Auntentizace: plno pravidel a k čemu?
Má vůbec smysl vytvářet a používat silná hesla, pravidelně je měnit a nikam si je nezapisovat?
Uživatelům je neustále vštěpováno do hlavy, že by měli používat silná hesla, pravidelně je měnit a nikam si je nezapisovat. Konečně, problematice jak vytvořit bezpečné heslo jsme se na našich stránkách též věnovali. Mají však tato doporučení vůbec smysl, když lze mnohá hesla tak snadno prolomit? Abychom si mohli na tuto otázku odpovědět, musíme se nejprve zamyslet nad tím, před jakým typem útoku nás tato opatření vlastně chrání. Pojďme společně zhodnotit smysl jednotlivých doporučení.
Používejte silná hesla
Toto doporučení se jeví jako odpovídající v případě, že může probíhat off-line nebo on-line útok, při kterém nedochází k uzamčení účtu po několika neúspěšných pokusech o přihlášení a tyto pokusy se ani nemonitorují. A takových služeb je přeci jen dost, za všechny jmenujme například freemail. Na druhou stranu se ale musíme ptát, jakým nejčastějším způsobem se útočník k heslu dostává. Odpověď je poměrně snadná, ale rozhodně ne překvapující. Buď hacknul daný server a zkopíroval celou databázi hesel, což jsou sice ojedinělé a dostatečně medializované případy. Anebo, což je daleko častější, byl útok realizován pomocí phishingu, keyloggeru nebo prostým odpozorováním hesla. V takovém případě je ale opravdu jedno, jak dlouhé vaše heslo je a jak moc je komplexní. Samozřejmě, odpozorovat 4číselný PIN je nepoměrně snadnější než odpozorovat 15znakové heslo. Zkuste ale zadávat takové heslo několikrát denně a ještě k tomu na mobilu.
Hesla pravidelně měňte
To, že používáte silná hesla a pravidelně je měníte, vám může pomoci v případě, že je doba potřebná k prolomení hesla delší, než platnost vašeho hesla. Při útoku hrubou silou, kdy má útočník k dispozici hash hesla, má takové opatření smysl, neboť vaše silné 15znakové heslo se mu jistě ještě dlouho nepodaří v reálném čase prolomit. Také s odpozorováním takového hesla bude mít útočník daleko větší problém, než když budete používat pořád stejné. V případě, že je na počítači uživatele nainstalován SW, který zaznamenává stisknuté klávesy (keylogger) nebo uživatel své přihlašovací údaje dobrovolně zadal na podvodné stránce, tvářící se např. jako stránky banky, je celkem jedno, jak často si mění heslo. Heslo získané tímto způsobem bude totiž neprodleně použito. V takovém případě vám nepomůže ani změna hesla po každém jeho použití.
Hesla si nikam nezapisujte
Jak si ale tolik různých hesel zapamatovat? Tímto doporučením se též není nutné řídit, protože pokud je zapsané heslo uloženo na bezpečném místě, tak se k němu útočník nedostane. Ale co je to bezpečné místo? Peněženka, zásuvka psacího stolu, trezor? Opět se musíme ptát, kolik je takových případů, že byl uživatel okraden na ulici nebo v dopravním prostředku nebo byl vykraden jeho byt? A pokud ano, šel zloděj po zapsaných heslech? Nikoliv. Z tohoto pohledu lze za bezpečné místo považovat jakékoliv místo, které není běžně dostupné. Heslo napsané na papírek a přilepené na monitor, zespodu na klávesnici nebo zapsané do kalendáře, který leží na stole, to samozřejmě není.
Nepoužívejte stejné heslo na více systémech
Pokud budete mít stejné heslo i do jiných systémů, myslíte, že útočník přijde na to, kde všude ještě máte účet a jaké uživatelské jméno pro přístup k němu používáte? A myslíte si, že jste natolik významná osoba, že s vámi bude ztrácet čas? Jedna věc je, že s určitým úsilím a za určitých podmínek je možné získat prostřednictvím jednoho hesla přístup i do dalších systémů, ale je otázka, zda většina útočníků takto pracuje. Samozřejmě, pokud si nastavíte stejné heslo pro přístup k e-mailu, do nějaké sociální sítě nebo jiného komunitního webu a do bankovního systému, tak si koledujete o problém.
Nezapomínejte, že v okamžiku, kdy útočník získá přístup do vašeho e-mailu, tak si na něj může nechat poslat nové heslo v podstatě do jakékoliv služby, kterou používáte. Většina webových služeb totiž na e-mail, který jste uvedl při registraci, posílá v případě zapomenutí hesla odkaz na stránku, kde si můžete nastavit heslo nové. Vězte, že pokud se hlásíte např. ke svému freemailovému účtu přes HTTP protokol, tak se vaše heslo přenáší v otevřeném tvaru a může být snadno odchyceno.
Poznámka: Spolehnout se na to, že se vaše heslo nedostane do nepovolených rukou, nemůžete ani v případě, že ke svému e-mailovému účtu přistupujete přes HTTPS protokol. Důvod je prostý, mnoho firem ve snaze zabránit úniku citlivých informací nasadilo nějaké UTM zařízení a komunikace pak funguje tak, že klient naváže SSL tunel s UTM zařízením a teprve UTM zařízení naváže SSL spojení s požadovaným webovým serverem.
Závěr: V mnoha případech nejde ani tak o to, jak silné heslo používáte a jak často si ho měníte a zda si ho někam zapisujete, ale spíše o to, odkud, přes co a k čemu se vlastně přihlašujete a podle toho byste měli volit i odpovídající způsob autentizace.
ČERMÁK, Miroslav. Auntentizace: plno pravidel a k čemu?. Online. Clever and Smart. 2010. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/auntentizace-plno-pravidel-a-k-cemu/. [cit. 2025-03-22].
Štítky: autentizace, informační bezpečnost
K článku “Auntentizace: plno pravidel a k čemu?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
