Digitální bezpečnost #1: Jak na autentizaci a silná hesla
V příštích týdnech rozebereme také obávaná témata virů, trojanů či vyděračského ransomware, prozkoumáme, jak fungují podvodné stránky a e-maily snažící se vylákat přihlašovací údaje, a seriál zakončíme exkurzí do světa šifrování dat na discích i v průběhu jejich přenosu. Připoutejte se, bude to napínavá jízda a máte se na co těšit! Pokud se chcete stát expertem na toto téma, přihlašte se do naší nové akademie Digitální bezpečnost, ve které proniknete do hlav hackerů, vyzkoušíte si scamovací techniky na vlastní kůži a odejdete připraveni čelit hrozbám, na které můžete narazit v osobním i profesním životě.
Autentizace vs. autorizace – není to jedno a to samé?
Slovo autentizace (z řeckého authentikos – skutečný) je proces ověření identity toho, kdo se ke konkrétní stránce, službě či aplikaci na svém počítači nebo mobilním telefonu přihlašuje. Uživatelé si ji často pletou s autorizací. A to nejen proto, že samotné slovo zní podobě, ale také z toho důvodu, že autorizace obvykle na autentizaci navazuje. Zatímco autentizace řeší čistě a pouze identitu („potvrzuji, že toto je Jan Novák“), autorizace se váže k právům provést konkrétní úkony a operace („potvrzuji, že Jan Novák může poslat 5 tisíc korun svému příteli Janu Novotnému“).
Nejčastěji používaným způsobem, jak na internetu svoji identitu prokázat, byla po několik desetiletí kombinace uživatelského jména a hesla. Problém je, že právě tato metoda je vysoce náchylná vůči internetové kriminalitě. Krádeže digitální identity existují jednak fyzické, kdy si naivní uživatel přihlašovací jméno a heslo zaznamená třeba na štítek na monitoru; jednak digitální, kdy se útočníkovi podaří heslo odchytit při surfování na veřejné wifi.
Jak zvolit bezpečné heslo?
Vymyslet těžko prolomitelné heslo není žádná věda. Stačí, aby bylo dostatečně dlouhé (minimálně 8 znaků, optimálně spíše 12), obsahovalo číslice a speciální znaky, a naopak neobsahovalo snadno uhodnutelné řetězce, jako je vaše jméno, příjmení, rok narození a podobně. Zapomeňte také na jednoduché fráze typu „Heslo1234!“ či slovníkové fráze jako „Slunečnice1“.
Pokud konkrétní internetovou platformu programoval zkušený kodér, velmi pravděpodobně alespoň základní parametry bezpečného hesla pohlídá za vás. Pamatujte ale na to, že nikdy nevíte, jak konkrétní společnost, která web provozuje, s hesly zachází. Ukládají se s použitím bezpečného hashe (šifrovací metody) a tzv. přisolená (technika zamezující slovníkovým útokům)? U velkých hráčů na internetu s tím můžete s určitou mírou jistoty počítat, u malinkého internetového obchodu s dárkovým zbožím se sídlem ve vesnici, o které jste nikdy neslyšeli, bychom byli raději obezřetní.
Často opakované pravidlo bezpečnosti na internetu zní „nikdy nepoužívejte stejné heslo na více místech současně“. Zní univerzálně, jednoduše, chytře… a proto na něj velmi rychle zapomeňte. Situace je totiž o dost složitější.
Manažer hesel: Pro a proti
Typický uživatel internetu má založené profily či účty na desítkách, často až stovkách různých webových stránek a portálů. Není proto v lidských silách pamatovat si všechna hesla. Na scénu tak přicházejí takzvané password manažery, které lze chápat jako digitální klíčenky. Jakmile uživatel dostatečným způsobem ověří, že je tím, za koho se vydává, vyplní taková klíčenka heslo za něj. Možná znáte manažera hesel vestavěného přímo do prostředí oblíbeného prohlížeče Google Chrome, můžete ale využít i bezplatná řešení dalších hráčů na trhu, jako je Bitwarden, KeePassXC či placený LastPass nebo 1Password.
Pokročilejší variantou je použití zcela náhodně generovaného hesla, které jako uživatel vůbec neznáte. Je uložené pouze v klíčence, což pravděpodobnost prolomení skrze lidský faktor limitně snižuje na minimum. Zároveň se ale můžete dostat do situací, kdy heslo nutně budete potřebovat vědět a zadat, ale password manažer zrovna nebude k dispozici (třeba, když na dovolené utopíte telefon v moři).
Pragmatický přístup velí používat unikátní, silná hesla tam, kde existuje riziko finanční ztráty či přístupu útočníků k citlivým osobním údajům. Naopak u různých volnočasových webů a aktivit je nebezpečí vyplývající z užívání stejného nebo podobného hesla relativně nízké.
Multifaktorová autentizace hraje ve váš prospěch
Velké korporace, vlády i nadnárodní organizace jsou si samozřejmě rizik souvisejících s digitálním přihlašováním dobře vědomy. Protože internetová kriminalita roste a finanční škody taktéž, přistoupily národní státy i Evropská unie ke standardizaci takzvané MFA neboli vícefaktorové autentizace uživatele. Například při přístupu do online bankovnictví jde od loňského roku kvůli účinnosti směrnice PSD2 o povinnost. V praxi to znamená, že se uživatel musí při přihlašování do citlivých služeb prokázat alespoň dvěma (či ideálně třemi) metodami současně, a musí jít povinně o kombinaci následujících:
- Uživatel něco ví (např. zná heslo, PIN kód, gesto)
- Uživatel něco má (např. vlastní předem schválený telefon, má vygenerovaný jednorázový token v přidružené aplikaci typu KB Klíč či Google Authenticator)
- Uživatel něco je (do této kategorie spadají zejména otisky prstů a další biometrické údaje)
Samozřejmě, ani dvou- a vícefaktorová autentizace není stoprocentní, spoléhá totiž do jisté míry na ještě jeden faktor – ten lidský. Potenciální útočníci to moc dobře vědí, a útočná schémata tak nejčastěji obsahují zprávy od kamarádů, kteří prosí o přeposlání jednorázového kódu, který si „omylem“ nechali poslat na váš telefon. Tady je rada jednoduchá: Jednorázové kódy nikdy nikomu neposílejte, neříkejte a nezadávejte je nikam jinam než na přesně určené místo v aplikaci, které dobře znáte.
S čím můžete začít hned teď
Běžnému uživateli by se pravděpodobně při pročítání všech doporučení bezpečnostních expertů zamotala hlavu, konkrétní pravidla se navíc čím dál častěji mění v souvislosti s tím, jak jsou útočníci vždy o krok napřed. Vy ale určitě můžete provést následující kroky, kterými zajistíte základní úroveň své bezpečnosti na internetu:
- Do aplikací, které jakkoliv souvisejí s vašimi financemi, si nastavte silné heslo, které bude zároveň unikátní, tedy nebude použité nikde jinde. Nenastavujte si stejné heslo ani do dvou různých bank!
- Pokud používáte manažera hesel v Google Chrome (či jinde), ověřte, že u uložených hesel nesvítí varování o tom, že byla prolomena. Pokud ano, okamžitě je změňte za nová.
- Podobnou kontrolu proveďte i na stránce haveibeenpwned.com („Byl jsem pokořen?“), kam zadejte všechny e-maily, jež pro registraci do portálů na internetu využíváte. Aplikace odhalí, zda jste nebyli obětí některého z větších kybernetických útoků v minulosti.
- Na portálech a v aplikacích, které to technicky umožňují, zvažte zapnutí multifaktorové autentizace. Zamezíte tím zejména útokům ze zahraničí a ztrátě účtu při prolomení.
- Vyvarujte se zakládání účtů na portálech, které nevypadají důvěryhodně, mají texty psané velmi špatnou češtinou a podobně. Často může jít jenom o pokusy vymámit z vás heslo, které pak majitelé zkusí spolu s registračním e-mailem zadat do dalších služeb.
A to je pro dnešek vše. V příštím díle se podíváme na antivirovou ochranu, do té doby si určitě projděte aktuálně oblíbené kurzy digitálních dovedností dostupné zdarma na našem webu. A jestli jste náhodou registraci na portálu Digiskills zatím odkládali, můžete se do ní pustit právě teď. Vaše heslo bude u nás v bezpečí! :)