony a smudge attack
2. Desktop, notebook, netbook, tablet nebo smartphone?
3. Bezpečnost-náklady-použitelnost

Není se ostatně čemu divit, protože k vytvoření kopie podvodníkovi stačí obyčejný skener, tiskárna a nějaký ten SW pro grafickou úpravu obrazu. Právě jednoduchost, rychlost a náklady maximálně ve výši několika tisíc korun, potřebné k vytvoření kopie, jsou příčinou, proč se stále častěji s těmito padělky tiskovin setkáváme, a proč v posledních letech dokonce můžeme zaznamenat i růst počtu těchto případů, zatímco počet pokusů o změnu dokumentu v el. podobě zůstává více méně pořád stejný.

Poznámka: Pokud v tomto příspěvku hovoříme o tiskovině, máme tím na mysli bankovky, kolky, šeky, známky, certifikáty, dárkové poukázky, slevové kupony, smlouvy, faktury, doklady, v podstatě cokoliv, co lze zkopírovat, upravit, vytisknout a zneužít.

Výhody ochranného prvku NeTS

Hlavní výhoda ochranného prvku NeTS (Nekopírovatelná Tisková Síť) spočívá v tom, že jím lze chránit jakékoliv tiskovinu a není k tomu potřeba žádné speciální HW nebo SW vybavení. Stačí obyčejná laserová, nebo inkoustová tiskárna, která tiskne v režimu CMYK. A takovou tiskárnou je vybavena v podstatě každá firma a mnozí mají takovou tiskárnu i doma. Je zřejmé, že tento ochranný prvek splňuje i základní pravidlo, které říká, že náklady vynaložené na ochranu by neměly být vyšší než možná škoda.

Poznámka: To o ostatních, doposud používaných ochranných prvcích tiskovin, říci nelze. Světlotisk, hlubotisk, tisk barvami viditelnými v UV záření, aplikace hologramu jsou ochranné prvky sice účinné, ale finančně příliš nákladné, takže si je rozhodně nemůže dovolit každý.

Princip ochranného prvku NeTS

Princip na jakém ochranný prvek NeTS funguje, je velice jednoduchý. V ochranném prvku je umístěn text nebo obrázek, který se na originále dá zviditelnit pomocí infračervené kamery (infrared, zkr. IR). Pokud se podvodník pokusí tiskovinu, která je ochranným prvkem NeTS chráněna, zkopírovat a vytisknout, tak na padělku nedojde ke zviditelnění textu nebo obrázku umístěného v ochranném prvku NeTS, protože silné světlo používané ve skenerech a kopírkách způsobí, že tento text nebude správně načten, a tudíž pak nemůže být ani správně vytištěn.

Poznámka: Je zde v podstatě použit opačný přístup než u některých tiskovin, na kterých je napsán inkoustem, který odráží silné ultrafialové světlo (ultraviolet, zkr. UV) nápis „VOID“, který na originále není vidět, ale na kopii ano. Útočník tak v případě prvku NeTS nemusí mít ani tušení, že tiskovina je tímto prvkem chráněna.

Možnosti ochranného prvku NeTS

Jak již bylo naznačeno výše, vzhledem k minimálním nákladům na ochranu tiskovin pomocí prvku NeTS, můžeme prohlásit, že ochrana tímto prvkem je finančně dostupná prakticky pro každou firmu i drobného živnostníka. Obrázek nebo text, který bude v ochranném prvku NeTS použit, si můžete zvolit, přičemž nejmenší velikost prvku může být 2 x 2 mm, ale stejně tak může zabírat i celý povrch tiskoviny. Záleží jen na vás, kam ochranný prvek NeTS umístíte a jaké tiskoviny jím budete chránit.

