Nejlepší, co lze říci o používání hesla pro autentizaci, je, že je to lepší než nic. V případech intenzivně sledovaných narušení bezpečnosti jako například u společnosti Equifax však došlo k vyzrazení milionů hesel a identifikačních čísel uživatelů, takže i tato slabá pochvala je v důsledku toho zpochybněna.
Pokud spotřebitelé nepředpokládají, že minimálně některá z jejich hesel byla vyzrazená, vytvářejí si jen nebezpečně falešný pocit bezpečí.
Společnosti, které stále spoléhají na autentizaci pouhým heslem pro přístup k důležitým zákaznickým a firemním datům, dělají totéž. Ochrana pouhým heslem je už navždy nedostatečná a každá organizace, která se na ni spoléhá, vystavuje své aktivity i pověst riziku.
Dokonce i v případě, že nedojde k narušení bezpečnosti, je povědomí o slabinách ochrany heslem i díky případu Equifax mnohem vyšší. Pokud takto chráníte data a údaje zákazníků, tak si dvakrát rozmyslí, zda vám budou v této věci důvěřovat.
Alternativy jako dvoufaktorová (2FA) či vícefaktorová (MFA) autentizace, analýza chování a biometrie jsou podnikům k dispozici už určitou dobu, ale míra jejich nasazení je stále nízká. Scenérie rostoucích hrozeb a povědomí spotřebitelů snižují překážky pro zavádění těchto možností – těmito překážkami byly převážně odpor uživatelů, složitost a návratnost investic.
Všechny tyto alternativy lze přitom zkompromitovat – a některé mnohem snadněji než jiné. „Veškerá autentizace, ať už jde o otisky prstů, o skenování obličeje nebo duhovky – všechny tyto způsoby jsou nakonec jen bity a bajty a jsou v podstatě sdíleným tajemstvím,“ vysvětluje Dustin Heywood, hlavní konzultant v IBM X-Force Red. Protože se tato sdílená tajemství ukládají digitálně jako heslo, je teoreticky možné je ukrást. Rozdíl je v tom, že je to těžší.
Záměrem je, aby bylo tak obtížné získat přístup, že se většina kybernetických zločinců bude zaměřovat na jiné, snadnější cíle. Mnoho společností používá kombinaci metod autentizace v závislosti na riziku, zohlednění uživatelů a hodnoty chráněných dat, aby se tak dosáhlo rozumně očekávané bezpečnosti.
Hodnota silné autentizace
I nejlépe navržené autentizační plány organizací a spotřebitelských webových stránek mohou být neúspěšné kvůli odporu či nezájmu uživatelů. Jedním z mála pozitivních důsledků nedávných pozorně sledovaných narušení bezpečnosti je, že spotřebitelé začínají chápat hodnotu silné autentizace a zdá se, že jsou ochotni akceptovat určitou míru jejího nepohodlí.
Jessy Irwin, nezávislá bezpečnostní výzkumnice, se domnívá, že tento trend začal s narušením bezpečnosti společnosti Anthem počátkem roku 2015. „Spotřebitelé se začali obávat úniku zdravotních informací.“ V případu Equifaxu tyto obavy zahrnuly i finanční záležitosti.
Přestože spotřebitelé mohou ochotněji akceptovat složitější autentizaci za účelem ochrany zdravotních a finančních údajů, ne každý poskytovatel služeb takovou možnost nabízí.
„Mnoho finančních domů si myslí – v důsledku toho, že se daná záležitost řešila velmi dávno –, že jsou bezpečnostní otázky spojené s účtem druhým faktorem, ale to je naprostý omyl,“ upozorňuje Irwin.
„Lidé chtějí další vrstvu ochrany a často nemají možnost nic takového zapnout. Musejí se obrátit na službu zákazníkům nebo na bankovního zástupce či na řetězec a musejí o takové funkce v některých případech dokonce žádat.“
Absence mechanismu pro vyžádání dalších úrovní zabezpečení vede některé společnosti k přesvědčení, že nikdo nic takového vlastně nepožaduje. „Je třeba udělat hodně práce. Lidé vědí, že něco potřebují, ale nevědí, co to je. Když zjistí, co to je, někdy nemají možnost si to zapnout. Je to opravdu obtížná bitva,“ popisuje Irwin.
Obavy z konkurence některým společnostem brání v tom, aby implementovaly jiný proces autentizace, který by mohl ztížit přístup k jejich službám. „Pokud jde o spotřebitele, obávají se negativního vlivu na uživatelskou zkušenost,“ vysvětluje Robert Block, hlavní viceprezident pro strategii identity u společnosti SecureAuth, která je poskytovatelem řešení autentizace.
„Velká část toho je vyvolaná nedostatečným pochopením, že existují způsoby realizace, které nijak výrazně situaci nekomplikují, ale přitom zajistí potřebné vlastnosti,“ tvrdí Block.
„Spotřebitelé začínají být prozíravější. Říkají: ‚Když s vámi budu obchodovat, ochráníte mé přihlašovací údaje? Nabízíte 2FA? Pokud ano, jakou kontrolu nad takovými metodami mám?‘ Myšlenka, že jsou uživatelé líní a nechtějí si komplikovat svou uživatelskou zkušenost, je pravděpodobně mýtus, protože vidíme vliv narušení bezpečnosti,“ odhaduje Block.
Výzvou pro zavedení silnější autentizace není sama technologie. „Týká se to lidí, procesů a kultury,“ prohlašuje Block. „Můžete k jednacímu stolu dostat vhodné lidi, abyste se rozhodli, co je přijatelné riziko? Co budou podporované případy použití? Kolik faktorů se bude podporovat a jak se tyto faktory budou poskytovat konečnému uživateli?“
Block zdůrazňuje, že k zajištění přijetí uživateli je potřebná flexibilita. „U čehokoliv, co můžete tolerovat z hlediska rizika, se snažte být co nejvíce flexibilní, aby měli koncoví uživatelé pocit, že je kontrola v jejich rukách.“
Nebezpečí hesel
Pro hackery je příliš snadné prolomit nebo ukrást hesla a uživatelská ID, než abyste se spoléhali jen na ně. Platí to i v případě, když dodržujete rady, abyste je uchovávali v bezpečí.
„Existuje mnoho bezpečnostních požadavků, které způsobují, že jsou hesla slabší, nikoliv silnější,“ upozorňuje Irwin. „Mnoho lidí si myslí, že pokud často mění hesla, napomáhají tak dobrému bezpečnostnímu chování. Není tomu ale tak. Mnoho pravidel pro vytváření silných hesel je zastaralých, takže tak útočníkům usnadňují prolomení hesla.“
Pravidla, která Irwin zmiňuje, se široce využívají a vycházejí z dřívějších doporučení standardizačních organizací, jako je například NIST (Národní institut standardů a technologií). NIST však nedávno tato pravidla revidoval, aby lépe odpovídala realitě dnešních hrozeb, ale většina organizací je ještě nezavedla.
„Problém s heslem není samotné heslo. V určitých ohledech může být zesílené,“ říká Heywood.
„Jádrem problému je, že je heslo sdíleným tajemstvím. Lidé používají hesla opakovaně pro více webů, takže se spoléháte nejen na bezpečnost webu, se kterým pracujete, ale také na bezpečnost všech ostatních webů, kde jste dané heslo používali. Tajemství je potřeba udržovat různorodé.“
Hesla se transformují hašovacím algoritmem, který by mělo být obtížné vykonat obráceně. Heywood upozorňuje, že příliš mnoho webů používá hashovací algoritmy, které jsou staré desítky let a jsou zkompromitované.
Pomocí dnešních vysokorychlostních počítačů je pro zločince poměrně snadné zjistit hesla z hashů ukradených při průlomu. „Nyní existují frameworky, které dokážou rychle ověřit, zda dané přihlašovací údaje neodpovídají některým narušením bezpečnosti webů, nebo dokonce v reálném čase jiným webům.“
Aby se minimalizovalo riziko zkompromitování hesla, používá mnoho lidí databáze hesel, které jsou zašifrované a obsahují náhodná hesla s velmi dlouhými řetězci, vytvořená pseudonáhodnými generátory.
„Některé pseudonáhodné generátory byly vadné v důsledku špatných implementací, jsou však lepší než nic,“ prohlašuje Heywood.
Dvoufaktorová autentizace
Požádat uživatele o další identifikační informace kromě hesla se stalo pro účely bezpečné autentizace minimálním standardem. Tato informace je obvykle něco, co může znát jen onen člověk, když musí odpovědět na bezpečnostní otázku, jako je například „jméno vašeho prvního psa“.
Může to být také ověřovací kód zaslaný prostřednictvím SMS do mobilního telefonu nebo do tokenového zařízení – něco, co uživatel vlastní.
„Bezpečnost“ je zde relativní pojem. V případě narušení bezpečnosti společnosti Equifax došlo u některých uživatelů také k vyzrazení odpovědí na bezpečnostní otázky. Některé osobní informace se dají snadno zjistit – například příjmení matky za svobodna a místo narození osoby.
Zasílání ověřovacího kódu prostřednictvím SMS není o mnoho lepší. Nové pokyny NIST varují, že hackeři mohou tyto údaje získat.
Je to částečně způsobeno vlastní chybou zabezpečení protokolu SS7 (signalizační systém č. 7), což je protokol vyvinutý v roce 1975, který je základem pro výměnu zpráv přes telefonní síť.
Hacker, který tuto chybu zabezpečení zneužívá, má přístup ke všem síťovým přenosům.
Únosy karet SIM se také množí, uvádí Irwin. „Sociální inženýr zavolá linku služby zákazníkům mobilního operátora a předstírá, že je jiná osoba, která potřebuje nastavit nový telefon nebo udělat změny v účtu. Následně získá kontrolu nad autorizací zařízení a může zachytit SMS kódy,“ varuje.
Irwin poznamenává, že se tento typ útoku zaměřuje na lidi, o nichž hacker ví, že mají něco cenného, jako jsou například bitcoinový účet nebo přístup k důležitým údajům na vysoké úrovni.
Použití tokenového zařízení nebo tokenové aplikace pro chytrý telefon, která zobrazuje ověřovací kód, je bezpečnější.
„Nemusíte spoléhat na další mechanismus při získávání ověřovacího kódu. Někdo by musel získat přístup ke konkrétnímu tokenu, který máte, aby dokázal napadnout druhý faktor. To už je pro něj hodně práce,“ říká Irwin. „Tokeny jsou nejsilnější a nejlepší způsob doručování kódů 2FA.“
Problém s tokeny pro spotřebitelské účely je, že lidé odmítají jejich používání, protože to vyžaduje samostatné zařízení a vlastní aplikaci. „Tokeny mohou vyžadovat trochu činosti navíc,“ konstatuje Irwin.
Je ale přesvědčená, že pokud by spotřebitelé lépe pochopili výhody a dodavatelé tokenových aplikací by je pro ně lépe přizpůsobili, používaly by se více. Prozatím se tokeny využívají hlavně k doručování ověřovacích kódů v podnikových prostředích.
Nehledě na to, zda jde o token nebo chytrý telefon, požadavek vlastnictví zařízení pro přístup limituje škody, které může počítačový zločinec způsobit.
„Když jediným způsobem, jak lze zjistit kód, je držení zařízení, je těžší – téměř nemožné – útočit hromadně, uvádí Harry Sverdlove, spoluzakladatel a technologický ředitel společnosti Edgewise Networks.
Multifaktorová autentizace
Myšlenkou stojící za MFA je ztížit hackerům práci při získávání přístupu k účtům jiných osob. MFA obvykle vyžaduje uživatelské jméno a heslo, něco, co znáte, a něco, co vlastníte.
„Pokud se používá více faktorů a mám vaše heslo, začnu hledat někde, kde byl správce líný a více faktorů nepoužil,“ vysvětluje Heywood. „MFA není všelék, ale je velmi efektivní při blokaci většiny útoků s výjimkou specializovaného útočníka.“
MFA je obvykle proces s etapami, kdy se uživatel požádá, aby poskytl další identifikační faktory, pokud vzniká nějaké podezření. Často se pojí s autentizací založenou na rizicích (viz níže). Pokud se například uživatel pokusí přihlásit z nového zařízení nebo chce získat přístup k více chráněné oblasti.
„Rutinní kontrola mého zůstatku v bance není důvodem k obavám a nevyžaduje další faktor,“ uvádí Heywood. „Pokud se ale pokusím převést deset milionů dolarů do cizí země, zeptají se mne na mého prvorozeného a řadu dalších otázek, jako je například krevní skupina atd.“
Od 1. ledna do 5. října minulého roku se uskutečnilo 88 procent případů autentizace zpracovaných společností SecureAuth pomocí jednoho faktoru, uvádí Block. „Proč byste měli zatěžovat uživatele druhým faktorem pokaždé?“ vysvětluje.
„Musíme zajistit všudypřítomnost MFA,“ tvrdí ale Sverdlove. Nejspolehlivější schéma vyžaduje podle něj něco, co uživatel ví (heslo, odpovědi na bezpečnostní otázky), něco, co máte (smartphone, tokenové zařízení), vaše místo a něco, co jste (biometrie, behaviorální analytika).
Přihlašování přes sociální sítě
Velké weby sociálních sítí, jako jsou Google+, Facebook, Twitter a Instagram, mají obecně lepší ochranu uživatelských jmen a hesel než většina ostatních služeb. Nabízejí také 2FA, přinejmenším jako možnost, a používají analytické nástroje k odhalení případných neoprávněných pokusů o přihlášení, které by mohly vyvolat požadavek dalších identifikačních informací.
Některé weby a mobilní aplikace umožňují lidem přihlásit se pomocí svých účtů sociálních sítí často jako variantu ke standardní autentizaci pomocí hesla.
Uživatelé to považují spíše za pohodlí než za zvýšení zabezpečení, ale weby a poskytovatelé webových služeb tak získávají úroveň bezpečnosti autentizace, které by jinak sami nedokázali pomocí vlastních prostředků dosáhnout.
Weby sociálních sítí a poskytovatelé služeb identity používané pro přihlašování pomocí sociálních sítí poskytují personál a technologie k vytvoření silných autentizačních vlastností s využitím moderní ochrany uživatelských identit, uvádí Jim Kaskade, výkonný ředitel společnosti Janrain, která nabízí sadu řešení pro identifikaci zákazníků a správu přístupu pomocí sociálních sítí. „Stojíte na ramenech obrů, kteří vložili do bezpečnosti obrovské investice,“ prohlašuje.
Velkým rizikem souvisejícím s přihlašováním pomocí sociálních sítí je, že všechny weby, ke kterým uživatel přistupuje, řekněme s využitím služeb Googlu, budou kompromitované v okamžiku, kdy dojde ke zneužití daného účtu Googlu.
Útočníci mohou převzít kontrolu nad účtem sociální sítě mnoha způsoby: sociální inženýrství, vytvoření falešného profilu nebo zakoupení uživatelského ID a hesla na dark webu. Uživatelé sice mohou toto riziko zmírnit, pokud si zapnou volitelné autentizační funkce jako například 2FA, ale většina lidí to nedělá.
„Přihlašování přes sociální sítě je zajímavé, protože se k tomu používá autorizace silným otevřeným protokolem OAuth,“ upozorňuje Irwin. „Dělají dvě věci: Propojí váš účet sociálních sítí se službami, u kterých nechcete, aby se toho váš poskytovatel sociálních sítí účastnil, zejména pokud existuje možnost cílených reklam.“
Dodává, že společnosti poskytující sociální sítě již mají o lidech velmi mnoho informací, které lze použít různými způsoby, jež by lidé nečekali. Poskytnout jim další informace prostřednictvím přihlašování využívajícího sociální síť nakonec vede k tomu, že tyto firmy vědí o veškerých vašich vztazích na internetu, „a to není dobré – spíše je to trochu děsivé“, shrnuje Irwin.
Sama ale považuje možnost přihlášení přes sociální sítě v některých případech za cenné. „U nákupních webů a webů, kde uživatelé nevyužívají kvalitní uživatelská jména a hesla, odvede přihlášení přes sociální sítě velké množství práce, které by musel udělat sám uživatel. To je úžasné, ale také to způsobuje, že uživatelské jméno a heslo takové sociální sítě jsou pro hackery velmi, velmi cenné,“ dodává.
Irwin také upozorňuje, že rodinní příslušníci, domácí partneři nebo přátelé, kteří se na příslušného uživatele zlobí, někdy zneužijí přihlášení uživatele do sociálních sítí, aby mu udělali problémy. „To by mohla být katastrofa.“
Kaskade věří, že rizika spojená s přihlašováním pomocí sociálních sítí mohou zmírnit společnosti, které ho zavedou rozumným způsobem.
Například organizace může používat přihlášení pomocí sociálních sítí jako součást schématu „lehké“ autentizace, řekněme přes Facebook pro jednoduché služby, jako je např. stahování chráněného obsahu, a pak vyžadovat vyšší úroveň zabezpečení (např. MFA) pro přístup k citlivějším informacím jako například obsluha běžného účtu.
Poznamenává, že dokonce i banky a poskytovatelé zdravotní péče – vysoce regulované organizace, pokud jde o ochranu údajů jednotlivců – začínají používat přihlašování pomocí sociálních sítí tam, kde to dává smysl.
Dělají to tak, aby lidem usnadnily život a zbavily je zátěže spojené s registrací a přihlašováním, ale samozřejmě doplňují přihlášení přes sociální sítě pomocí dalších prostředků identifikace.
Některé produkty pro přihlašování přes sociální sítě například přidávají zabezpečení tak, že organizacím umožňují nastavit pravidla týkající se chování uživatele. „Pokud se někdo přihlásí z České republiky a o několik minut později z Blízkého východu, dojde na základě jednoduchých pravidel k vynucení MFA,“ vysvětluje Kaskade.
Biometrie
Pojem „biometrie“ zahrnuje řadu autentizačních metod, které kontrolují nějaký fyzický atribut osoby – obličeje, oční duhovky, srdečního tepu, vzoru žil, otisků prstů a podobně – za účelem ověření identity. Tyto atributy jsou pro jednotlivce jedinečné, což má pro autentizační účely své výhody i nevýhody.
Jednou z výhod biometrie je, že je pro uživatele pohodlná. Přitisknutím prstu nebo oskenováním obličeje mohou uživatelé přistupovat ke svým zařízením nebo službám, aniž si musejí pamatovat heslo nebo odpovědi na bezpečnostní otázky.
Nevýhodou je, že biometrie zdaleka není dostatečně spolehlivá. Třeba nejnovější technologie od Applu pro rozpoznávání obličeje byla podvedená pomocí kopie obličeje vytištěné na 3D tiskárně. Méně pokročilou technologii pro rozpoznávání obličeje lze oklamat fotkou oprávněné osoby.
Biometrické údaje osoby jsou uložené jako digitální profil, který lze ukrást. Jakmile se to stane, je to pro autentizaci nepoužitelné. „Nejsem fanouškem hesel, ale můžete je změnit,“ vysvětluje Sverdlove. „Co se stane, když dojde ke krádeži otisků prstů, tváře nebo DNA? Nic z toho u sebe nezměníte.“
Krádež biometrických dat se považuje za náročnější než krádež nebo prolomení hesla a riziko, že by se zloděj zaměřil na biometrické údaje jednotlivce, je nízké. Riziko však výrazně roste, pokud zloděj může zaútočit na mnoho profilů.
„Miliony otisků prstů uložených v zúčtovacím středisku se stanou cílem,“ varuje Sverdlove. „Jakmile dojde ke kompromitaci, nebude existovat způsob nápravy.“
Sverdlove doporučuje, aby firmy nevytvářely jedno úložiště biometrických dat. „Učte se z minulosti: Žádná jedna databáze obsahující vše,“ varuje.
Autentizace založená na riziku
Hesla, MFA, přihlašování přes sociální sítě a biometrie – vše přenáší břemeno prokázání identity na uživatele. Autentizace založená na riziku umožňuje organizacím přebírat odpovědnost za zajištění totožnosti.
Není to nový koncept. Například vydavatelé platebních karet používali analýzu založenou na riziku k detekci podvodů tak, že hledali vzorce neobvyklých transakcí.
Metriky zařízení nebo behaviorální biometrie jsou jedním z aspektů autentizace založené na rizicích zaměřené na eliminaci hesel. Software analyzuje způsob psaní na klávesnici, interakce s obrazovkou, IP adresu zařízení nebo geografickou polohu a srovnává tato data a chování s konkrétním uživatelem.
Tento profil využití se vytváří v průběhu času prostřednictvím strojového učení, přestože se data, jako jsou například IP adresa a poloha, zjišťují přímo ze sítě.
„Vy jako organizace můžete definovat, co je, nebo není přijatelná geolokace,“ uvádí Block. „Začínáme mapovat, odkud vy jako jednotlivec pocházíte. Zaznamenáváme místo, typ prohlížeče vašich zařízení, telefonní čísla, která používáte.“
To softwaru umožňuje určit, zda volání pochází od známého operátora v rámci lokality. V kombinaci s profilem užívání zařízení osoby může systém autentizace založený na rizicích vykonat přiměřeně přesné rozhodnutí o tom, zda udělit přístup bez nutnosti zadání hesla.
„Váš koncový uživatel si myslí, že nebude muset používat heslo,“ uvádí Irwin. „To je skvělé, ale vzdali se super soukromých informací, o kterých nevěděli, že jsou cenné. Přece nechcete, aby poskytovatel aplikace věděl, jak jste celou dobu používali svůj telefon, jak jste se ho dotýkali, kdy jste se ho dotýkali, kdy jste klikli na ‚ano‘ nebo ‚ne‘. U sebe bych nechtěla, aby docházelo k takovému záznamu. Někdy se to děje uvnitř aplikací pro reklamní účely.“
Autentizace založená na rizicích ale také není spolehlivá. Lidé mají tendenci chovat se předvídatelně, ale okolnosti mohou vést ke změnám, které způsobují falešně pozitivní výsledky u podvodů.
„Co se stane, když někdo onemocní syndromem karpálního tunelu?“ ptá se Sverdlove. „Musí se použít další kritérium behaviorální biometrie. Nemělo by docházet k výhradnímu použití.“ Sverdlove poznamenává, že odhodlaný zločinec dokáže, přestože ne snadno, digitální behaviorální profil člověka také zfalšovat nebo pozměnit.
Metriky, jako jsou psaní na klávesnici nebo způsob dotyků obrazovky, závisejí na tom, co uživatel se zařízením dělá. „Existují určité problémy s metrikami pro klávesnici a displej, protože v některých případech vzniká velká závislost jejich hodnot na aplikaci,“ vysvětluje Block.
To například ztěžuje pochopení a interpretaci stisků kláves. SecureAuth využívá behaviorální metriky, ale také se spoléhá na hardwarové metriky, jako jsou mobilní brány a typ zařízení.
Hledání toho nejlepšího
Neexistuje žádná univerzální odpověď, která by umožnila náhradu či posílení autentizace pomocí hesla ve všech případech. Organizace by měly použít přístup založený na rizicích, který posuzuje hodnotu chráněných dat, pravděpodobnost zneužití a důsledky kompromitované identity.
Většinou to znamená nalezení souvislostí mezi autentizací a aplikací nebo okolnostmi a posílení nějakým typem MFA.
Banka může například požadovat od zákazníků, aby při přihlašování zadali jen heslo. To lidem umožní vidět základní informace o svém účtu. Pokud by klient chtěl vykonat transakci, může banka požadovat další identifikační údaje, například ověřovací kód.
Současně banka může používat software pro behaviorální analýzu, který bude zjišťovat, zda se způsoby použití a metriky zařízení při relaci shodují s těmi, které odpovídají zákazníkovi. Pokud něco překročí předem dané parametry, bude požadována další autentizace, nebo dojde o odepření přístupu či k jeho omezení.
„Domníváme se, že by se měla v každém místě autentizace dělat řada předběžných analýz a kontrol rizika, aby bylo možné lépe určit, zda je platná identifikace uživatele dostatečně důvěryhodná, aby na základě ní došlo k povolení či zamítnutí, nebo aby se pokročilo k vyžádání dalšího faktoru,“ vysvětluje Block.
Dodává, že někteří zákazníci společnosti SecureAuth zaměření na spotřebitele již tímto směrem míří, ale odvětví jako celek dosud nikoli.
Většina odborníků si nemyslí, že by v dohledné době došlo k eliminaci hesel, ale existuje skutečná příležitost snížit počet hesel, která lidé musejí spravovat. To platí zejména pro firemní systémy.
„Viděli jsme společnosti, které směřují k tomu, co nazývají fungování bez hesel, ale ve skutečnosti jde o omezení závislosti na heslech,“ popisuje Block. „Pokud dnes jejich zaměstnanci používají 20 různých hesel, možná se jim podaří to omezit na použití pěti hesel a zbytek se zajistí nějakým druhem primární autentizace.“
Tento příspěvek vyšel v Security Worldu 2/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU