Začneme příběhem, který se skutečně stal. Volala mi známá, že se jí někdo přihlásil na její sociální sítě a všechny její profily smazal. Co prý má dělat a jak vrátit důležité účty, kde má „všechno“? Rychle jsem zjistil, co se stalo: slabé uhádnutelné heslo, žádná další ochrana. Někdo si dal tu práci získat její slabé přihlašovací údaje, přihlásil se a bylo to. O všechny účty nakonec přišla. Co udělat, aby se to nestalo vám?
Heslo jako klíč a váš podpis
Velká část důležitých služeb nás na internetu musí rozeznat od ostatních uživatelů, aby nás systém pustil dál a ukázal nám informace určené jen pro nás. Mezi ty běžně používané patří e-mailová schránka, elektronické bankovnictví, sociální sítě, ale třeba také datová schránka.
Partner obsahu
V mBank děláme maximum pro to, abychom ochránili finance našich klientů. Neustále vyvíjíme nové funkce a nástroje, které jim pomáhají se zabezpečením jejich financí.
Záleží nám ale i na tom, aby se naši klienti uměli chránit nejen při využívání bankovních služeb, ale i v každodenním životě – třeba proti podvodům na internetu. Proto jsme připravili bezpečnostní test, ve kterém si každý může vyzkoušet, jak dokáže čelit podvodníkům. Zkuste to i vy a vyhrajte iPhone 14. #NaBezpecnostiZalezi
Kolem těchto služeb denně projdou miliony uživatelů, ale jen ten jediný správný musí být schopen prokázat svou totožnost a nechat se vpustit do pevnosti. Jako za starých časů platí stále jednoduchý systém: řekni heslo.
Princip dohodnutého tajného slova se používal už ve starověku k rozlišení mezi vlastními a cizími vojáky. Kdo zná naše heslo, ten patří k nám a můžeme mu důvěřovat. Ve strážní službě se podobný princip používá k identifikaci osob ve tmě. Je to jednoduché, a pokud se dodržují některé zásady, je to i přiměřeně bezpečné.
Heslo tedy slouží jako unikátní klíč, podle kterého nás protistrana rozezná. Na internetu tvoří naši identitu, podobně jako v běžném životě náš obličej a hlas. Pokud se k heslům nebudeme chovat správně, vydáváme svou identitu všanc komukoliv, kdo jde kolem. Ten se za nás pak může vydávat a v dnešním elektronickém světě může způsobit spoustu problémů. Může za nás třeba komunikovat se státem a pomocí datové schránky žádat o spoustu věcí, přičemž vaše heslo pak použije místo podpisu na důležitých listinách. Tady končí legrace.
K heslům se chováme slušně
Úplně nejhorší jsou hesla, která může uhádnout informovaný útočník. Pokud je váš profil na sociální síti plný fotek vašich dětí nebo domácích mazlíčků, kdokoliv může zkusit použít jejich jména. Takové heslo je úplně k ničemu a komukoliv dáváte možnost se za vás vydávat.
Národní úřad pro kybernetickou bezpečnost (NÚKIB) v dokumentu Minimální bezpečnostní standard [PDF] doporučuje u běžných uživatelských účtů délku hesla alespoň 10 znaků a doporučuje, aby heslo obsahovalo znaky alespoň ze tří následujících skupin: velká písmena, malá písmena, číslice a speciální znak. Jde přitom výslovně o minimální doporučení, přičemž bychom měli být na svou bezpečnost spíše přísnější.
Hesla bychom přitom neměli zbytečně pravidelně měnit, což se dříve uživatelům běžně doporučovalo. Správci by je k něčemu podobnému ani neměli nutit, protože pravidelná změna hesla škodí. Uživatelé pak mají tendenci si zjednodušovat práci a vymýšlejí co nejlépe zapamatovatelné kombinace, které jsou schematické a odhadnutelné. Jistě znáte hesla jako PrahaLeden, PrahaDuben a podobná, což nijak bezpečnost nezvyšuje.
Hesla bohužel unikají
Když už si vymyslíte slušné a velmi bezpečné heslo, přichází ještě jedna podmínka: hesla nesmíte opakovat. U každého uživatelského účtu na každé službě tedy musíte mít heslo úplně jiné. Bohužel je to podmínka naprosto nutná, protože hesla běžně z webů unikají.
Pravidelně se stává, že se někomu podaří vlámat se do uživatelské databáze a tu pak zveřejní na internetu. Pohromadě se pak dají najít kombinace jména, e-mailové adresy, dalších osobních údajů a hesla. Takové databáze jsou veřejně dostupné a může v nich hledat kdokoliv. Schválně se podívejte do služby Have I Been Pwned, kam stačí zadat e-mailovou adresu a uvidíte, odkud všude vaše heslo už uteklo.
Únik zaznamenán na 49 místech, spousta hesel je venku
Nemůžeme si tedy dovolit mít jedno nebo dvě hesla ke všem službám, přestože by to bylo velmi pohodlné. Dříve nebo později se totiž nějaké naše heslo objeví na internetu. Pokud je to to jediné, které používáme, je s naší bezpečnostní konec. Stává se to opravdu prakticky denně a ne jen malým neznámým firmám.
Půl miliardy informací o uživatelských účtech uniklo Facebooku, podobně přišla o data například společnost Xiaomi, stovky milionů hesel utekly také ze služby MySpace a o celou uživatelskou databázi přišel také český Mall.cz. Volně dostupných je na internetu několik miliard uživatelských účtů často včetně přiřazených hesel. Ovšem je to jen špička ledovce, která se dostala na veřejnost. Je velmi pravděpodobné, že někdo už některé z vašich hesel zná.
Hesla si musíte psát
Jedinou možností, jak mít skutečně bezpečné a unikátní přihlašovací údaje, je si hesla zapisovat. Náš mozek není bohužel přizpůsoben k tomu, abychom si pamatovali stovky různých náhodných kombinací znaků pro různé služby. Při zakládání nového účtu si tak zapíšeme všechny podrobné informace, včetně nově vytvořeného hesla, které jsme ještě jinde nepoužili.
Můžeme k tomu použít prostý zápisník, který si k tomu účelu vyhradíme. Drtivá většina útoků na uživatelské účty probíhá po internetu, skrze hádání hesla nebo použití informací z úniků. Notýsek v šuplíku nás proti takovému plošnému útoku docela spolehlivě ochrání.
Nedělejte online to, co byste v offline světě neudělali
Žijeme čím dál víc online. A s tím přibývá i nových rizik, se kterými se musíme potýkat. Někdy je prostě složité vyznat se, co je na internetu pravda, a která nabídka, jež nám přistane do mailu nebo do zpráv na sociálních sítích, je podvod.
Rozhodli jsme se vám život na síti usnadnit tím, že vám v sérii článků nazvané Bezpečně s Měšcem poradíme, jak se bezpečně chovat při online nakupování, jak se vyhnout podvodným soutěžím nebo co lze dělat při krádeži vaší identity.
Ale je potřeba dodat, že to platí za předpokladu, že nesdílíte s nikým domácnost nebo k vám nechodí návštěvy – stále tam hrozí nebezpečí toho, že vám dítě nebo např. opravář, kterého chvíli necháte bez dozoru, najde hesla k vašemu bankovnictví.
Ukradená napsaná hesla
Stále existuje je možnost, že vám napsané heslo může někdo ukrást. A pokud se k vám někdo dostane, tak má potom všechna hesla najednou. Právě kvůli tomuto nebezpečí mohou být „někde napsaná“ hesla riziková.
Pokud nechcete používat osvědčené pero a papír, můžete sáhnout po některém z elektronických správců hesel. Jsou to vlastně specializované programy, které vám umožní zapsat si citlivé údaje do šifrované databáze. Ta je chráněna jedním silným hlavním heslem a ostatní hesla si pak už pamatovat nemusíte.
Takovou databázi můžete uchovávat ve svém počítači nebo ji synchronizovat do všech svých zařízení. Dnes je většinou k dispozici i varianta v podobě aplikace pro mobilní telefony, takže svá hesla můžete mít neustále při sobě. Je to rozhodně bezpečnější než mít jedno heslo v hlavě a psát ho do všech webů, které ho po vás chtějí.
Dalším problémem je totiž phishing, tedy snaha vylákat z uživatele heslo pomocí podvodu. Je to také velmi rozšířený způsob útoku na uživatele, při kterém někdo zkopíruje existující přihlašovací obrazovku a vystaví ji na vlastní podvodné doméně. Pokud své jediné milované heslo ručně opisujete do přihlašovacích formulářů, můžete snadno přehlédnout překlepovou doménu a odešlete heslo někomu cizímu.
Proti tomu správce hesel velmi dobře chrání, neboť si kromě jména a hesla pamatuje také přesnou podobu domény, ke které tyto údaje patří. Pokud pak přijdete na podvodnou stránku, správce hesel bude mlčet, protože pro tuto doménu nemá uloženy žádné údaje. V takové situaci vás tedy ochrání a data nevydá.
Druhý faktor jako štít
Když už vám heslo unikne, máte vážný bezpečnostní problém. O jak rozsáhlý problém se jedná, závisí právě na tom, kde všude jste stejné heslo ještě použili. Pokud to děláte správně, týká se incident jen jednoho jediného účtu a ostatní jsou v bezpečí. V opačném případě se útočník může dostat k mnoha informacím a v nejhorším případě se úspěšně přihlásí do vaší e-mailové schránky.
E-mail totiž často slouží jako univerzální brána ke všem účtům, protože si na něj můžete nechat zaslat zprávu o obnovení hesla. Pokud sem má přístup útočník, dokáže si všechna hesla resetovat a má opět přístup ke všem vašim účtům a službám.
Pokud už k něčemu takovému dojde, existuje jediná ochrana – dvoufaktorové ověřování. Jde o princip, kdy je k prokázání uživatelovy identity použit další důkaz. Kromě tradičního prvního faktoru „něco známe“ (heslo) je to ještě obvykle činitel „něco vlastníme“. Může jít o specializované zařízení (token), nějakou přidruženou informaci (jednorázové klíče) či dnes nejčastěji aplikaci v mobilním telefonu.
Tento přídavný prvek musí znát služba předem a při dalším přihlašování chce ještě kromě obligátního jména a hesla navíc například opsání kódu z SMS nebo odklepnutí výzvy v aplikaci. Vícefaktorové ověření tedy funguje jako přídavný štít, který zafunguje v případě úniku hesla.
Útočník vám sice může podstrčit falešnou stránku a vylákat z vás heslo, ale při pokusu o přihlášení bude požádán o předložení dalšího důkazu, který už ale nemá, a nemůže se tedy přihlásit. Také NÚKIB důrazně doporučuje dvoufaktorové ověřování u účtů zapínat:
V zabezpečení řízení přístupu se pro ověření identity uživatelů, administrátorů a aplikací doporučuje maximálně využívat vícefaktorové autentizace, kdy je zapotřebí dvou různých typů faktorů. Primárně by tento způsob autentizace měl být zaveden u informačních nebo komunikačních systémů přístupných z internetu a u privilegovaných účtů.
Musíte si ale dávat pozor i na phishingové útoky, které se vedou za účelem krádeže právě druhého ověřovacího faktoru. Pokud po vás například kamarád přes zprávy na sociálních sítích bude chtít přeposlat kód z SMS, který si omylem poslal na vaše telefonní číslo, tak odevzdáváte i druhý klíč k vašemu účtu.
O problému obvykle nevíme
Potíž s úniky hesel je, že o nich často velmi dlouho vůbec nevíme. Žádná firma se nadšeně nechlubí, že jí unikla celá databáze uživatelů, a je třeba si tedy dávat pozor. Obvykle trvá měsíce a někdy i roky, než se správci vůbec o incidentu dozvědí a než se informace dostane až k nám. Po celou tu dobu jsme ale zranitelní.
Vícefaktorová autentizace má navíc ještě tu výhodu, že nás umí varovat, pokud někdo naše heslo úspěšně použil. Někdo se hlásí z Argentiny, pokud jste to vy, potvrďte přihlášení v aplikaci.
Při takové zprávě na mobilu jistě zpozorníte a můžete reagovat třeba změnou hesla nebo nahlášením problému provozovateli systému. Jednoduše proto, že jste se o něm dozvěděli, což není málo.
Kdyby to paní z úvodního příběhu dělala správně, měla by silné unikátní heslo a měla by ho uložené ve správci hesel, nikdo jiný by ho nemohl uhádnout ani vylákat. Pokud by se přeci jen stalo něco neočekávaného, zachránila by ji dvoufaktorová autentizace, díky které by se navíc o úniku hesla dozvěděla. Mohla si tak ušetřit nepříjemné mrzení.