Related posts:

1. Ochrání nás behaviorální analýza sítě před APT?

NGFW není nic jiného než výkonnější UTM/XTM, jež v sobě integruje více zařízení, které byly dříve nasazeny zcela samostatně. Rozdíl mezi UTM/XTM a NGFW je skutečně jen ve výkonu, takže zařízení, které se nazývá UTM/XTM je určeno spíše menším a středním firmám, zatímco zařízení označované jako NGFW je nabízeno organizacím s velkým počtem zaměstnanců. NGFW je tedy jen další buzzword, tentokrát nejspíš od Gartnerů, a vše, co jsem psal o UTM/XTM, platí i pro něj. NGWF může fungovat jako:

• klasický firewall
• IDS/IPS
• web filtering
• antispam
• antimalware
• traffic shaping
• IPsec/SSL VPN
• aplikační kontrola
• NAC
• DLP
• SSL proxy

Poznámka: NGFW jsou též založené na signaturách, takže nepředstavují dostatečnou ochranu před APT útoky, využívajících zranitelností nultého dne.

I u NGFW si musíme položit otázku, zda se v okamžiku, kdy se zapnou všechny funkce, a bude probíhat hloubková inspekce paketů, nebude např. zhoršovat propustnost, a nebude se pak hůře hledat skutečná příčina, neboť nebude snadné zjistit, která komponenta nebo chcete-li modul NGFW tento problém způsobuje. Důkladné otestování je tedy nezbytností a při výběru NGFW bychom si měli položit stejné otázky jako v případě UTM/XTM. A ještě nad jednou věcí bychom se měli zamyslet a to, zdali je all-in-one řešení pro nás skutečně to nejlepší.

A co vy, už jste nasadili UTM nebo NGFW nebo o tom uvažujete?

Related posts:

1. Phishing: přichází nová generace phishingu
2. Přichází nová generace malwaru pro chytré telefony

A je jedno, zda se jedná o informace o nových produktech, technologiích, výrobních postupech, klientech nebo marketingové strategii. Pravda je, že tyto informace mají určitou hodnotu, a pokud nejsou odpovídajícím způsobem chráněny, mohou být snadno zcizeny a zneužity. Z tohoto důvodu by měla každá organizace, ve vlastním zájmu a bez ohledu na svou velikost a předmět podnikání, zavést určitá bezpečnostní opatření.

Firmy bezpečnost podceňují

V okamžiku, kdy přijde řeč na nutnost zavést odpovídající bezpečnostní opatření, narážíme na odpor jak ze strany samotných vlastníků, manažerů a vedoucích pracovníků dané organizace, tak i ze strany obyčejných zaměstnanců, přičemž naprostá většina z nich argumentuje více méně stejně a uvádí důvody, proč je zbytečné do nějaké bezpečnosti investovat. Uveďme si, jaké argumenty při těchto jednáních nejčastěji zaznívají a jak je možné na ně reagovat.

Zatím se nic nestalo

To je značně odvážné tvrzení, když jste odpovídající bezpečnostní opatření ještě nezavedli. Možná se už stalo a možná ne jednou a možná se to děje i soustavně a vy o tom vůbec nevíte. Snad si nemyslíte, že vám budou zaměstnanci sami hlásit, teď jsem si zkopíroval DB klientů nebo dodavatelů ze síťového disku, kam bych ani neměl mít přístup. Nebo teď jsem poslala strategické plány na příští rok svému příteli, který vlastní firmu podnikající ve stejném oboru. To, že obrat a tempo růstu vaší společnosti je víceméně stejný, je hezké, ale nenapadlo vás, že to že se vám nedaří lépe, není náhoda ani nepřízeň osudu, ale je tomu tak proto, že vaše konkurence ví dopředu o všech vašich krocích?

My si své zaměstnance důkladně vybíráme

To říkají všichni a přesto je kolem 80 % útoků vedeno právě zevnitř organizace, a předmětem útoku jsou nejčastěji informace. Z průzkumů, které na toto téma byly provedeny, jednoznačně vyplynulo, že zaměstnanci jsou připraveni si v okamžiku, kdy se cítí ohroženi, cenné informace odnést a použít u svého budoucího zaměstnavatele, a někteří přiznávají, že si data z tohoto důvodu odnášejí soustavně, protože ví, že by se jim mohla později hodit. Ale nemusí se jednat jen o úmysl, mnoho incidentů je také způsobeno z nedbalosti nebo neznalosti, neboť zaměstnanci nebyli dostatečně proškoleni a odpovídající bezpečnostní opatření nebyla zavedena.

