Je heslo přežitek?

Vzhledem k tomu, že v posledních měsících minulého roku došlo opět k dalším velkým únikům hesel, nabízí se otázka, zda heslo není přežitek.

V nedávném rozhovoru o tom, proč tak často dochází k únikům hesel, jste říkal, že nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou, a proto budou používána i nadále.

Pořád jste o tom přesvědčen?

Ovšem. Uvědomte si, že vždy záleží na tom, odkud a k jaké službě se budete autentizovat. Jinými slovy, k čemu bude dané heslo použito, např. v rámci vícefaktorové autentizace se o přežitek rozhodně nejedná.

A tam, kde je v rámci autentizace použito jen heslo?

Tak tam provozovatel dané služby nejspíš vyhodnotil související rizika jako nízká, náklady na zavedení jiné formy autentizace naopak jako vysoké, a kromě toho možná i ze strany uživatelů zaznamenal nechuť autentizovat se jinak než heslem. Zde nezbývá, než uživatelům doporučit, aby používali komplexní hesla a doufat, že provozovatel dané služby věnoval dostatečnou pozornost i bezpečnosti.

Nemyslíte, že problém spočívá v tom, že firmy bezpečnost neřeší a rizika podceňují?

Já si to nemyslím, já jsem o tom dokonce přesvědčen, ale nemusí tomu tak být vždy. Jsou firmy, co si prostě dovedou spočítat, zda se jim implementace dvoufaktorové autentizace vyplatí, či nikoliv. Nezapomínejme, že volba vhodné autentizační metody je otázkou kompromisu, neboť vždy se jedná o trade-off.

V čem firmy podle vás nejčastěji chybují?

Firmy jednoznačně nevěnují dostatek pozornosti zabezpečení svých systémů a implementaci té správné kryptografie. Anebo jen mylně předpokládají, že jejich systémy jsou dobře zabezpečeny, cílem útoku se nestanou, a kdyby snad přeci jen ano, tak že to ustojí. A vidíme, že většina firem, kde hesla v posledních měsících unikla, to ustála. Což je nebezpečný precedens.

Co byste vzkázal firmám, který mají ambice bezpečnost řešit?

Firma, která to myslí s bezpečností vážně a po svých uživatelích požaduje, aby se k jejich službám autentizovali prostřednictvím hesla, by měla své webové aplikace vyvíjet a testovat podle OWASP. Pokud se budou držet doporučení, která jsou v OWASP uvedena, tak by jejich aplikace neměla obsahovat známé zranitelnosti.

Dobře, ale co stávající systémy?

Ani zde není situace beznadějná, ve většině případů stačí nahradit stávající hashovací funkci za bezpečnější, např. PBKDF2. To by nemělo představovat až tak velký zásah do kódu stávající aplikace. Také bych doporučoval provést penetrační test samotné webové aplikace.

Ale nejde přeci jen o aplikaci?

Samozřejmě. V obou případech by firmy měly provést hardening (např. na stránkách CIS jsou k dispozici bezpečnostní standardy pro různé platformy), prověrku konfigurace a oskenovat systém na přítomnost známých zranitelností. K dispozici jsou i volně dostupné nástroje, pomocí kterých si může prověrku a sken svého systému provést každý.

Jakou formu autentizace byste doporučoval?

Víte, vždy záleží na okolnostech, při výběru vhodné formy autentizace je nutné vyhodnotit více faktorů. Dále musíte analyzovat možná rizika, komunikovat v této věci s uživateli daného systému, zajímat se o jejich názor, a teprve poté jim můžete nabídnout vhodné řešení.

Jaký předpokládáte další vývoj v oblasti autentizace?

Jsem přesvědčen, že autentizace se bude nadále ubírat směrem, který byl naznačen v prognóze. To znamená, že stále více firem si bude uvědomovat, že jen ochrana heslem nestačí, a budou zavádět dvoufaktorovou autentizaci. Dále se domnívám, že již letos se setkáme např. s komerčním využitím hlasové biometrie.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Je heslo přežitek?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: