Heslo nebo život!

Roman Veselý , 15. únor 2013 08:00 4 komentářů
Heslo nebo život!

Heslo. Atribut, který je často považovaný za nejslabší článek bezpečnosti informačních systémů. Jenže přes své zjevné nevýhody a slabiny prostě nic lepšího nemáme – a tak se s ním musíme naučit žít.

Heslo bývá často podceňované, a přitom je právě ono pomyslnou „první linií“ (a často pohříchu jedinou), která nás dělí od průšvihu. Stačí se podívat třeba na aplikace internetové telefonie – např. Skype. Stačí znát přihlašovací jméno a heslo – a naprosto elegantně se zmocníme z jakéhokoliv počítače kreditu k volání. Nepotřebujeme nic více, nic méně.

Pokud si význam hesla neuvědomíme a nic pro něj neuděláme, jdou veškeré investice do ICT bezpečnosti – slušně řečeno – do kytek.

Heslo pod tlakem

O tom, jak udělat kvalitní heslo, nám může hodně napovědět krátký přehled útoků, s nimiž se lze v praxi setkat. Aneb „uvažujte jako útočník“ (což je mimochodem zlaté pravidlo ICT bezpečnosti).

První typem útoku je odhadnutí hesla. Útočník buď použije nejčastěji používaná hesla (123456, heslo, password, příjmení apod.) nebo se je pokusí odhadnout na základě znalosti napadané osoby (jméno manžela/ky, dětí, oblíbeného zpěváka atd.). Obrana v takovémto případě je relativně jednoduchá: nepoužívat odhadnutelná hesla.

Druhým typem je slovníkový útok. Útočník zkrátka vezme nějakou kompletní databázi slov, a tuto postupně použije – pokud má štěstí, přihlašovací systém jen po zadání správného hesla vpustí dále. Že je to časově náročné? Ale kdeže! Pro jednoduchý počítačový program není nic snadnějšího než vyzkoušet za několik sekund tisíce a tisíce hesel. Navíc administrátoři mívají někdy slabost pro hesla z Pána prstenů nebo Star Treku, takže útočníci vědí, kterým směrem zaměřit svoji pozornost. Obrana každopádně v takovémto případě je také poměrně snadná: nepoužívat jako heslo jakákoliv logická slovíčka, ale spíše kombinaci písmen, číslic a speciálních znaků (podtržítko, hvězdička, plus apod.).

Třetím typem útoku je vyzkoušení všech možných kombinací. Útočník prostě spustí specializovaný program, který postupně zkouší všechny možné kombinace. Je to podobné jako kdyby zloděj u trezoru se šestimístným číselníkem mohl vyzkoušet všech milión kombinací. Proto se tak často doporučuje používat v hesle nejen kombinaci velkých a malých písmen, ale také číslice a speciální znaky (viz předchozí odstavec), a heslo mít dostatečně dlouhé.

Díky tomu je možné vytvořit miliardy a miliardy kombinací. Např. při použití hesla o délce osmi znaků složeného jen z písmen (naše abeceda má 24 znaků) je 110075314176 kombinací. Při použití delšího hesla, číslic a speciálních znaků je jich samozřejmě více. Proto útočníkovi může trvat neúnosně dlouhou dobu, než vyzkouší všechny možnosti. Má-li ale dostatek času nebo není-li heslo dostatečně silné, dříve či později prostě uspěje. Obrana v tomto případě je následující: čím delší a složitější heslo, tím lépe. Stejně tak pestrost hesla útočníkovi výrazně ztěžuje jeho „práci“.

Čtvrtým typem útoku je heslo si prostě zjistit. V tomto případě je problém někde jinde než v síle či slabosti hesla. Pokud si ho totiž napíšete na monitor, na klávesnici nebo podložku myši zespod, pak nemá potencionální útočník příliš práce. Je to zhruba stejné jako kdybychom byt pečlivě zamykali a klíče nechávali v zámku.

Jinými slovy: co se bezpečnosti počítačového hesla týká, musíme se podívat na dvě základní oblasti. Jednak je to vytvoření samotného hesla, jednak péče o něj.

Perličky ze světa hesel

 

  • Analýza 31 miliónů hesel uniklých ze serveru Rockyou ukázala, že mezi deset nejoblíbenějších patří: 123456, 12345, 123456789, password, iloveyou, princess, rockyou, 1234567, 12345678 a abc123.
  • Ve Velké Británii je žebříček nejoblíbenějších hesel: 123, password, liverpool, letmein („pusť mě dál“), 123456, qwerty, charlie, monkey, arsenal a thomas. Zajímavé je, že je několik fotbalových klubů populárnějších, než Liverpool nebo Arsenal – např. Manchester United. Ten ale evidentně přijde britským uživatelům zbytečně dlouhý...
  • Podle hacktivistické skupiny Anonymous používá syrský prezident Bašár al-Asád heslo „12345“.
  • Kromě „oblíbených“ hesel existuje i oblíbený PIN. Pokud si jej mají uživatelé možnost zvolit, vybírají si ve čtvrtině případů datum svého narození (v různých podobách).

Pozor na základní hesla!

Velkým nešvarem je ponechávání základních hesel v instalovaných aplikacích či systémech. Tedy hesel, která do aplikací přednastavili tvůrci a výrobci. Abyste lépe pochopili jejich nebezpečí, stačí si do prohlížeče zadat heslo „default password“ a vyjedou vám seznamy s tisícovkami základních hesel. Pokud byl uživatel či administrátor dostatečný lajdák a hesla neměnil, má útočník dveře do systému napůl otevřené.

Neměnit základní hesla je přitom mnohem rozšířenější nešvar, než by se mohlo zdát. Dle loňského průzkumu provedeného společností ElcomSoft plných 28 procent (!!!) uživatelů a administrátorů základní hesla nikdy (!!!) nemění. Dalších 22 procent je mění zřídkakdy (to už jsme dohromady na polovině uživatelů). Čtvrtina pak uvedla, že hesla mění „občas“ – a zbytek „skoro vždy/vždy“.

Jsou to jen čísla ze studie? Pak vězte, že před několika lety otřásl Spojenými státy případ bankomatů ATM Tranax Mini Bank 1500: těch bylo instalováno celkem 24 tisíc, přičemž u zhruba čtvrtiny se provozovatelé neobtěžovali změnit základní heslo. A protože výrobce měl (a dosud má, i když nyní je software bankomatů nastavený tak, aby změnu základního hesla vynucoval) manuál k obsluze včetně všech hesel ve formátu PDF na webu, přišli podnikavci na to, jak bankomat přimět k vydávání větších finančních obnosů. (Stačilo bankomat přesvědčit, že v tomto šuplíku nejsou dvacetidolarovky, ale pětidolarovky – a pak si vybrat hotovost v „pětidolarovkách.“ Z účtu se strhlo třeba 100 USD, ale bankomat vyplatil 400 USD.) Takže: nepodceňovat základní hesla!

S heslem nejsou žerty

Jak dlouhé heslo používat? Jak ho často měnit? Ruku na srdce: bezpečnostní politiky jsou v této oblasti zpravidla dělané „kvalifikovaným odhadem“, než aby vycházely z reality. Za pozornost proto stojí metodika amerického SANS Institute, která se právě hesly zabývá. Vychází z logiky, že heslo by mělo primárně chránit, nikoliv obtěžovat. Uživatelská hesla by měla být měněna nejméně jednou za půl roku, optimálně každé čtyři měsíce. V případě administrátorských, správcovských či manažerských by tato frekvence měla být dvojnásob častější. Ale především: hesla nesmí být předávána ŽÁDNOU formou elektronické komunikace.