To by u nás nefungovalo

Ale fungovalo, stačí jen zaměstnancům dostatečně srozumitelně vysvětlit, proč po nich takové chování vyžadujete. Ze zkušenosti můžeme říci, že pokud zaměstnanci určité opatření odmítají a nedodržují, tak problém je buď v tom, že dané opatření je neadekvátní, anebo jim nikdo nevysvětlil, proč společnost rozhodla o jeho zavedení. Kromě toho zaměstnanci, musí dělat to, co se jim řekne a vy máte zase ze zákona např. povinnost chránit osobní údaje o svých klientech nebo zaměstnancích, takže nezapomínejte na to.

Jsme příliš malí, abychom byli pro útočníka zajímaví

Nesmysl, i malá firma může mít know-how, které může být pro mnohem větší firmu velice zajímavé. Proto také velké firmy ty malé firmy kupují a v některých případech je neváhají i zlikvidovat. A pokud jsou vaši konkurenti jen stejně velcí jako vy, tak i v takovém případě můžete očekávat útok z jejich strany, obzvlášť když se některému z nich přestane dařit, pak se bude snažit za každou cenu zachránit svoji firmu. A pokud říkáte, že žádné know-how nemáte, vykašlete se na podnikání a nechte se někde zaměstnat, bude to pro vás lepší. A ještě jedna věc, útočníci si často nevybírají firmy podle velikosti, ale podle toho jestli jejich automatický skener, který prohledává určitý adresní prostor, najde ve vašem systému nějakou zranitelnost.

Stejně ty zranitelnosti neumí nikdo zneužít

Vězte, že na internetu jsou k dispozici jak návody, tak i poměrně účinné nástroje, s jejichž pomocí lze úspěšně realizovat útok na jakoukoliv společnost. Ale nemusíte se hned stát obětí nějakého cíleného útoku, nýbrž jen nějakého plošně vedeného útoku, kdy je útočníkovi v podstatě jedno, čí server položí nebo čí data získá. Nejde ale jen o zranitelnosti v samotném operačním systému, ty lze často rychle odstranit pouhou instalací příslušného patche nebo service packu, ale především o chyby ve webové aplikaci a absenci bezpečnostních opatření vůbec.

Ostatní bezpečnost také neřeší

Víte, každý nemá potřebu vytrubovat do světa, jaké opatření zavedl. A i kdyby vaši konkurenti bezpečnost opravdu neřešili, tak to nic neznamená. Pokud chcete být lepší a dosáhnout nějakého úspěchu a nestát se obětí útoku, tak musíte bezpečnost vnímat jako vaši konkurenční výhodu, protože až jednomu vašemu konkurentovi poteče, jak se říká do bot, a bude hledat nějakou oběť, tak u vás narazí.

Je to moc drahé

Samozřejmě, že to bude něco stát, minimálně trochu vašeho času. Zavést základní bezpečnostní opatření je zpravidla možné i bez dalších investic do SW a HW. Pokud se obrátíte na velkou firmu, která zaměstnává desítky nebo stovky lidí, a je výhradním distributorem nějakého produktu nebo řešení, tak musíte počítat s tím, že se vám bude snažit prodat nějaké to řešení nebo produkt, který vy vůbec nepotřebujete. Ale vy si přeci můžete udělat analýzu rizik a cost/benefit analýzu a hned budete vědět, zda se vám zavedení daného řešení vyplatí nebo ne.

Related posts:

1. Řízení informační bezpečnosti v době krize
2. Průzkum stavu informační bezpečnosti
3. Informační bezpečnost

Z pohledu provozních nákladů je zcela jistě výhodné mít jedno zařízení, které umí všechno. Už jen proto, že takové zařízení bude mít nejspíš jen jeden zdroj, zabere méně místa, bude ho jednodušší spravovat a bude nám stačit uzavřít smlouvu jen s jedním partnerem, který pro nás bude zajišťovat servisní podporu. Takové zařízení bude mít zcela jistě nižší TCO.

Otázkou však je, zdali si s all-in-one řešením pořizujeme skutečně to nejlepší tzv. best-of-breed, co můžeme mít a zda se nejedná o security trade-off, neboť bezpečnost, kterou by organizace mohla získat pořízením jednotlivých funkcí od těch nejlepších dodavatelů, vymění v podstatě za levnější řešení od jednoho výrobce, jež nemusí být tím nejlepším a zároveň může představovat i SPOF (Single Point Of Failure).

Related posts:

1. Google Android: antimalware řešení přímo od Googlu

Běžně se postupuje tak, že vývojářský tým v rámci životního cyklu vývoje SW (Software Development Life Cycle, zkr. SDLC) získá od zákazníka požadavky, analyzuje je, následně navrhne model aplikace, např. za pomocí UML diagramů, a nakonec provede i vlastní kódování a testy. Otázka je, zda by nebylo lepší tyto činnosti rozdělit mezi více firem.

Jedna firma by mohla např. provést analýzu a návrh (Analysis  & Design, zkr. A&D) daného řešení, druhá by ho mohla naprogramovat a třetí pak důkladně otestovat. Většinou tomu ale tak není. Firma, která by měla programovat, často tvrdí, že by SRS (Software Requirements Specification) dokument od jiné firmy nepochopila, že by mohl být pro ni nedostatečný, a tak by musela A&D provést znovu, a tím že by se zbytečně navýšila celková cena.

Toto jsou však často falešné argumenty. Pravý důvod, proč si chce A&D udělat daná firma sama, je ten, že se bojí, že by se v SRS mohly objevit věci, které by neuměla naprogramovat. Pokud totiž bude A&D provádět sama, má velkou šanci zákazníka během sběru požadavků (Requirements Development, zkr. RD) přesvědčit, že to co chce, je vlastně nesmysl, že to nepotřebuje, že by to tak stejně nefungovalo. A aby svým slovům dodala váhu, bude argumentovat tím, že požadovanou funkcionalitu po nich chtěli i v jiné firmě, ale nakonec od svého požadavku stejně ustoupili atd.

Proč tomu tak je? Uvědomte si, že firmě, která se vývojem SW na zakázku zabývá, se takový přístup vyplatí, protože mohou znovu použít již hotové komponenty, pluginy, nemusí jednat s výrobci třetích stran a ani vyvíjet své vlastní. Mohou tak výrazně zkrátit vývojový cyklus a požadované řešení dodat mnohem rychleji a s minimálními náklady. V opačném případě by měli problém, protože buď by museli požadovanou funkcionalitu naprogramovat, nebo by museli zahájit jednání s třetí stranou a po nich příslušnou úpravu požadovat.

V praxi to tedy znamená, že se už od začátku dělají kompromisy a zákazník nedostane to, co opravdu potřebuje, ale jen to, co daná firma umí a chce naprogramovat. A nemůže si vůbec stěžovat, protože daná firma vyvinula požadovaný SW přesně podle specifikace a na základě business požadavků. Ovšem to, že si zařídila, aby se tam některé funkční nebo nefunkční požadavky neobjevily, na to se jaksi zapomíná. Nebylo by tedy řešením nechat A&D provést jinou firmou a teprve pak udělat výběrové řízení na dodavatele, který to vyvine, co myslíte?

Related posts:

1. Penetrační testování jako součást životního cyklu vývoje SW

Zda se, že po počátečním nadšení pro BYOD, přichází vystřízlivění. V této souvislosti se objevila i nová zkratka COPE (Corporate Owned Personally Enabled) a někteří neváhají dokonce hovořit i o zcela novém přístupu k řešení této problematiky. Samozřejmě, že se o žádný nový přístup nejedná, spíš je to krok zpět, ale to ještě neznamená, že se tím mnohé problémy neřeší.

Vše souvisí s tím, jak zajistit bezpečnost informací během celého jejich životního cyklu a dále pak jak snížit náklady na hlasové a datové služby. Problém nepředstavuje ani tak odpor zaměstnanců vůči bezpečnostním politikám, které jsou na jejich zařízeních vynucovány, jako to, že v některých evropských zemích je mazání soukromých dat protizákonné, takže remote wipe v případě propuštění takového pracovníka může být problém. A jsou zde i další otázky, které je nutné v souvislosti s BYOD device řešit, a které si zatím málokterá organizace uvědomuje, natož řeší.

Čí SIM karta v telefonu bude? Uvědomujete si, že v okamžiku, kdy se v telefonu bude nacházet SIM karta vašeho zaměstnance, tak mu zůstává i poté, co ho propustíte a klienti mu pak mohou dál volat na jeho soukromé číslo a stejně tak i on jim může volat a oni se mohou domnívat, že je ještě stále vaším zaměstnancem. V případě, že je SIM karta firemní, tak ji jednoduše můžete nechat zablokovat nebo ji předat novému zaměstnanci, který nastoupil na stejnou pozici.

Kdo bude platit paušál? Počítejte s tím, že pokud bude v telefonu SIM karta zaměstnance, tak bude chtít, abyste mu hradili minimálně část paušálu, a to se vám může značně prodražit, protože zaměstnanci mohou využívat služeb různých operátorů a s nimi mohou mít uzavřené i různé smlouvy. Vy jako firma pravděpodobně oslovíte jednoho telefonního operátora, a tan vám poskytne obrovskou slevu a navíc budete moci snadno kontrolovat, jak váš zaměstnanec využívá datové a hlasové služby, na jaká tel. čísla volá apod.

Kdo bude platit opravu/krádež zařízení, pokud k ní dojde v souvislosti s plněním pracovních povinností?

Related posts:

1. BYOD: zaměstnanci odmítají chránit telefon heslem
2. BYOD: bezpečnostní politika
3. BYOD: fenomén, na který většina organizací není připravena

Tentokrát vás nebudu obtěžovat žádnou matematikou. Vyjdeme čistě z toho, jaká hesla většina uživatelů volí. Rozhodně to nejsou komplexní hesla, která by bylo obtížné prolomit a nejinak tomu je i u passphrase. Uživatelé mají v okamžiku, kdy jsou vyzvání k zadání passphrase tendenci přistupovat k volbě passphrase stejně nezodpovědně jako k volbě hesla. Uživatelé volí ustálená slovní spojení, která je útočník schopen prolomit obdobným způsobem jako hesla, ale přesto jsou tyto passphrase bezpečnější než heslo. Proč?

Jednoduše proto, že passphrase místo jednoho slova obsahují slova minimálně dvě a také proto, že není k dispozici žádný použitelný slovník, který by nejčastěji používané passphrase obsahoval a tak útočníkovi umožňoval vést na passphrase klasický slovníkový útok. Situace by se samozřejmě změnila v okamžiku, kdy by velké množství uživatelů začalo používat passphrase a následně by se útočníkovi podařilo získat nějakou databázi obsahující tyto passphrase. To by útočníkovi výrazně zjednodušilo útok, neboť by tímto způsobem získal seznam passphrase, který by mohl s úspěchem použít k hádání passphrase do dalších systémů.

Vzhledem k tomu, že v ČR se používání passphrase nijak výrazně neprosadilo, není zřejmé, jaké passphrase by uživatelé skutečně používali, kdyby k tomu byli nuceni a byli poučeni o tom, jak má taková passphrase vypadat. Je otázka, zda na této skutečnosti něco změní stále rostoucí počet uživatelů smartphonů. Domníváme se, že byť se na jejich miniaturní virtuální klávesnici komplexní hesla tvořená pseudonáhodnými znaky zadávají špatně, zatímco passphrase obsahující slova z běžného jazyka celkem pohodlně, tak se kvůli tomu passphrase nijak masivně používat nebudou.

Připusťme však, že je nějaký hodně používaný systém, který po uživatelích požaduje zadání passphrase. Útočník by pravděpodobně v takovém případě začal tím, že si vytvoří slovník, který bude obsahovat dvou a víceslovná spojení jakou jsou názvy filmů, písniček, knih, her, osobností, skupin, klubů, míst a dále pak i běžně používané fráze. Je zřejmé, že pokud nebudou uživatelé nijak poučeni o tom, jak vytvořit bezpečnou passphrase, tak bude útočník nejspíš stejně úspěšný jako v případě klasického slovníkového útoku na heslo.

Závěr: Pokud by většina uživatelů, která dosud používala slabá hesla, začala používat passphrase, mohl by být klid do doby, než bude zase hacknut nějaký server, který passphrase ve své databázi nehashuje.

Related posts:

1. Autentizace: Jsou jednorázová hesla bezpečná?
2. Autentizace: proč uživatelé volí slabá hesla
3. Autentizace: Jak vytvořit bezpečnou passphrase?

A tento odmítavý postoj zaujímají jak zaměstnanci, tak i manažeři. Cožpak si neuvědomují, jak cenná data na svých smartphonech mají? Uvědomují, ale jaksi si nechtějí připustit, že zrovna jejich smartphone by mohl někdo ukrást nebo že by ho mohli někde zapomenout či ztratit. A přitom z nejrůznějších průzkumů vyplývá, že smartphony se ztrácejí a první, co nálezce udělá, že si prohlédne obsah daného zařízení. V případě, že telefon není chráněn PINem nebo heslem jsou pak informace na něm uložené komukoliv, kdo se daného zařízení zmocní, přístupné.

Z interview, které jsme provedli a zpozorování, které jsme uskutečnili, vyplynulo, že zatímco na klasické klávesnici uživatelům nečiní problém zadávat během dne opakovaně dlouhé a komplexní heslo, tak na smartphonu ho zcela odmítají, nebo jsou ochotni používat jen PIN, a uživatelé Androidu pak dokonce chtějí místo PINu používat jen gesto (pattern lock) a argumentují tím, že je bezpečné, neboť ani FBI se nepodařilo dostat do telefonu chráněného tímto způsobem.

Poznámka: Je s podivem, že FBI neprovedla restart telefonu, neboť tak by došlo k vynulování čítače a mohla by správné gesto hádat v podstatě neomezeně dlouho. Stejně tak neřešme, zda jim Google poskytne přihlašovací údaje k e-mailovému účtu a zda možnost odemčení telefonu tímto způsobem nepředstavuje určité riziko. Jistěže ano.

Pravdou je, že virtuální klávesnice na smartphonech jsou vzhledem k malým rozměrům samotných zařízení skutečně hůře použitelné a při psaní navíc často dochází k překlepům. A byť mnohá zařízení nabízí hmatovou zpětnou vazbu, zvýrazňují stisknutou klávesu a v některých případech zobrazují i naposledy stisknutý znak, čímž mimochodem usnadňují shoulder surfing attack, nedosahují rozhodně kvalit klasických klávesnic. Virtuální klávesnice smartphonů prostě nejsou na zadávání nějakých pseudonáhodných hesel vůbec uzpůsobeny a zadávání takových hesel představuje pro uživatele utrpení.

Poznámka: V souvislosti s častými překlepy při zadávání hesel na smartphonech se dokonce objevily i úvahy, zda by se neměly ukládat hashe i pro možné překlepy v hesle, ale doufejme, že toto nikdo neimplementuje.

Závěr: Je zřejmé, že uživatele zadávání komplexního hesla obtěžuje, a ochrana pomocí PINu nebo gesta může být poměrně rychle prolomena. Odpověď na otázku, jakou ochranu zvolit, by vám měla poskytnout analýza rizik.

Related posts:

1. Autorizace transakce v internetovém bankovnictví jednorázovým heslem
2. BYOD: bezpečnostní politika
3. BYOD: fenomén, na který většina organizací není připravena