Aliance FIDO (dříve známá jako Fast Identity Online) má v úmyslu eliminovat hesla. Na první pohled to nevypadá jako těžký úkol. Mezi bezpečnostními experty probíhá diskuze, že hesla jsou dnes už špatným a zastaralým způsobem autentizace.
Důkazy jsou zdrcující. Většina lidí navzdory doporučením používat dlouhá a složitá hesla, měnit je alespoň jednou za měsíc a vyhnout se použití stejného hesla pro více webů tak nečiní.
Masivní úniky
Nedávná zpráva společnosti Verizon o únicích dat (Data Breach Incident Report) konstatuje, že 63 procent všech úniků dat bylo umožněno tím, že se použila ukradená, slabá anebo výchozí hesla.
I když mohou být hesla složitá, problémem je jejich potenciální ukradení. Jen v posledních měsících došlo k řadě oznámení o katastrofických únicích hesel – 33 milionů z Twitteru, 165 milionů z LinkedInu, 65 milionů z Tumbleru, 360 milionů z MySpace, 127 milionů z Badoo, 171 milionů z VK.com a další.
Nick Bilogorskly, šéf hrozeb ve společnosti Cyphort, nedávno uvedl, že nyní existuje více než miliarda účtů, jejichž přihlašovací údaje se prodávají on-line. Přirovnal je ke stovkám milionů klíčů schopných odemknout bankovní úschovné boxy jen tak ležící na zemi.
„Abyste otevřeli libovolný box, stačí ho zvednout a najít shodu,“ popisuje. „Ve skutečnosti je to horší, protože většina lidí používá stejný klíč k otevírání své kanceláře, auta i domu.“
Díky automatizaci je dnes možné vyzkoušet klíče pro miliony zámků řádově za sekundy. Podle studie výzkumníků z vysoké školy Dartmouth College, Pennsylvánské univerzity a USC je situace ve zdravotnictví ještě horší.
Tamější personál se totiž většinou snaží obcházet hesla, aby se zabránilo jakémukoli zpoždění při používání zařízení nebo přístupu k materiálu – hesla se běžně píší na lepicí papírky.
Podle zprávy zní otázka takto: Chceš mé heslo, nebo mrtvého pacienta? – zdravotnický personál se jen snaží dělat svou práci tváří v tvář často omezujícím a nepochopitelným pravidlům pro zabezpečení počítačů.
Eliminace hesel
Řešení pro takový děravý „bezpečnostní“ standard spočívá v tom, zbavit se ho, uvádí FIDO. Avšak aliance, která sama sebe popisuje jako konsorcium nezávislé na oboru, musí udělat více, než jen přesvědčit experty, či dokonce poskytovatele webového obsahu. Musí přesvědčit samotné uživatele – tedy ty, jež znají a používají hesla a kteří mohou projevovat iracionální odpor.
Neexistuje nic takového jako dokonalost. Vždy půjde o závody ve zbrojení. „Webové stránky, které se snaží být oblíbené, nemohou nutit své uživatele k ničemu,“ popisuje Gary McGraw, technologický ředitel společnosti Cigital.
„Twitter má dvoufaktorovou autentizaci (2FA) již nyní, ale nemusíte ji používat. Jen byste měli. Můžete jen pěkně poprosit – jinak je to ekonomický střet zájmů.
Vishal Gupta, výkonný ředitel společnosti Seclore, se domnívá, že masy přijmou jinou formu autentizace, pokud bude rychlejší a jednodušší, ale přesto si uvědomuje, že to není možné vynutit a že to bude dlouhá cesta.
„Je to velmi podobné jako rozdíl mezi platebními kartami s čipem i PIN a staršími verzemi, které měly jen magnetický proužek. Aby se to nahradilo, tak se na tom bude muset podílet hodně podniků,“ vysvětluje.
Samozřejmě dokonce i Brett McDowell, výkonný ředitel aliance souhlasí s tím, že „nutit poskytovatele webových služeb něco dělat je předem ztracené“. Řekl však, že FIDO s téměř 250 členskými organizacemi se nesnaží nic prosadit silou.
Cílem této skupiny je zajistit, aby to bylo neodolatelné – „dodat takové řešení, které budou poskytovatelé sami chtít implementovat, protože to bude v jejich vlastním zájmu,“ popisuje.
