Heslo, které nikdy neexpiruje, je bezpečnější než heslo, které si měníte každý čtvrtrok
Médii se prohnala zpráva, že Microsoft mění bezpečnostní politiku hesel a nebude již na systémech Windows 10 a serverech od verze 1903 vynucovat změnu hesla.
Toto prohlášení bylo zveřejněné na webu Microsoftu a setkalo se vesměs s pozitivní reakcí ze strany odborné i laické veřejnosti, nicméně je třeba upozornit na určité skutečnosti.
Předně je třeba uvést, že to, že se Microsoft rozhodl nevynucovat změnu hesla do Windows po uplynutí určité doby, ještě neznamená, že by se nemělo měnit heslo ani do ostatních systémů, jak se snaží naznačovat některá média.
On je totiž dost podstatný rozdíl, zda se do daného systému dá přihlásit vzdáleně anebo jen v rámci sítě dané organizace, a toto doporučení prostě nelze zobecňovat.
Proč? Protože, Microsoft sice správně uvádí, že expirace hesla je pouhou ochranou uživatele před zneužitím hesla ze strany neoprávněné osoby, která se k němu nějakým způsobem dostala, a to po dobu jeho platnosti.
Z čehož celkem logicky vyplývá, že pokud k odcizení hesla nedošlo, tak neexistuje žádný rozumný důvod jej měnit. A měnit jej tak má smysl až v okamžiku, když by k jeho získání ze strany útočníka skutečně došlo. Toto doporučení ze strany Microsoftu jistě dává smysl.
Jenže nic není tak černobílé. Problém je, že v okamžiku, kdy dojde k zachycení, odpozorování, uhádnutí nebo prolomení hesla, tak se o tom oběť zpravidla vůbec nedozví, a nebude mít proto důvod si heslo změnit.
Když si projdete jednotlivé případy, kdy došlo k úniku citlivých informací a hesel, tak zjistíte, že mezi únikem těchto hesel a zveřejněním této informace uplynulo často i mnoho měsíců.
Jinými slovy, neoprávněná osoba mohla přistupovat po dobu několika měsíců pod účtem oběti do systému. A jistě uznáte, že jestli bude mít útočník možnost číst firemní poštu měsíc, půl roku, rok anebo neomezeně dlouho, tak je to dost podstatný rozdíl.
Netřeba snad dodávat, že informace o úniku hesel se kolikrát nemusí k uživateli daného systému vůbec dostat, a uživatel si heslo nezmění, a to dokonce ani v případě, že je tato informace poměrně brzy zveřejněna. Jednoduše proto, že uživatelé zprávy týkající se bezpečnostních incidentů prostě nečtou.
Nejde však jen o to, zda útočník získá do systému přístup, ale i jak dlouho jej bude moci zneužívat. A jestli uživatele ke změně hesla systém nedonutí, tak jej bude moci útočník zneužívat v podstatě tak dlouho, dokud bude existovat v systému daný uživatelský účet. A opakované studie jasně prokázaly, že škoda se zvyšuje v čase, a že organizacím trvá poměrně dlouho, než si vůbec něčeho všimnou.
A vzhledem k tomu, že uživatelé si volí slabá hesla, což opakované studie a úniky hesel rovněž potvrzují, tak lze vyslovit předpoklad, že i v okamžiku, kdy si uživatel heslo změní, tak jej útočník se znalostí hesla již prolomeného bude schopen rychle uhádnout.
Tím by výše uvedené tvrzení ohledně smysluplnosti změny hesla vzalo trochu za své, a expirace by bezpečnost zvyšovala skutečně jen minimálně. Ale není, byť jen malé zvýšení bezpečnosti, pořád lepší, než vůbec žádné? Možná.
Dalším častým argumentem je, že si uživatelé heslo zapisují na papírek a lepí na monitor, což je jistě v rozporu s běžně prosazovanými pravidly, a útočník se tak k němu může snadno dostat. Toto tvrzení sice pravdivé, ale tohle rozhodně není způsob, jak k masivním únikům hesel dochází, takže je trochu mimo.
Útočníci se k heslům dostávají nejčastěji přes špatně zabezpečené webové aplikace, zranitelnosti typu SQL injection, a skutečnosti, že hesla jsou v DB uložena v plaintextu nebo za použití zcela nevhodné kryptografie, takže se dají snadno prolomit. U cílených útoků pak dochází k instalaci keyloggeru, ať už HW nebo SW.
Pokud by něco mělo pomoci, tak je to zcela jistě zavedení dvoufaktorové autentizace. Samozřejmě jen tam, kde má tato autentizační metoda nějaký smysl.
Pokud je však použita jen autentizace jménem a heslem, tak je vhodné používat spíše komplexní hesla a dlouhé passphrase a rovněž i nasadit nějaký slovník zakázaných hesel, a kontrolovat, zda se uživatelem zadávané heslo ve slovníku nenachází. Ovšem vzhledem k velikosti databáze uniklých hesel, to bude spíš zase jen o formálním splnění požadavků.
V neposlední řadě je vhodné se zamyslet nad použitím nějakého správce hesel, ovšem ani na něj se nedá zcela spolehnout, protože mnohé z nich byly hacknuty, a to i opakovaně.
A co s každým přihlášením uživatele zobrazovat, kdy k přihlášení naposledy došlo a z jakého počítače a případně i uživatele informovat, když se někdo další přihlásí na jeho účet během jeho aktuálního sezení?
Pokud se vrátím zpět k nadpisu tohoto článku, tak by s trochou nadsázky mohlo i platit, že:
„Neexpirující heslo je jako v dubovém sudu zrající whisky, jejíž hodnota se v čase postupně zvyšuje.“
Jinak řečeno, na černém trhu bych měl za databázi neexpirujících hesel dostat více, než za databázi s hesly již pomalu expirujícími.
Štítky: autentizace
K článku “Heslo, které nikdy neexpiruje, je bezpečnější než heslo, které si měníte každý čtvrtrok” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.