S tím se naprosto ztotožňuje Michal Jukl ze společnosti Lamantine Software, která je výrobcem produktu Sticky Password, určeného pro ochranu hesel: „Silné heslo by mělo obsahovat malá i velká písmena (což znamená, že silné heslo musí být postaveno na silném systému, který rozlišování malých a velkých písmen umožňuje), obsahuje čísla a punkční znaménka a nejde o slovo z jazyka, dialektu či žargonu. Jeho délka je nejméně patnáct znaků a nejde o slovo, nýbrž o „passfrázi“ (tedy shluk znaků, který zpravidla vychází pro snadnější zapamatování z nějaké věty – jde tedy např. o druhá písmena z každého slova třeba z básničky nebo písničky). Silné heslo nesmí mít žádné spojení s osobními či rodinnými informacemi.“ Dále pokračuje: „Uživatel nesmí sdělovat heslo (ani) nadřízenému – ten to po něm naopak nesmí požadovat. O heslech by neměly probíhat žádné debaty, a to ani v žertu. Stejně jako se nesmí prozrazovat vlastní heslo, měly by zůstat utajené informace o jeho formátu (požadované délka, frekvence změn apod.).“

Bezpečnostní politika by se pak měla stát oporou pro uživatele. Například pokud by po nich někdo heslo požadoval – ať nadřízený, technik či kdokoliv jiný – měli by mít možnost se bezpečnostní politikou zaštítit. A tato by měla pevně stát za nimi. Stejně tak musí bezpečnostní politika obsahovat postupy, jak se chovat při podezření na kompromitaci hesla. Např. koho informovat a jak reagovat. SANS Institute také doporučuje kontrolu hesel, zdali splňují v politice definované standardy. Jednak by mělo jít o kontrolu strojovou při akceptaci hesla, jednak čas od času pomocí penetračních testů či pokusů o prolomení (stroj zjistí, zdali heslo odpovídá bezpečnostním požadavkům, ale nezjistí třeba, jestli si ho uživatel nenapsal na klávesnici zespod).

Heslo, které neexistuje

Pokud bychom si rady, které dnes a denně slýcháme, měli shrnout, tak by heslo mělo být hlavně hooodně dlooouhé, mělo by mít velká a malá písmena a nejlépe i nějaké další nealfanumerické znaky (hvězdička, pomlčka, interpunkce apod.). K tomu ho musíme často měnit a do každé aplikace použít heslo nové.

Otázkou je, zda by si průměrný uživatel byl schopen taková hesla a hlavně jejich velký počet zapamatovat (když za hesla budeme považovat i PINy u kreditních karet či mobilních telefonů). Znovu připomínáme: hodně dlouhých, složitých, různých a často měněných. Existují však nástroje, které nám mohou pomoci, a jsou vhodné jak pro ochranu hesel jednotlivců, tak i k firemnímu použití. Jedním z nich je produkt Sticky Password české firmy Lamantine Software, který je právě pro správu hesel určen. Hesla si nemusíte pamatovat, Sticky Password rozpozná vaše oblíbené stránky a aplikace chráněné heslem a automaticky vás přihlásí. Svá hesla se tomuto produktu nemusíte bát svěřit. Jsou uložena v zašifrované podobě a nikdo jiný než Vy se k ním nedostane.Vaše hesla nejen ochrání, ale je možné ho použít i pro jejich generování. A víte čím je ještě tento produkt, respektive výrobce zajímavý? Využitím tohoto produktu ochráníte nejen svá hesla, ale také přispějete dobrovolnické organizaci pro ochranu krásných a ohrožených kapustňáků, kterou firma Lamantine Sofware podporuje. A proč právě kapustňáky? Hádejte, co slovo „lamantin“ ve francouzštině znamená? Jdete do toho?

Roman Veselý

Autor pracuje ve společnosti ALWIL Trade.


Komentáře

Kubrt #1
Kubrt 15. únor 2013 09:42

Jo-jo password-manager je super, pak stačí mít jen master heslo Pepa110381, a jsme tam kde jsme byli, ale cítíme se bezpečněji :-).

koudy #2
koudy 15. únor 2013 10:10

Myslim si, ze je lepsi pouzivat delsi hesla slozena z nekolika slov...
http://xkcd.com/936/

Zopper #3
Zopper 16. únor 2013 13:15

Tak tak... Složitá náhodně generovaná hesla nutně vedou k jejich poznačování si, ideálně někde na papírek pod klávesnici.

pan Psax 27. únor 2013 16:15

Pěkný článek pro začínající výpočetníky.
Jen "punkční znaménka" mi evokují vizi vpichů... :)
Punctuation je interpunkce!


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů