Představuje doporučení ohledně délky hesla uvedené ve VoKB bezpečnostní riziko?
Jistě jste zaznamenali, že finální znění VoKB se nakonec příliš neliší od pracovní verze z dubna loňského roku.
V jedné podstatné věci však přeci jen liší, a tou je požadavek na délku hesla uživatele, kdy došlo k jeho zkrácení z navrhovaných 14 znaků na 12.
Pro úplnost je třeba dodat, že v první verzi VoKB účinné od 1. 1. 2015 do 27. 05. 2018 bylo vyžadováno komplexní heslo o délce 8 znaků. Již v té době byla délka hesla nedostatečná, a tak se zdál navrhovaný požadavek na jeho prodloužení na 14 znaků jako celkem logický, obzvlášť když není vyžadována jeho komplexita. Je nasnadě, že takové heslo je celkem snadno prolomitelné.
Ano, v aktuálně platné verzi VoKB není komplexita vyžadována. Na obranu předkladatelů vyhlášky je však nutné uvést, že stejné doporučení ohledně politiky hesel se objevilo i v NIST SP-800-63-b, který je odbornou veřejností vesměs respektován.
Přesto se nemohu ubránit dojmu, že dochází k podstatnému snížení úrovně bezpečnosti a implementace představuje významné riziko. Jde o to, že v okamžiku, kdy není nasazena 2FA a probíhá autentizace pouze pomocí hesla, tak s touto politikou mohou být daleko spíš vytvářena slabá a snadno prolomitelná hesla než dříve, navíc pokud budou platná po dobu 18 měsíců.
A toto riziko nemůže snížit ani kontrola, zda se právě uživatelem zadávané heslo nenachází ve slovníku již prolomených hesel. Nehledě na to, že je otázka, proti jakému slovníku, by ona kontrola měla vlastně probíhat, proti tomu s miliardou uniklých hesel a doplněným ještě o místní specifika nebo nějakému jinému?
Argumentaci, že si uživatelé složitá hesla zapisují a lepí na monitor, neberu, protože tohle není způsob, jak k masivním únikům hesel dochází a jak jsou hesla prolamována, obzvláště ne v organizacích provozujících KII nebo VIS.
Na vině nejsou hesla nalepená na monitorech nebo zapsaná v notýsku či kalendáři, nýbrž výhradně špatně zabezpečené a napsané aplikace, z kterých lze získat celé DB hesel.
Stejně tak je naivní se domnívat, že uživatelé, kteří jsou podle některých studií stresováni komplexitou hesla a jeho častou obměnou, budou najednou vytvářet bezpečné passphrase, když tam, kde už dnes není žádná politika hesel vynucována, je vrcholem jejich kreativity heslo typu 123456.
Daleko pravděpodobnější je, že si tito uživatelé vytvoří heslo o minimální délce 12 znaků obsahující jen malá písmena, které lze snadno a rychle zadat i na virtuální klávesnici jejich mobilu nebo tabletu, než že budou vytvářet silné passphrase o 25 znacích, a zapisovat si je nakonec budou stejně, protože to nebude jediné heslo, které si musí pamatovat.
S ostatními doporučeními, jako že je vhodné omezit počet pokusů o přihlášení, používat bezpečnou hashovací funkci typu PBKDF2, nezakazovat vkládání hesla přes schránku a používání správců hesel, nebránit se jednoduchému password paddingu, či povolit zobrazování vkládaných znaků, lze více méně souhlasit.
V okamžiku, kdy však nastavíme minimální délku hesla na 12 znaků a nebudeme vynucovat komplexitu, tak se takové heslo stává velice snadno prolomitelné. Za odolné lze považovat heslo mající entropii přes 70bitů tedy 15 znaků. Takovou entropii má passphrase o 5 slovech ze slovníku čítajícího 10 000 slov.
Pokud budeme předpokládat, že české slovo v průměru obsahuje 5 písmen, tak by uživatel musel při každém přihlášení zadat cca 25znakovou passphrase. To by nemusel být až takový problém, ale myslíte, že uživatel bude takové heslo zdávat i na telefonu anebo si nastaví co nejkratší možné heslo?
Štítky: zákon o kybernetické bezpečnosti
K článku “Představuje doporučení ohledně délky hesla uvedené ve VoKB bezpečnostní riziko?” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Je fajn, že minimální délka byla zvednuta na 12 znaků i když 14 by bylo lepší. A konečně je v zákoně, že omezení na délku hesla nesmí být menší než 64 znaků (i některé banky mají omezení na max. délku hesla 12 resp. 16 znaků, což je pro použití významového hesla špatně. Na druhou stranu jsem velmi rád, že zmizel ten nesmysl s komplexitou. Stačí minimální poučení, aby uživatel když zadává významové heslo zadal také nějaký oddělovač slov (který si vybere) a rázem je slovníkový útok řádově horší. Heslo typu: Měla-jsem kočku Mícu
je řádově složitější na prolomení, než 8 znakové heslo libovolně komplexní, napamatování ale i na psaní je pak výrazně jednodušší (bez nutnosti přepínat na číslice – v českém prostředí).