Autentizace: mnoho hesel uživatelova smrt

Běžný uživatel se hlásí do mnoha různých systémů a tak není výjimkou, že si musí často pamatovat spoustu uživatelských jmen a hesel.

Dost často se jedná i o deset a více hesel. Málokdo je však schopen si všechna svá uživatelská jména a hesla zapamatovat, obzvlášť v případě, když je systémem nucen si volit bezpečná hesla a ta si navíc pravidelně měnit. Uživatel se může snažit vytvořit si všude stejné uživatelské jméno, ale vzhledem k tomu, že většina uživatelů se snaží z důvodu snazšího zapamatování používat uživatelské jméno, které vychází z jejich jména nebo příjmení, poměrně brzo nastane okamžik, že jimi zvolené resp. požadované uživatelské jméno je v daném systému již použito někým jiným a tak si musí zvolit jiné. Nehledě na to většina uživatelů používá několik identit, minimálně jednu pracovní a jednu či více soukromých.

Přiznejme si, že uživatel nemá bez použití bezpečného HW tokenu nebo nějakého SW nástroje, ve kterém by měl přihlašovací údaje do mnoha různých systémů uloženy, moc možností, jak tuto situaci řešit. Nabízí se buď používat všude stejné heslo, nebo si svá jména a hesla někam poznamenávat. A nejde jen o samotná jména a hesla. Uživatel musí také vědět, kde má dané uživatelské jméno a heslo použít. Mimochodem, měl by podle vás uživatel své jméno, které používá pro přihlášení do systému, tajit? Zarytí odpůrci přístupu „security through obscurity“ řeknou zcela určitě, že nikoliv, ale co vy ostatní, opravdu vás nenapadá žádný případ, kdy to má smysl?

Na první pohled se možnost používat stejné jméno a heslo do více systémů jeví jako ideální, ale pokud se nad problémem hlouběji zamyslíme, zjistíme, že tento přístup obsahuje určitá rizika. Jde o to, že v okamžiku, kdy dojde ke kompromitaci hesla, útočník může získat přístup i do dalších systémů, kde uživatel toto heslo používá. Možná vás v tuto chvíli napadlo, že by mohla být jen část hesla stejná a zbytek by byl pro každý systém jiný. Tahle myšlenka není nová a např. na webu  Thebitmill je uveden návod jak takové heslo vytvořit:

For example, using the phrase, „My dog has fleas:“ (Mdhf), combined with a „7“, a“ /“ and „HtMl“ might give the password, „Md7hf/HtMl“ for your HotMail account (the count of 7 letters in HotMail, plus the consonants in HotMail). Using this system, your Yahoo password would be „Md5hf/Yh“.

Tento způsob tvorby však nemůžeme doporučit, protože pokud se budete řídit výše uvedeným příkladem a útočník získá vaše heslo na Hotmail, tak mu asi nedá moc práce rozlousknout i váš systém tvorby hesla. Na první pohled je vidět, že za lomítkem se nachází Velké písmeno pocházející z názvu serveru a pak následují souhlásky. Takže není problém si odvodit, jak by asi vypadalo heslo takového uživatele třeba do sociální sítě na Facebooku. Md5hf/Fb, Md5hf/FB nebo Md5hf/FcBk? Na poprvé se útočník asi nestrefí, ale po pár pokusech se mu heslo podaří zcela jistě uhádnout.

Problém je, že takové heslo nemá dostatečnou informační entropii, jinými slovy není dostatečně náhodné. Pokud ho útočník odchytí např. v okamžiku, kdy ho použijete pro autentizaci přes nezabezpečený protokol ke své poště kdesi na freemailu, nebude pro něj příliš velký problém odhalit, jaká hesla používáte i na ostatních systémech.

Poznámka: Většina SW nástrojů typu Password Manager / Password Organizers, která lze pro úschovu hesel funguje na podobném principu. Uživateli stačí, když si zapamatuje heslo jen k tomuto nástroji a ten se pak stará o to, aby uložené přihlašovací údaje byly poskytnuty jen po správném zadání hesla označovaném někdy jako master key. Rozdíl mezi SW řešením a HW tokenem je v bezpečnosti. HW token je samozřejmě bezpečnější.

Závěr: Místo obligátního závěru si pro tenkrát dovolím položit následující otázku. Většina z nás obvykle nosí při sobě několik identifikačních a autentizačních předmětů a dalších cenných aktiv. Minimálně klíče od bytu od auta, občanku, řidičský průkaz, průkaz pojištěnce, platební kartu, peněženku, mobil a případně i OpenCard a nějaký ten token či identifikační kartu. Z pohledu bezpečnosti se nedoporučuje všechny tyto předměty nosit pohromadě. Jak je tedy přenášíte?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Autentizace: mnoho hesel uživatelova smrt” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: