Heslo nebo život!

Heslo. Atribut, který je často považovaný za nejslabší článek bezpečnosti informačních systémů. Jenže přes své zjevné nevýhody a slabiny prostě nic lepšího nemáme – a tak se s ním musíme naučit žít.

Heslo bývá často podceňované, a přitom je právě ono pomyslnou „první linií“ (a často pohříchu jedinou), která nás dělí od průšvihu. Stačí se podívat třeba na aplikace internetové telefonie – např. Skype. Stačí znát přihlašovací jméno a heslo – a naprosto elegantně se zmocníme z jakéhokoliv počítače kreditu k volání. Nepotřebujeme nic více, nic méně.

Pokud si význam hesla neuvědomíme a nic pro něj neuděláme, jdou veškeré investice do ICT bezpečnosti – slušně řečeno – do kytek.

Heslo pod tlakem

O tom, jak udělat kvalitní heslo, nám může hodně napovědět krátký přehled útoků, s nimiž se lze v praxi setkat. Aneb „uvažujte jako útočník“ (což je mimochodem zlaté pravidlo ICT bezpečnosti).

První typem útoku je odhadnutí hesla. Útočník buď použije nejčastěji používaná hesla (123456, heslo, password, příjmení apod.) nebo se je pokusí odhadnout na základě znalosti napadané osoby (jméno manžela/ky, dětí, oblíbeného zpěváka atd.). Obrana v takovémto případě je relativně jednoduchá: nepoužívat odhadnutelná hesla.

Druhým typem je slovníkový útok. Útočník zkrátka vezme nějakou kompletní databázi slov, a tuto postupně použije – pokud má štěstí, přihlašovací systém jen po zadání správného hesla vpustí dále. Že je to časově náročné? Ale kdeže! Pro jednoduchý počítačový program není nic snadnějšího než vyzkoušet za několik sekund tisíce a tisíce hesel. Navíc administrátoři mívají někdy slabost pro hesla z Pána prstenů nebo Star Treku, takže útočníci vědí, kterým směrem zaměřit svoji pozornost. Obrana každopádně v takovémto případě je také poměrně snadná: nepoužívat jako heslo jakákoliv logická slovíčka, ale spíše kombinaci písmen, číslic a speciálních znaků (podtržítko, hvězdička, plus apod.).

Třetím typem útoku je vyzkoušení všech možných kombinací. Útočník prostě spustí specializovaný program, který postupně zkouší všechny možné kombinace. Je to podobné jako kdyby zloděj u trezoru se šestimístným číselníkem mohl vyzkoušet všech milión kombinací. Proto se tak často doporučuje používat v hesle nejen kombinaci velkých a malých písmen, ale také číslice a speciální znaky (viz předchozí odstavec), a heslo mít dostatečně dlouhé.

Díky tomu je možné vytvořit miliardy a miliardy kombinací. Např. při použití hesla o délce osmi znaků složeného jen z písmen (naše abeceda má 24 znaků) je 110075314176 kombinací. Při použití delšího hesla, číslic a speciálních znaků je jich samozřejmě více. Proto útočníkovi může trvat neúnosně dlouhou dobu, než vyzkouší všechny možnosti. Má-li ale dostatek času nebo není-li heslo dostatečně silné, dříve či později prostě uspěje. Obrana v tomto případě je následující: čím delší a složitější heslo, tím lépe. Stejně tak pestrost hesla útočníkovi výrazně ztěžuje jeho „práci“.

Čtvrtým typem útoku je heslo si prostě zjistit. V tomto případě je problém někde jinde než v síle či slabosti hesla. Pokud si ho totiž napíšete na monitor, na klávesnici nebo podložku myši zespod, pak nemá potencionální útočník příliš práce. Je to zhruba stejné jako kdybychom byt pečlivě zamykali a klíče nechávali v zámku.

Jinými slovy: co se bezpečnosti počítačového hesla týká, musíme se podívat na dvě základní oblasti. Jednak je to vytvoření samotného hesla, jednak péče o něj.

Pozor na základní hesla!

Velkým nešvarem je ponechávání základních hesel v instalovaných aplikacích či systémech. Tedy hesel, která do aplikací přednastavili tvůrci a výrobci. Abyste lépe pochopili jejich nebezpečí, stačí si do prohlížeče zadat heslo „default password“ a vyjedou vám seznamy s tisícovkami základních hesel. Pokud byl uživatel či administrátor dostatečný lajdák a hesla neměnil, má útočník dveře do systému napůl otevřené.

Neměnit základní hesla je přitom mnohem rozšířenější nešvar, než by se mohlo zdát. Dle loňského průzkumu provedeného společností ElcomSoft plných 28 procent (!!!) uživatelů a administrátorů základní hesla nikdy (!!!) nemění. Dalších 22 procent je mění zřídkakdy (to už jsme dohromady na polovině uživatelů). Čtvrtina pak uvedla, že hesla mění „občas“ – a zbytek „skoro vždy/vždy“.

Jsou to jen čísla ze studie? Pak vězte, že před několika lety otřásl Spojenými státy případ bankomatů ATM Tranax Mini Bank 1500: těch bylo instalováno celkem 24 tisíc, přičemž u zhruba čtvrtiny se provozovatelé neobtěžovali změnit základní heslo. A protože výrobce měl (a dosud má, i když nyní je software bankomatů nastavený tak, aby změnu základního hesla vynucoval) manuál k obsluze včetně všech hesel ve formátu PDF na webu, přišli podnikavci na to, jak bankomat přimět k vydávání větších finančních obnosů. (Stačilo bankomat přesvědčit, že v tomto šuplíku nejsou dvacetidolarovky, ale pětidolarovky – a pak si vybrat hotovost v „pětidolarovkách.“ Z účtu se strhlo třeba 100 USD, ale bankomat vyplatil 400 USD.) Takže: nepodceňovat základní hesla!

S heslem nejsou žerty

Jak dlouhé heslo používat? Jak ho často měnit? Ruku na srdce: bezpečnostní politiky jsou v této oblasti zpravidla dělané „kvalifikovaným odhadem“, než aby vycházely z reality. Za pozornost proto stojí metodika amerického SANS Institute, která se právě hesly zabývá. Vychází z logiky, že heslo by mělo primárně chránit, nikoliv obtěžovat. Uživatelská hesla by měla být měněna nejméně jednou za půl roku, optimálně každé čtyři měsíce. V případě administrátorských, správcovských či manažerských by tato frekvence měla být dvojnásob častější. Ale především: hesla nesmí být předávána ŽÁDNOU formou elektronické komunikace.

S tím se naprosto ztotožňuje Michal Jukl ze společnosti Lamantine Software, která je výrobcem produktu Sticky Password, určeného pro ochranu hesel: „Silné heslo by mělo obsahovat malá i velká písmena (což znamená, že silné heslo musí být postaveno na silném systému, který rozlišování malých a velkých písmen umožňuje), obsahuje čísla a punkční znaménka a nejde o slovo z jazyka, dialektu či žargonu. Jeho délka je nejméně patnáct znaků a nejde o slovo, nýbrž o „passfrázi“ (tedy shluk znaků, který zpravidla vychází pro snadnější zapamatování z nějaké věty – jde tedy např. o druhá písmena z každého slova třeba z básničky nebo písničky). Silné heslo nesmí mít žádné spojení s osobními či rodinnými informacemi.“ Dále pokračuje: „Uživatel nesmí sdělovat heslo (ani) nadřízenému – ten to po něm naopak nesmí požadovat. O heslech by neměly probíhat žádné debaty, a to ani v žertu. Stejně jako se nesmí prozrazovat vlastní heslo, měly by zůstat utajené informace o jeho formátu (požadované délka, frekvence změn apod.).“

Bezpečnostní politika by se pak měla stát oporou pro uživatele. Například pokud by po nich někdo heslo požadoval – ať nadřízený, technik či kdokoliv jiný – měli by mít možnost se bezpečnostní politikou zaštítit. A tato by měla pevně stát za nimi.
Stejně tak musí bezpečnostní politika obsahovat postupy, jak se chovat při podezření na kompromitaci hesla. Např. koho informovat a jak reagovat. SANS Institute také doporučuje kontrolu hesel, zdali splňují v politice definované standardy. Jednak by mělo jít o kontrolu strojovou při akceptaci hesla, jednak čas od času pomocí penetračních testů či pokusů o prolomení (stroj zjistí, zdali heslo odpovídá bezpečnostním požadavkům, ale nezjistí třeba, jestli si ho uživatel nenapsal na klávesnici zespod).

Heslo, které neexistuje

Pokud bychom si rady, které dnes a denně slýcháme, měli shrnout, tak by heslo mělo být hlavně hooodně dlooouhé, mělo by mít velká a malá písmena a nejlépe i nějaké další nealfanumerické znaky (hvězdička, pomlčka, interpunkce apod.). K tomu ho musíme často měnit a do každé aplikace použít heslo nové.

Otázkou je, zda by si průměrný uživatel byl schopen taková hesla a hlavně jejich velký počet zapamatovat (když za hesla budeme považovat i PINy u kreditních karet či mobilních telefonů). Znovu připomínáme: hodně dlouhých, složitých, různých a často měněných. Existují však nástroje, které nám mohou pomoci, a jsou vhodné jak pro ochranu hesel jednotlivců, tak i k firemnímu použití. Jedním z nich je produkt Sticky Password české firmy Lamantine Software, který je právě pro správu hesel určen. Hesla si nemusíte pamatovat, Sticky Password rozpozná vaše oblíbené stránky a aplikace chráněné heslem a automaticky vás přihlásí. Svá hesla se tomuto produktu nemusíte bát svěřit. Jsou uložena v zašifrované podobě a nikdo jiný než Vy se k ním nedostane.Vaše hesla nejen ochrání, ale je možné ho použít i pro jejich generování. A víte čím je ještě tento produkt, respektive výrobce zajímavý? Využitím tohoto produktu ochráníte nejen svá hesla, ale také přispějete dobrovolnické organizaci pro ochranu krásných a ohrožených kapustňáků, kterou firma Lamantine Sofware podporuje. A proč právě kapustňáky? Hádejte, co slovo „lamantin“ ve francouzštině znamená? Jdete do toho?