Autentizační systém, který zlepšuje uživatelskou zkušenost, „bude sám o sobě pro poskytovatele služeb lákavý“. Útočník by potřeboval mít ve své ruce fyzické zařízení uživatele, aby se mohl pokusit o útok. To se pro útočníky s finanční motivací nehodí a není to ani moc použitelné.
Jaké jsou možnosti
Argument uživatelské zkušenosti prezentuje FIDO na svém webu. Existují podle ní dvě možné metody:
- UAF (User Authentication Standard) jednoduše vyžaduje, aby uživatel požádal o transakci a následně se prokázal pomocí biometrie, jako je například otisk prstu.
- U2F (Universal Second Factor) vyžaduje použít uživatelské jméno a heslo na lokálním zařízení. Uživatel následně dokončí transakci tak, že k počítači připojí USB klíč a stiskne na něm tlačítko.
McDowell uvádí, že rozdíl přinášející převratnou změnu spočívá v tom, že na rozdíl od hesel jsou autentizační pověřovací údaje vždy uložené v zařízení uživatele a nikdy se nikam nezasílají. Nemluvě o tom, že je to efektivní, protože dochází k eliminaci hrozeb odjinud – z jiných zemí i jiného města.
Problém s hesly není podle něj v samotných heslech, ale v tom, že jsou sdíleným tajemstvím, které znají nejen jednotliví uživatelé, ale také servery on-line poskytovatelů, odkud je ukrást je nejenže možné, ale dochází k tomu v počtech stovek milionů. To hackerům poskytuje „hesla zneužitelná pro další servery“.
McDowell prohlašuje, že UAF a U2F jsou mnohem rychlejší a pro uživatele pohodlnější, protože autentizace probíhá jednoduše „dotykem na snímač, pohledem do kamery nebo nošením náramku atd.“.
„Je to rozhodně rychlejší než hesla a mnohem rychlejší a pohodlnější než tradiční formy dvoufaktorové autentizace, jako jsou třeba jednorázová hesla (OTP).“
Možná rizika
Někteří experti ale uvádějí, že se zvyšuje riziko, že by útočníci mohli najít způsob, jak naklonovat biometrické vstupy, jako jsou skeny otisků prstů, hlasu či oční duhovky. „Já nechci poskytovat verzi své duhovky nikomu,“ uvádí McGraw.
McDowell uznává, že biometrické ověření lze podvést – nazývá to „prezentační útok“. Uvádí však, že standardy FIDO eliminují většinu rizik ze stejného důvodu, jak bylo už výše uvedeno – biometrické informace nikdy neopouštějí zařízení uživatele.
„Biometrický útok s využitím podvrhu proti pověřením FIDO lze uskutečnit jen tehdy, pokud by měl útočník fyzicky k dispozici zařízení uživatele,“ vysvětluje. „Nelze to udělat pomocí sociálního inženýrství, phishingu či malwaru.“
Gupta souhlasí, že to pravděpodobně velmi prodraží útoky a v důsledku toho zlepší zabezpečení. „Pokud nové formy autentizace dokážou zajistit, aby byly náklady na prolomení vyšší než hodnota získaná ze samotného průniku, budeme v bezpečí,“ vysvětluje.
Přesto si nikdo nemyslí, že hesla zmizí v dohledné době. Ačkoliv je McDowell velmi optimistický, co se týče standardu FIDO, je si vědom, že jeho přijetí bude trvat dlouho.
Poznamenává, že na trhu existuje více než 200 implementací s certifikací FIDO, které „překonaly jeho očekávání“.
Tato aliance také oznámila, že „Microsoft zaintegruje FIDO do systému Windows 10 za účelem autentizace bez použití hesla“ a že aliance také „pracuje s konsorciem WWW na standardizaci silné autentizace FIDO pro všechny webové prohlížeče a související webovou infrastrukturu“.
McDowell uznává, že „hesla se budou používat ještě dlouho. I když jsme na dobré cestě, abychom mohli vidět možnost použití autentizace FIDO ve většině aplikací a zařízení běžně používaných každý den, hesla budou v nadcházejících letech stále součástí těchto systémů.“
Přestože je McGraw příznivcem dvoufaktorové autentizace a jeho firma ji od svých zaměstnanců vyžaduje, připouští, že ve skutečnosti „nic jako dokonalost neexistuje. Vždy to budou závody ve zbrojení.“
Tento příspěvek vyšel v Security Worldu 4/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU