- 31. říjen, 2018
- Jiří Brázda
- Bezpečnost
Je Vaše heslo v TOP 100? Ne? Ani tak nemusíte být v bezpečí!
O důležitosti kvality používaných hesel toho bylo řečeno a napsáno tolik, že by se chtělo věřit, že nikdo dnes nebude používat vyloženě jednoduché heslo. Opak je však pravdou! Svědčí o tom například pravidelné reporty společnosti SplashData, která každý rok uveřejňuje žebříček 100 nejčastěji používaných špatných hesel. Tristní je mimo jiné zjištění, že ta opravdu nejhorší hesla se na žebříčku TOP 100 drží na předních příčkách již po několik let.
Pro zajímavost – sami si můžete prohlédnout TOP 100 žebříčky z let 2017, 2016, 2015 nebo 2014. Jak je vidět, heslo „123456“ je zřejmě nesmrtelné… O kvalitě hesel a jak s nimi pracovat jsem psal již před lety zde.
Řešením je MFA. Co to je?
Bohužel ani kvalitní heslo již dnes není dostatečnou zárukou zabezpečení Vaši účtů. Matematik by řekl, že bezpečné heslo je podmínka nutná, nikoliv však postačující. K oprávněnému pocitu bezpečí je nutné používat další bezpečnostní mechanismy. Nejčastěji se dnes jedná o nějakou formu tzv. MFA (Multi-factor authentication - vícefaktorová autentizace). Složitě znějící název znamená v principu to, že bezpečné heslo by mělo být nyní jen jedním z článků zabezpečení.
MFA využívá kombinaci 2 (2FA – Two-factor authentication) nebo více faktorů, kterými uživatel prokazuje svoji identitu. Určitě se s tím většina lidí setkala. Například pro přístup do elektronického bankovnictví použijete jméno a heslo, ale pokud chcete potvrdit platbu z tohoto účtu, přijde Vám na Váš mobilní telefon potvrzovací SMS s kódem, který pro potvrzení platby vložíte. Váš mobilní telefon se tedy v tomto případě použije jako druhý faktor autentizace.
V čem je podstata zvýšeného zabezpečení? I pokud by potenciální útočník nějakým způsobem zjistil Vaše jméno a heslo, dostane se do Vašeho elektronického bankovnictví, uvidí stav účtu, pohyby a podobně, ale bez Vašeho mobilního telefonu nemůže napáchat více škod (tedy odeslat platbu). A naopak pokud přijdete o mobilní telefon, má sice útočník nástroj, pomocí kterého by mohl získávat potvrzovací kódy pro platby, ale bez znalosti jména a hesla pro přístup do banky je mu to k ničemu…
Jaké faktory tedy může MFA používat? Jsou 3:
-
Uživatel něco ví (jméno, heslo, PIN…)
-
Uživatel něco má (mobilní telefon, platební kartu, hardwarový token…)
-
Uživatel něco „je“ – obecně to znamená použití biometrie (otisky prstů, hlas, sítnice či duhovka oka, struktura žil na zápěstí…)
Dále je třeba nastavit tento typ autentizace všude tam, kde hrozí potenciální ztráta. Jako příklad může sloužit příběh uvedený zde. Jednoduše – uživatel měl pomocí 2FA zabezpečeny výběry kryptoměn (měl nastaveno potvrzení heslem), jenže útočníci, kteří nějak prolomili jeho jméno/heslo, „vysáli“ jeho účet pomocí opakovaného nákupu a prodeje kryptoměny, které takto zabezpečené neměl…