Kampaň za eliminaci hesel probíhá a roste téměř deset let. Existují dokonce i některá prohlášení, že se to stane letos, nebo alespoň, že by se to mělo stát letos.
Můžete však zůstat v klidu. Brett McDowell, výkonný ředitel aliance FIDO (Fast IDentity Online), je vášnivým zastáncem eliminace hesel. Říká, že se ten den blíží, protože se podařilo vytvořit „novou generaci technologie autentizace,“ která je do značné míry založená na biometrii, a dochází k „masivní spolupráci mezi stovkami společností,“ na definování standardů pro tuto technologii.
Cílem neziskové aliance FIDO vytvořené v roce 2012 je nahradit hesla tím, co nazývají „otevřenou, škálovatelnou a interoperabilní sadou mechanismů,“ pro bezpečnou autentizaci.
McDowell však opakovaně uvedl, že se hesla „budou vyřazovat pomalu“, takže je nepravděpodobné, že by v dohledné době úplně zmizela -- rozhodně se tak nestane ještě v tomto roce.
Existuje pro to celá řada důvodů, přestože jsou bezpečnostní problémy s hesly dobře známé a dobře zdokumentované. Phil Dunkelberger, výkonný ředitel společnosti Nok Nok Labs, to charakterizuje jako „fundamentální narušení paradigmatu uživatelských jmen a hesel.“
Hesla podle něj ze své podstaty jsou neschopná řešit případy použití v moderní společnosti.
Samozřejmě to není jen technologie, která by usnadnila útočníkům kompromitaci. Uživatelé to také často až absurdně usnadňují. Používají krátká a jednoduchá hesla, která ani nevyžadují počítač ke svému uhádnutí -- například „admin,“ „password,“ „12345,“ atd.
Lidé budou i nadále používat stejné uživatelské jméno a heslo pro více webů, protože si jich nedokážou zapamatovat několik desítek.
Nejnovější zpráva společnosti Verizon o incidentech úniků dat (DBIR, Data Breach Incident Report) konstatuje, že 63 procent všech úniků dat bylo umožněných použitím ukradených, slabých nebo výchozích hesel.
Přestože uživatelé mohou mít silná hesla, příliš mnoho z nich se jich vzdá v rámci útoků sociálního inženýrství. Přesto jsou hesla integrální součástí autentizačních systémů a většina populárních webů je stále používá, takže bude trvat poměrně značný čas, než se je podaří nahradit, podotýká McDowell.
Podobně to popisuje i Scott Simkin, hlavní manažer skupiny zajišťující služby cloudu threat intelligence a zabezpečení ve společnosti Palo Alto Networks -- „Musíme změnit desítky let staré systémy a zvyky. Oboru bude trvat roky, než se to předělá.“
Kromě toho v bezpečnostní komunitě existují varovné hlasy upozorňující, že bychom si měli dávat pozor na to, co si přejeme. Upozorňují, že kyberzločinci vždy dokázali najít způsoby, jak obejít jakékoliv vylepšení zabezpečení.
Problémy s biometrií
Přestože ve srovnání s hesly je biometrické identifikační údaje (otisky prstů, skeny duhovky a rozpoznávání hlasu) těžší zkompromitovat, nemusí být nové metody všelékem. Pokud totiž útočníci najdou způsob, jak je ukrást či podvrhnout, bude je samozřejmě oproti heslům mnohem těžší změnit či zaktualizovat.
Ve skutečnosti se již objevilo více zpráv o oklamání biometrie. Společnost FireEye ohlásila více než před rokem, že data otisků prstů lze ukrást ze zařízení platformy Android vyrobených společnostmi Samsung, Huawei a HTC.
Je to kvůli tomu, že „snímač otisku prstu je na některých zařízeních chráněný jen systémovým oprávněním namísto rootu, takže je snadnější se na něj zaměřit a nepozorovaně získávat data otisků kohokoli, kdo senzor využívá.“
Magazín Japan Times zase nedávno oznámil, že tým japonského Národního institutu informatiky (NII) zjistil, že dobrou digitální fotografii lidí ukazujících známý symbol míru ve tvaru prstů do písmene V lze zneužít k odzicení jejich otisků prstů, viz článek „Nové hrozby pro vaše osobní data“ v tomto vydání Security Worldu.
Výzkumníci také oznámili, že fotografie s vysokým rozlišením očí osob umožňují útočníkům vyrobit „kontaktní čočky“ s kresbou duhovky, která je už akceptovaná při autentizaci v reálných systémech.
A dokonce už proběhly i reálné ukázky toho, jak autentizační systémy dokáže oklamat zmanipulovaný záznam hlasu osoby.
Zastánci biometrické autentizace nepopírají nic z toho, co je popsané výše, ale prohlašují, že jednou ze zásad úspěšného využití je, aby biometrická data z těchto systémů zůstávala jen v uživatelských zařízeních, jako je to například u systému Apple Touch ID.
