Hlavní navigace

Chráníte svá data dostatečně? Ani stát není důsledný

Autor: Depositphotos

Přihlašujete se do různých profilů jen jménem a heslem, ačkoli byste mohli využít i vícefaktorové ověřování? Pak hazardujete nejen se svými daty.

Doba čtení: 4 minuty

Sdílet

Když někdo prolomí heslo do vaší datové schránky a poškodí vás, je dokazování na vaší straně. Jinak si musíte nést následky nedůsledného zabezpečení sami.

Pokud chcete dostatečně chránit svou digitální identitu, například když se přihlašujete do různých profilů na internetu, základem je bezpečné prokázání identity z vaší strany. Ne každý ale k ochraně dat přistupuje zodpovědně. Někdo to neřeší vůbec, jiní počítají s tím, že když banka nebo stát takové zabezpečení umožňuje, je automaticky bezpečné a dostačující. Není to ale tak úplně pravda. Nejen o tom přednášel Pavel Štros ze společnosti DATASYS na konferenci Digitální identita, kterou pořádal Měšec.cz.

Stát nabízí několik variant. Tu nejbezpečnější lidé nechtějí

Stát je v ověřování identity ve své podstatě velmi nedůsledný. Silné ověření identity sice poskytuje, ale jen jako možnost, nikoli povinnost. A stejně tak k tomu přistupují i občané, kteří často zvolí pro ně nejjednodušší variantu s tím, že když je mezi nabízenými, kór u státních institucí, tak přece musí být dostatečná. To ale neplatí.

Podívejme se například na přihlašování do datových schránek. K prokázání identity, tedy k přihlášení, můžete využít tyto možnosti:

  • přihlášení jménem a heslem,
  • přihlášení jménem, heslem a certifikátem,
  • přihlášení jménem, heslem a SMS,
  • přihlášení jménem, heslem a HOTP,
  • přihlášení elektronickým občanským průkazem.

Certifikát od důvěryhodné certifikační autority nebo jednorázový identifikační SMS kód už jsou považovány za bezpečné varianty prokázání identity. Lidé ale takové varianty nevyužívají. Je pro ně komplikovanější mít po ruce vždy mobilní telefon, když se do datové schránky přihlašují. Řadě z nich se také nelíbí, že tyto jednorázové SMS jsou placené, a že při každém přihlášení musí dát státu další peníze.

Drtivá většina uživatelů proto využívá to nejjednodušší a pro ně nejpohodlnější řešení. Přihlásí se jen jménem a heslem. Tato varianta je ale vysoce riziková, protože statické heslo je nejsnáze prolomitelné. A to i v případě, že si jej pravidelně měníte. Pořád jde totiž o statický údaj.

V „ideálním případě“ to navíc někteří mají zařízeno tak, že tyto údaje mají uložené v počítači, aby přihlášení proběhlo automaticky a nemuseli jméno a heslo neustále opisovat.

Rizika? Právní následky a důkazní břemeno

Už si ale neuvědomují, co tím riskují. Informace a data, která projdou skrze datovou schránku, mají právní účinky. A pokud vaši datovou schránku někdo zneužije, aby vás poškodil, je důkazní břemeno na vaší straně. Jinými slovy musíte dokázat, že jste to nebyli vy, kdo z vaší datové schránky odeslal něco, co vás následně poškodilo. Pokud se vám to dokázat nepodaří, máte bohužel smůlu.

A argumentovat nemůžete ani tím, že mělo být zajištěno lepší zabezpečení, aby se toto nemohlo stát. Vy sami jste si zvolili tu nejjednodušší možnost zabezpečení. Není důležité, že není dostatečně bezpečná ani že stát umožňuje, abyste si ji mohli zvolit.

V praxi se však zdá, že by muselo dojít k tomu, aby stát stanovil povinnost silného ověřování, jinak budou Češi dále využívat tu nejjednodušší možnost, jaká se jim nabízí. Často navíc volí snadno prolomitelná hesla, jako například jméno kočky, 1234, vlastní jméno a podobně. Při troše invence tak potenciální útočník nebude mít s prolomením hesla skoro žádnou práci.

Vyhlídky do budoucna jsou, ale opět nepovinné

V budoucnu by ale k tomuto už docházet nemělo. Ministerstvo vnitra ČR totiž připravuje ověřování pomocí mobilní aplikace. Skrze tu by mělo být možné potvrzovat transakce a přihlašovat se do webové aplikace. Dále by aplikace také doručovala notifikace z datových schránek a umožňovala přihlašování do aplikací třetích stran.

Vše by ale opět bylo jen na bázi dobrovolného využívání. Kdo nebude chtít, bude mít možnost zůstat jen u jména a hesla. A nést si za to případné důsledky.

U firem rozhodují peníze a spolupráce

V případě firem a korporací je situace trochu odlišná. Důležitost dostatečně bezpečného ověřování si uvědomují, ale hrají u nich roli peníze. Vždy tak dochází k tomu, že firma zvažuje náklady na silné ověřování identity.

U malých a středních podniků tak k aktivaci silného zabezpečení dochází většinou jen pod tíhou různých auditů. Malá firma chce například dodávat suroviny jiné, velké firmě, ale aby bylo možné spolupráci uzavřít, musí malá firma projít auditem. A tím by bez možnosti silného ověřování neprošla. Malé firmy tak často vynaloží náklady na bezpečné ověřování, aby o obchodního partnera nepřišly.

V případě korporací se pak vyšší úroveň zabezpečení řeší primárně u vzdálených přístupů. Tam se zpravidla vyžaduje větší zabezpečení než jen jméno a heslo. Využívají se certifikáty, tokeny či mobilní aplikace, které generují jednorázové kódy pro přihlášení.

Cloudové služby jsou aktivní a napřed

Zcela jiná situace je u cloudových služeb. Tam se dvoufaktorové ověřování pomalu stává standardem. A to i přes fakt, že takovou úroveň ověřování nikdo po cloudových službách nevyžaduje a není povinné.

Některé cloudové služby však i tak v pravidelném intervalu například jednou za 2 měsíce upozorní uživatele, že si takovou možnost zabezpečení ještě neaktivoval a ať tuto možnost zváží.

Zdá se navíc, že tento trend v posledních letech zesiluje a teoreticky je možné, že za 2 roky se do cloudů budeme přihlašovat jen skrze dvoufaktorové ověření.

Diners_Vanoce2019

Trochu problematické jsou však sdílené, servisní či univerzální účty. Ty v praxi může využívat i 15členný tým lidí a v případě problému je těžké přiřadit konkrétnímu zaměstnanci personální odpovědnost.

Nejbezpečněji je u bank

Zdaleka nejbezpečnější způsob přihlašování tak mají banky. Tam je totiž vícefaktorové přihlášení do mobilního či internetového bankovnictví naprostým standardem. A stejně k tomu přistupují i uživatelé, jelikož ověřování přes SMS vnímají v případě bankovního účtu za zcela normální.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).