Ochrana hesel podle SANS Institute

14. 2. 2011

Sdílet

SANS Institute doporučuje kontrolu hesel, zdali splňují v politice definované standardy. Jednak by mělo jít o kontrolu strojovou při akceptaci hesla, jednak čas od času pomocí penetračních testů či pokusů o prolomení.

Hesla jsou důležitým aspektem informační bezpečnosti: je to vlastně první linie ochrany uživatelských účtů a práv. Proto je nutné jejich vytváření i použití ošetřit bezpečnostní politikou, aby byla dodržována jasná a transparentní pravidla.

Heslo představuje první linii k ochraně uživatelských účtů a práv. Pokud není kvalitně ošetřené (rozlišovat přitom musíme jednak jeho vytvoření a jednak následnou péči o něj), můžeme suše konstatovat, že veškeré investice do bezpečnostního softwaru, hardwaru, lidí, politik apod. se prostě jen vyhodily oknem. Ne vždy je přitom možné nebo žádoucí doplňovat heslo o další bezpečnostní prvky (autentizační tokeny, jednorázová hesla, biometrika...), takže právě heslo se stává alfou a omegou.

 

 

Doporučení od SANS

Pokud se chceme problematice hesel věnovat podrobněji a odpustíme si ony základní rady internetového bankovnictví (heslo musí být hlavně dlouhé apod...), může pro nás vítaného pomocníka představovat metodika organizace SANS Institute. Pozor, neměla by se stát základem pro směrnici o počítačových heslech mající tloušťku středověké kroniky: takový v praxi nepoužitelný materiál jde proti logice bezpečnosti, která sice má být transparentní, ale musí primárně chránit, nikoliv obtěžovat.

Bezpečnostní politika by měla tvořit základ pro problematiku vytváření silných hesel, jejich ochrana a četnost změn. SANS Institute vyhodnotil zkušenosti profesionálů z terénu a nastavil určité mantinely, které jsou dostačují pro silné a kvalitní heslo. Pokud se podíváme na doporučení v oblasti systémových hesel (rootová, administrátorská aj.), mělo by k jejich změně docházet minimálně jednou za čtvrtletí.

Všechna hesla musí být zálohovaná, a to v podobě nějaké globální databáze. Nemůže tak dojít k situaci, kdy se majitelé hesel dostávají do pozice všemohoucích despotů. Samozřejmě, že globální databázi je nutné mít patřičně ošetřenou a jejím úkolem je být skutečně až poslední instancí, nikoliv nástrojem každodenního použití. Aneb jen mimořádná situace si žádá mimořádné prostředky.

Uživatelská hesla nevyžaduje SANS Institute měnit tak často - stačí jednou za půl roku, přičemž doporučený interval je každé čtyři měsíce. Hesla musí být unikátní (neměla by se například opakovat hesla minulá) a nesmí být předávána žádnou formou elektronické komunikace.

 

Skladba hesla

Slabá a nedostatečná hesla jsou pak taková, která splňují alespoň jeden z následujících příznaků:

Jsou kratší než patnáct znaků.

Jde o slovo ze slovníku.

Jde o běžně užívaný pojem nebo osobní informaci.

Představují logickou posloupnost čísel nebo znaků (123456, aaa aj.).

Cokoliv z výše uvedeného hláskované pozpátku.

Cokoliv z výše uvedeného doprovázené číslicí.

Naproti tomu silné heslo by mělo obsahovat malá i velká písmena (což znamená, že silné heslo musí být postaveno na systému, který rozlišování malých a velkých písmen umožňuje), obsahuje čísla a punkční znaménka. Jeho délka je nejméně patnáct znaků a nejde o slovo, nýbrž o „passfrázi" (tedy shluk znaků, který zpravidla vychází pro snadnější zapamatování z nějaké věty – jde tedy například o druhá písmena z každého slova z určité věty). Silné heslo nesmí mít žádné spojení s osobními či rodinnými informacemi.

 

Ochrana hesel

SANS Institute nezapomíná ani na ochranu hesel, kde doporučuje nepoužívat stejné heslo pro různá prostředí. Dále varuje před sdílenými hesly: ať již z principu (různí uživatelé mají pro přístup do jednoho systému stejné heslo) nebo z jiného důvodu (sdělení hesla spolupracovníkům před odjezdem na dovolenou).

Stejně tak není vhodné nepředávat z jakéhokoliv důvodu heslo elektronickým způsobem: po telefonu nebo e-mailem. Uživatel nesmí sdělovat heslo nadřízenému – ten to po něm naopak nesmí požadovat.

O heslech by neměly probíhat žádné debaty, a to ani v žertu. Stejně jako se nesmí prozrazovat vlastní heslo, měly by zůstat utajené informace o jeho formátu (požadované délka, frekvence změn apod.). Heslo se nesmí sdílet v dotaznících nebo bezpečnostních formulářích.

SANS Institute rovněž důrazně varuje před používáním jakýchkoliv aplikací z kategorie „adresář hesel" – stejně tak pozor v internetových prohlížečích nebo jiných aplikacích na funkce ukládání hesel. Stejná hesla by se neměla používat opakovaně. Heslo by se nemělo zapisovat a ukládat do jakéhokoliv elektronického zařízení.

Bezpečnostní politika by se pak měla stát oporou pro uživatele. Například pokud by po nich někdo heslo požadoval – ať nadřízený, technik či kdokoliv jiný – měli by mít možnost se bezpečnostní politikou zaštítit. A tato by měla pevně stát za nimi.

Stejně tak musí bezpečnostní politika obsahovat postupy, jak se chovat při podezření na kompromitaci hesla. Například koho informovat a jak reagovat. SANS Institute také doporučuje kontrolu hesel, zdali splňují v politice definované standardy. Jednak by mělo jít o kontrolu strojovou při akceptaci hesla, jednak čas od času pomocí penetračních testů či pokusů o prolomení (stroj zjistí, zda heslo odpovídá bezpečnostním požadavkům, ale třeba neurčí, jestli si ho uživatel nenapsal na klávesnici zespod).

SANS Institute hovoří také o heslech v aplikacích a vytváří standardy pro vývojáře. Aplikace mají podporovat autentizaci jednotlivců, nikoliv skupin. Naopak nesmí ukládat hesla v textové či jinak snadno čitelné podobě. Hesla by měla zajišťovat řízení rolí: tedy převzít úkoly někoho jiného, aniž by znal heslo. A aplikace by měly podporovat technologie jako TACACS+, RADIUS či X.509 s LDAP.

ICTS24

 

Tento text vyšel v tištěném SecurityWorldu 2/2010.