Představuje doporučení ohledně délky hesla uvedené ve VoKB bezpečnostní riziko?

Jistě jste zaznamenali, že finální znění VoKB se nakonec příliš neliší od pracovní verze z dubna loňského roku.

V jedné podstatné věci však přeci jen liší, a tou je požadavek na délku hesla uživatele, kdy došlo k jeho zkrácení z navrhovaných 14 znaků na 12.

Pro úplnost je třeba dodat, že v první verzi VoKB účinné od 1. 1. 2015 do 27. 05. 2018 bylo vyžadováno komplexní heslo o délce 8 znaků. Již v té době byla délka hesla nedostatečná, a tak se zdál navrhovaný požadavek na jeho prodloužení na 14 znaků jako celkem logický, obzvlášť když není vyžadována jeho komplexita. Je nasnadě, že takové heslo je celkem snadno prolomitelné.

Ano, v aktuálně platné verzi VoKB není komplexita vyžadována. Na obranu předkladatelů vyhlášky je však nutné uvést, že stejné doporučení ohledně politiky hesel se objevilo i v NIST SP-800-63-b, který je odbornou veřejností vesměs respektován.

Přesto se nemohu ubránit dojmu, že dochází k podstatnému snížení úrovně bezpečnosti a implementace představuje významné riziko. Jde o to, že v okamžiku, kdy není nasazena 2FA a probíhá autentizace pouze pomocí hesla, tak s touto politikou mohou být daleko spíš vytvářena slabá a snadno prolomitelná hesla než dříve, navíc pokud budou platná po dobu 18 měsíců.

A toto riziko nemůže snížit ani kontrola, zda se právě uživatelem zadávané heslo nenachází ve slovníku již prolomených hesel. Nehledě na to, že je otázka, proti jakému slovníku, by ona kontrola měla vlastně probíhat, proti tomu s miliardou uniklých hesel a doplněným ještě o místní specifika nebo nějakému jinému?

Argumentaci, že si uživatelé složitá hesla zapisují a lepí na monitor, neberu, protože tohle není způsob, jak k masivním únikům hesel dochází a jak jsou hesla prolamována, obzvláště ne v organizacích provozujících KII nebo VIS.

Na vině nejsou hesla nalepená na monitorech nebo zapsaná v notýsku či kalendáři, nýbrž výhradně  špatně zabezpečené a napsané aplikace, z kterých lze získat celé DB hesel.

Stejně tak je naivní se domnívat, že uživatelé, kteří jsou podle některých studií stresováni komplexitou hesla a jeho častou obměnou, budou najednou vytvářet bezpečné passphrase, když tam, kde už dnes není žádná politika hesel vynucována, je vrcholem jejich kreativity heslo typu 123456.

Daleko pravděpodobnější je, že si tito uživatelé vytvoří heslo o minimální délce 12 znaků obsahující jen malá písmena, které lze snadno a rychle zadat i na virtuální klávesnici jejich mobilu nebo tabletu, než že budou vytvářet silné passphrase o 25 znacích, a zapisovat si je nakonec budou stejně, protože to nebude jediné heslo, které si musí pamatovat.

S ostatními doporučeními, jako že je vhodné omezit počet pokusů o přihlášení, používat bezpečnou hashovací funkci typu PBKDF2, nezakazovat vkládání hesla přes schránku a používání správců hesel, nebránit se jednoduchému password paddingu, či povolit zobrazování vkládaných znaků, lze více méně souhlasit.

V okamžiku, kdy však nastavíme minimální délku hesla na 12 znaků a nebudeme vynucovat komplexitu, tak se takové heslo stává velice snadno prolomitelné. Za odolné lze považovat heslo mající entropii přes 70bitů tedy 15 znaků. Takovou entropii má passphrase o 5 slovech ze slovníku čítajícího 10 000 slov.

Pokud budeme předpokládat, že české slovo v průměru obsahuje 5 písmen, tak by uživatel musel při každém přihlášení zadat cca 25znakovou passphrase. To by nemusel být až takový problém, ale myslíte, že uživatel bude takové heslo zdávat i na telefonu anebo si nastaví co nejkratší možné heslo?



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky:


K článku “Představuje doporučení ohledně délky hesla uvedené ve VoKB bezpečnostní riziko?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: