Autentizace: zapomenuté heslo a kontrolní otázka
V tomto příspěvku se dozvíte, co jsou to tzv. kontrolní otázky, k čemu slouží a jaká rizika jsou spojena s jejich používáním.
Pro přístup do mnoha systémů je nutné zadat jméno a heslo. Problém nastane v okamžiku, kdy heslo zapomenete. V takovém případě si buď můžete v daném systému vytvořit nový účet, a nebo systému poskytnout správnou odpovědět (cognitive password) na kontrolní otázku (cognitive question), kterou jste uvedli při registraci. Pokud na danou kontrolní otázku odpovíte správně, systém vám umožní si zadat nové heslo. Tímto způsobem se tak dostanete ke svým datům, mailům, k placenému obsahu nebo k jiné službě, kterou daný systém nabízí. Pokud tato funkcionalita není implementována a neexistuje jiná možnost, jak v případě, že zapomenete heslo, ověřit vaší totožnost, nezbývá vám nic jiného, než si založit nový účet. Ke svým datům uloženým na tomto serveru se již ale nedostanete, protože systém vás bude považovat za zcela nového uživatele.
Jaký je rozdíl mezi heslem a kontrolní otázkou?
Uveďme si nyní, v čem spočívá hlavní rozdíl mezi heslem a odpovědí na kontrolní otázku. V případě hesla se po uživateli požaduje, aby si zapamatoval něco zcela nového. Často jsou na uživatele kladeny vysoké nároky, co se týká délky hesla a jeho složitosti. Chce se po něm, aby jeho heslo obsahovalo velká a malá písmena, čísla, speciální znaky apod. V případě kontrolní otázky tomu tak ale není. Uživatel si nic nového pamatovat nemusí, pouze by si měl vybavit odpověď na kontrolní otázku, kterou si zadal při registraci. Všimněte si, že zde již nejsou žádné požadavky, co se týká délky a složitosti dané odpovědi. A v tom především spočívá slabina celé této služby.
Odpovíte na kontrolní otázku pokaždé stejně?
Uživatel musí na danou kontrolní otázku odpovědět pokaždé stejně, to znamená, že by neměl příliš dlouho přemýšlet, jaká je správná odpověď. Správnou odpověď by si měl vybavit okamžitě. Ovšem pozor, odpovědět správně, neznamená odpovědět pokaždé stejně. Je třeba si uvědomit, že správných odpovědí na danou otázku může být více a kromě toho se jejich psaná podoba může lišit. Správná odpověď se totiž může v čase měnit. Jiná může být např. v době vytvoření účtu a zadání odpovědi na kontrolní otázku a jiná může být právě teď. Uživatel by měl tedy volit takové otázky, na které se jeho odpovědi v čase nemění a na které je schopen odpovědět jedině on. Kromě toho, že si uživatel už po čase vůbec nemusí pamatovat, zda na danou kontrolní otázku odpovídal jedním slovem nebo celou větou.
Kontrolní otázka jako nejslabší článek systému
Problém spočívá také v tom, že pokud jsou kontrolní otázky uloženy v systému, každý má možnost zjistit, jaké kontrolní otázky systém pokládá a pokusit se např. za použití technik sociálního inženýrství zjistit, jaká je na tyto kontrolní otázky správná odpověď. Lidé, kteří vás znají, mohou i správnou odpověď snadno uhádnout. Ostatní se mohou pokusit dohledat správnou odpověď někde na internetu. Přímo se tedy nabízí otázka, proč útočit na nepoměrně silnější heslo, když tady máme velice snadno uhodnutelnou nebo zjistitelnou odpověď na kontrolní otázku. Existence kontrolní otázky v systému tak může z pohledu bezpečnosti zároveň představovat jeho nejslabší článek.
Přístupy k tvorbě kontrolních otázek
Co se týká tvorby kontrolních otázek, lze pozorovat v zásadě jen dva přístupy. Buď jsou kontrolní otázky generovány systémem a uživatel dané služby uvádí jen odpověď na tyto otázky a nebo si vytváří i své vlastní kontrolní otázky, které do systému zadává.
Kontrolní otázky v praxi
Ale dost již bylo teorie. Podívejme se, jak kontrolní otázky implementoval jeden z největších českých poskytovatelů e-mailových schránek. Otázky, které používá, nejsou moc vhodné, protože např. číslo a datum vystavení řidičského průkazu může být po letech jiné, stejně tak jako datum vystavení pasu, jméno nejoblíbenějšího seriálu, herce nebo herečky. Problém může být i v případě data narození babičky a dědečka, obvykle má každý dvě. A nejinak tomu může být i v případě rodného příjmení matky. Další problém spočívá v tom, že systém z bezpečnostních důvodů nesděluje, jakou kontrolní otázku si uživatel vybral. Pokud by tomu tak nebylo, měl by to útočník až příliš jednoduché. Takto implementovaný systém kontrolních otázek však vede uživatele k tomu, aby si jimi zvolenou kontrolní otázku i odpověď někam zapsali. Kromě toho není splněna definice kontrolní otázky – uživatel je nucen si něco nového zapamatovat – to, jakou otázku si zvolil.
Jak správně implementovat systém kontrolních otázek
Společnost, která se rozhodne implementovat do svého systému kontrolní otázky, by měla vzít v úvahu, že uživatel by neměl být nucen si při použití kontrolní otázky něco nového pamatovat. Pokud po uživateli chci, aby si něco pamatoval, dostává se kontrolní otázka jen na úroveň dalšího hesla. Otázky by měly být voleny tak, aby byla zajištěna vysoká pravděpodobnost, že na ně uživatel bude schopen odpovědět stejně i po několika letech a zároveň, že na ně nebude schopen odpovědět nikdo jiný. Dále není žádoucí se spoléhat jen na jednu otázku. Párů otázka-odpověď může být pro jednoho uživatel v systému uloženo více. Systém by měl též detekovat pokus o uhádnutí správné odpovědi a odpovídajícím způsobem na to reagovat. Nezřídka se stává, že zatímco v případě opakovaného zadání špatného hesla dojde k uzamčení účtu, tak v případě kontrolní otázky je povoleno neomezené množství pokusů.
Budoucnost systému kontrolních otázek
Stávající systémy mají problém v okamžiku, kdy odpověď na kontrolní otázku není naprosto shodná s odpovědí, kterou mají uloženou ve své databázi. Nová generace těchto systémů by měla být schopna vyhodnotit i takovou odpověď, kdy uživatel např. odpoví místo jednoho slova celou větou, číslici napíše slovem, použije zkratku apod.
Poznámka: K napsání tohoto příspěvku mě inspiroval Dr. Mike Just, výzkumný pracovník na Univerzitě v Edinburghu, který vystoupil na 10. ročníku mezinárodní konference Information Security Summit, která se konala ve dnech 27. – 28. května 2009 v Praze, se svojí prezentací na téma Account Recovery – Authentication’s Dirty Secret?
ČERMÁK, Miroslav, 2009. Autentizace: zapomenuté heslo a kontrolní otázka. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/autentizace-zapomenute-heslo-a-kontrolni-otazka/. [citováno 07.12.2024].
Štítky: autentizace, informační bezpečnost
K článku “Autentizace: zapomenuté heslo a kontrolní otázka” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.