08.11.2015

Proč mít bezpečné heslo a jak toho dosáhnout

Věčný souboj administrátorů a uživatelů, tak by se dala popsat realita možná i ve vaší firmě, když přijde řeč na politiku hesel. V následujícím článku se pokusíme vysvětlit, že všechna ta opatření adminů tu nejsou proto, aby vám komplikovala život, ale proto, aby vás chránila.

Password 866977 1920

V první řadě, ještě než si povíme jak toho dosáhnout, je třeba si připomenout, proč je vlastně důležité mít takové heslo, které znáte a můžete použít jenom a jenom vy. Magická dvojice login a heslo je ve světě všech systémů, ke kterým přistupujete, vaší identitou. Dá se to představit jako občanský průkaz, kterým se prokazujete při každém kliknutí. Akt, kdy ráno při „přihlášení do Windows” zadáte své jméno a heslo způsobí to, že se ověříte proti autentizačnímu serveru.

Velmi často se tímto ověřením zároveň prokazujete mnoha dalším systémům, aniž byste to věděli a heslo znovu zadávali (typicky například otevřete Outlook a přistoupíte k mailu, vlezete na intranet, otevřete si sdílené dokumenty na Sharepointu atd.). Tam všude se prokážete „svou občankou” a vše, co se pod vaším přihlášením stane je pak na vaší odpovědnost. Váš účet smaže nebo si zkopíruje důležitá data, autorizuje nějakou transakci apod. Nikoliv váš účet, ale přímo vy jste za to odpovědní, podobně jako když si na vaší občanku někdo smluví úvěr. Nikdo nebude řešit, že to pod vaším heslem udělal někdo jiný, protože vy jste odpovědní za to, že své heslo znáte jen vy. Vy jste vaše heslo, pro IT je mezitím rovnítko. Teď už jistě chápete, proč vaši ajťáci mohou vyletět z kůže, když přijdou do provozu a na monitoru počítače je nálepka se jménem a heslem, které používá všech osm lidí na směně. To je jako když by na jeden pas cestovalo osm tureckých bratrů napříč Evropou.

Síla hesla

Aby bylo heslo bezpečné, musí samo o sobě být těžké jej získat, zjistit, vypočítat a nebo uhodnout. Proto se bavíme o tzv. síle hesla. Obecně lze říci, že čím delší heslo je, tím je silnější, proto je tu častý požadavek na minimální délku hesla 6 nebo 8 znaků. Dalšími faktory jsou například použití speciálních znaků, číslic a nebo povinnost použít malá a velká písmena. Všechna tato pravidla, které po vás firemní politika hesel vyžaduje, společně s povinností si heslo v pravidelných intervalech měnit, mají za cíl komplikovat život každému, kdo se bude snažit vaše heslo získat a vaši identitu zneužít. V následujících odstavcích si rozebereme několik základních principů, jak mohou být hesla prolamována útočníky a která pravidla jakým útokům pomáhají bránit.

TYPY ÚTOKŮ

Slovníkový útok

Jedním z nejstarších způsobů je tzv. slovníkový útok. Lze si to představit tak, že útočník předpokládá, že pro lepší zapamatování používáte jako heslo nějaké slovo a zkouší ho uhodnout. Dříve bylo možné například napsat robota, který zkoušel slova tak dlouho, až se trefil. Tomu naštěstí již dnešní systémy čelí tím, že když je opakovaně zadáno chybné heslo, tak se účet dočasně nebo úplně zamkne a nelze se na něj přihlásit.

Každopádně jednoduchým opatřením, které můžete udělat, je zmíněné použití speciálních znaků a číslic, což logicky znamená, že vaše heslo nebude v nějakém slovníku. Také delší heslo je hůře napadnutelné tímto způsobem, což plyne z počtu kombinací, kterých lze s různou délkou hesla dosáhnout.

Předpočítaný “hash”

Dalším, dá se říci sofistikovanějším, způsobem jak na heslo přijít, je jeho výpočet. Trochu to zjednoduším, ale v principu jde o to, že vaše heslo musí být někde v systému uloženo, aby mohl systém po zadání hesla vyhodnotit, zda je tam shoda. Samozřejmě, že uloženo tam není heslo, ale tzv. HASH, tedy řetězec, který vznikne, když hashovací algoritmus provede sadu matematických operací. Algoritmus funguje tak, že při zadání stejného hesla a opakovaném zašifrování vede vždy na stejný výsledek, tedy stejný hash. Naopak je prakticky nemožné z hashe zpětně vypočítat původní nezašifrované heslo. Pokaždé, když heslo zadáváte, provede se enkrypce (zašífrování) a porovná se na shodu s uloženou zašifrovanou podobou. V čem je tedy háček? Předpokládejme, že k zašifrované podobě vašeho hesla se útočník může dostat. Jeho zpětný výpočet sice nezvládne, ale zná algoritmus, kterým se heslo kryptuje a tak může zkoušet šifrovat různá hesla a porovnávat výsledky s ukradeným hashem. To je samozřejmě výpočetně potažmo časově náročné, ale útočník může mít databázi takto předpočítaných hashů k dispozici již z minulosti a pak je to “pouze” o porovnání řetězců. Samozřejmě to není tak triviální a opět kombinatorika nám napoví, že předpočítat si hesla o délce byť jen 6 nebo 8 znaků je takové množství možností, že je to takřka nereálné.

Účinnou obranou proti tomuto způsoby prolomení hesla je tedy jeho dostatečná délka a jeho periodická změna.

Phishing

Posledním a zároveň nejhůře popsatelným a nejčastěji úspěšně zneužívaným způsobem, jak nekale přijít k heslu někoho jiného je tzv. phishing. Nejhůře popsatelný je proto, že může mít opravdu mnoho technických podob. Společné mu je však to, že jde vlastně o triky, jakými se heslo nechá získat přímo od jeho majitele. Nejčastěji zmiňované jsou například podvodné stránky, kdy se útočníkovi podaří dosáhnout toho, že si uživatel myslí, že heslo zadává do stránky přihlášení k systému a přitom je to stejně vypadající stránka útočníka, která heslo uloží do databáze a někdy vás dokonce i přesměruje a přihlásí na skutečnou stránku a vy o tom ani nevíte. Příležitostí, kdy heslo sami prozradíte je ale celá řada a nejčastěji je to buď o dobře provedeném podvrhu nebo vaší nepozornosti, naivitě či hlouposti. Nechat se přesvědčit člověkem, který vám telefonuje, že je administrátor systému a potřebuje vaše heslo kvůli nastavení nebo mít heslo napsané na zadní straně kalendáře na pracovním stole jsou jistě způsoby, které by na část uživatelů stále fungovala.

A jak se phisingu bránit? Zejména být ostražitý. Nemusíte být přímo paranoidní, ale mějte na paměti, že vaše heslo je vaše občanka a s tou přeci nemá disponovat nikdo jiný. Buďte pozorní a při přihlašování přes webové stránky kontrolujte řádek s adresou v prohlížeči a také jestli je použit šifrovaný přenos komunikace mezi vámi a serverem, tedy jestli adresa začíná “https://”. Nepoužívejte stále jedno heslo do všech systémů a hesla po čase měňte. Připusťme totiž, že některé systémy vyžadují menší míru zabezpečení a tak tam může útočník heslo získat, třeba i phisingem, protože jsme méně ostražití. Pokud pak heslo od bezvýznamné mailové schránky, kam si necháme posílat spam, vyzkouší k důležitému informačnímu systému nebo našemu bankovnictví a je stejné, tak opět vyhrál díky naší vlastní neopatrnosti.

Věřím, že po přečtení tohoto článku je jasné, že si admini pravidla o heslech nevymýšlí jen z dlouhé chvíle a touhy šikanovat uživatele. Nyní již víme jaké zásady a proč bychom měli ohledně hesel dodržovat. Jak to dělat bezbolestně a usnadnit si život aniž byste ohrozili svou e-identitu, se dozvíte v dalším článku nazvaném „Jak si bezpečně zapamatovat bezpečné heslo”.

Kam dál?