Jak McDowell poznamenává, jeden z mnoha problémů s hesly je, že dochází ke sdílení jejich tajemství -- neexistují jen v zařízeních uživatelů, ale posílají se také na webový server, který je porovná s tím, co je uložené v databázi.
Když pak dojde ke kompromitaci takového serveru, dojde najednou k odcizení milionů hesel, přestože uživatelé neudělali žádnou chybu.
Jak ale uvádí McDowell, riziko oklamání biometrie je „nepatrné“ ve srovnání s hesly. Protože biometrická oprávnění nikdy neopouštějí zařízení, „musí útočník ukrást telefon nebo počítač, aby se mohl alespoň pokusit o útok,“ tvrdí McDowell a dodává: „Pro finančně motivované útočníky to není životaschopný model.“
James Stickland, výkonný ředitel společnosti Veridium, s tím souhlasí. „Můžete si koupit sadu z Číny za deset dolarů pro zkopírování a extrakci otisku prstu. Už se ukázalo, že to funguje pro různé snímače otisků -- počínaje Touch ID až po zařízení využívaná indickou vládou.
Je to problém pro téměř všechny snímače kromě těch nejdražších,“ vysvětluje Stickland. Je to však podle něj problémem pouze tehdy, když má útočník přístup k zařízení uživatele, takže je časové okno pro útok velmi malé.
Samozřejmě, že ne všechny biometrické údaje zůstávají jen v zařízení uživatele. Některé z nich, jako například otisky prstů milionů lidí, kteří pracují nebo pracovali pro vládu, nebo které jsou odebrané na základě právních předpisů či vynucování zákona, budou uložené na serverech.
Joe Fantuzzi, výkonný ředitel společnosti RiskVision, upozorňuje, že to může vést ke stejným rizikům, jaké trápí zdravotnictví z důvodu uchovávání údajů o pacientech. „Integrace biometrických informací zákazníků se stane ve všech firmách lukrativním cílem pro útoky a ransomware.“
Vícefaktorová autentizace
Obhájci „smrti“ hesel však tvrdí, že dalším klíčem k bezpečné autentizaci je to, na co upozorňují bezpečnostní profesionálové léta: vícefaktorová autentizace.
Jinými slovy se nepokouší použít biometrii jako úplnou jedinou náhradu hesel. Dunkelberger, který uvádí, že aliance FIDO používá autentizační technologii vyvinutou jeho firmou, vysvětluje, že základní myšlenkou „není nahradit hesla biometrií, ale nahradit hesla silnějším bezpečným signálem libovolného druhu.“
McDowell souhlasí. Uvádí, že mnoho implementací FIDO využívá pro autentizaci biometrii, ale že specifikace nejsou na použité technologii závislé.
Jsou to implementátoři, kdo se rozhoduje, jaké mechanismy bude podporovat, vysvětluje McDowell. Může to být „lokální kód PIN pro ověření uživatele, nebo biometrie, pokud jí dává přednost.“
Uvádí, že specifikace FIDO „umožňují použít autentizátory vestavěné v zařízení, jako je biometrie a PIN, nebo externí dvoufaktorové autentizátory, jako jsou tokeny a nositelná elektronika.“
„Jedinou současnou obranou je vícefaktorová autentizace s použitím dvou či více biometrických údajů -- například otisk prstu a obličej nebo hlas. Otisk prstu a dlouhý náhodný kód PIN by mohlo být dostatečné řešení,“ souhlasí Stickland.
Uvádí, že jeho společnost vytvořila autentizační nástroj, který používá kombinaci hardwaru, bezpečnostních certifikátů, biometrických údajů a další informace k ověření, a to nejen biometrie, ale také veškeré komunikace mezi vzdáleným zařízením a serverem, takže dochází nejen k ověření, zda je uživatel správný, ale také zda je správné i hardwarové zařízení používané uživatelem.
Podle Simkina by se měla vícefaktorová autentizace, pro kterou je v současné době řada možností, využívat pro všechny důležité zdroje a aplikace. Čím více času a zdrojů podle něj musejí útočníci použít, tím nižší je riziko, že dojde k úspěšnému napadení.
Cesta k jednoduchosti
Stephen Stuut, výkonný ředitel společnosti Jumio, upozorňuje, že organizace stále budou muset vyvažovat bezpečnost s vhodností, protože komplikace vznikající v procesu přihlašování k serveru mohou uživatele odradit.
Firmy by se měly podle Stuuta méně zaměřovat na jednu technologii, ale spíše na správnou kombinaci technologií, která vyhovuje firemním požadavkům a potřebám zákazníků.
„Přidání příliš mnoha kroků k procesu autentizace může zvýšit počet neúspěšných relací, zejména v oblasti mobilních zařízeních, kde jsou časové intervaly pro udržení pozornosti krátké,“ dodává Stuut.
Vše zatím ukazuje, že hesla.....
Tento příspěvek vyšel v Security Worldu 1/2017. Oproti tomuto příspěvku je podstatně obsáhlejší a přináší spoustu dalších tipů, jak vylepšit firemní IT.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU