Bezpečná hesla v čase keyloggerů - všechno jinak

Bude jako heslo při zpracování záznamů keyloggeru identifikováno spíše m7ruxM0Ipw7B nebo věta „Honzo, mohli bychom jít na pivo, ale až zítra večer, dnes nemůžu."?


Nedávná analýza kompromitovaných účtu na Hotmailu kázala, že mezi použitými hesly byl na prvním místě řetězec 123456 (viz tento článek). Odborníci si samozřejmě mohou ťukat na čelo nad chováním uživatelů. Andreas M. Antonopoulos nicméně napsal pro americký NetworkWorld komentář, podle něhož je současný problém hlubší. Ani všemožné dosud osvědčené „best practices“ pro volbu hesel a nakládání s nimi (nepsat si hesla, neukládat je ve webovém prohlížeči, volit náhodné řetězce) podle něj situaci neřeší.

Antonopoulos se domnívá, že v době keyloggerů a trojských koní je samotný systém přístupu založený na kombinaci uživatelského jména a hesla potenciálně rizikový. Z pohledu keyloggeru prostě neexistuje bezpečné heslo a jeho volba je irelevantní. Především firmy by měly ve svých systémech od tohoto konceptu upustit a přejít k vícefaktorové autentizaci ihned, jakmile budou tato řešení pro ně cenově dostupná a jednodušeji nasaditelná/použitelná.

Do té doby stojí za to pravidla pro nakládání s hesly revidovat. Antonopoulos uvádí, že v jeho firmě například není zakázáno si hesla zapisovat, pokud jsou umístěna v uzamčené zásuvce. Pak lze předpokládat, že lidé nebudou „pro jistotu, aby nezapomněli“ používat jako heslo jméno svého psa. Hesla mohou být dlouhá a pak mohou klidně tvořit celé věty. Ba naopak: keylogger (respektive ten, kdo bude sledovat jeho výsledky) bude spíše lapat heslo řetězec m7ruxM0Ipw7B. Větu „Honzo, mohli bychom jít na pivo, ale až zítra večer, dnes nemůžu“ vůbec jako potenciální heslo nevyhodnotí. Záznamy z keyloggerů dokonce ani nemusí být zpracovány ručně, automaticky lapají výsledky, které nepatří do přirozeného jazyka. Pokud jsou dnes keyloggery na koncových bodech největším rizikem, pak se požadavky na bezpečnost hesla rázem mění. Dokonce i pokud je kromě keyloggeru v počítači i malware, který detekuje např. návštěvu webového e-mailu nebo bankovního serveru a předá data k lidské analýze, i pak bude útočník nejspíš zmaten (asi si bude myslet, že uživatel zrovna paralelně s někým komunikoval přes ICQ apod.). Tolik k požadavku na „komplexnost“ hesla a použití speciálních znaků.

No a poslední věc, klasické doporučení neukládat data do prohlížeče. Pokud jsou dnes hlavním rizikem keyloggery, potom heslo uložené v prohlížeči, které se doplní automaticky, naopak představuje vyšší bezpečnost. Nejhorší je heslo psát z klávesnice, lepší je nějak zabezpečený přenos přes schránku.

Zkrátka, než dumat o absolutní bezpečnosti hesel, je lepší si uvědomit aktuálně nejvyšší rizika, nejpoužívanější metody útoků i způsoby, jak se dnes s hesly pracuje, a tomu přizpůsobit celkový přístup – i kdybychom měli porušovat staré osvědčené zásady.

 

Poznámka: Samozřejmě je otázka, co z toho platí i pro češtinu (mají keyloggery zabudovanou i analýzu češtiny?), kde se smějí používat hesla s diakritikou a mezerami (jinak je text asi ihned identifikován jako nepatřící do přirozeného jazyka) apod.

 











Komentáře