K přemýšlení / Hesla

Nejsem paranoidní. Ale s ohledem na vše co se děje a o čem si můžete přečíst na tomto blogu je logické, že chci udělat maximum pro zabezpečení svých dat.

A proto jsem tak jednou přemýšlel o heslech. Řekl bych, že v tomto směru je minimálně prostor pro inovaci.

Situace:

V prvé řadě – co se týče odborných znalostí v rámci zabezpečení – jsem v podstatě laik. Což je drtivá většina lidí. Neuklidňují mě ani odpovědi znalejších v oboru. Vše bych se dalo shrnout jako „No, jistotu nemáš nikdy.“

Tak či onak, je možné, že některé z mých úvah by se daly jednoduše vyvrátit „toto prostě není možné, protože to funguje tak a tak“. Pokud by se tak někdy v budoucnu stalo, příspěvek upravím.

  • Představte si situaci, kdy má člověk napaden počítač nějakým virem, který pracuje třeba jako keylogger (tedy zachytává znaky z klávesnice).
  • Může jít o nějaký drobný kus kódu, který má zanedbatelnou velikost
  • Vir používá pouze sám autor / malá skupina lidí. Není obecně znám a tedy antivir či jakákoliv jiná ochrana jej nedetekuje
  • Rovněž vzhledem k malé velikosti se třeba podle předem definovaných akcí sám smaže, někam se uloží informace odkud a po nějaké době zase nahraje zpět (internet, díra v zabezpečení, veřejné wifi, infikovaný modem, javascript, VF zvuk 🙂 )
  • Za této situace postrádá jakékoliv, sebesložitější, heslo smysl. A již v tento moment má případný záškodník přístup k mnoha vaším účtům.
  • Např prohlížeč Chrome nabízí automatické generování hesel. To částečně může pomoci, ale mnoho služeb zpravidla používáte na více zařízeních. Protože se vám vygeneruje nezapamatovatelný řetězec, jste tedy nuceni si jej poznačit a na jiném zařízení zadat (co když bude keylogger i tam – mizivá velikost, možnosti šíření viz výše). Možná použijete synchronizaci mezi zařízeníma (a tedy budete věřit, že ta je spolehlivá. A to i tehdy, když vám na Googlu v nastavení účtu svítí upozornění, že došlo k narušení bezpečnosti u třetí strany a tedy je třeba všechny hesla změnit, protože mohlo dojít k úniku :))
  • Máte fotografickou paměť a pro každou službu jiné heslo, které obsahuje velká a malá písmena, čísla, specifické znaky a má alespoň 8 znaků + ve firmě, kde děláte si každý měsíc nastavujete nové pro svůj firemní účet. Nebo použijete správce hesel, který je zabezpečen čím? No JEDNÍM heslem. Tedy prolomení jednoho hesla = přístup ke všem heslům. Nebo řešíte poznámkou na papírku, který je nalepený na monitoru.
  • Navíc jsou zde věci jako cookies (a články, jak je snadné na veřejné wifi někomu čmajznout heslo během pár vteřin), pokud se neodhlásíte jste přihlášení neustále apod.
  • A vejvtipnější na tom celém je, že i když v rámci svých zařízení máte vše co jde, stále lze, jednoduše, odchytávat komunikaci :D. Tady bych uvítal přednášku, jak je to s tím HTTPS apod. Ale pokud chcete trochu vzrušení, stáhněte si Wireshark, nechte si vypsat veškerou komunikaci (v reálném čase), která probíhá mezi vaším počítačem/tel a okolím a nebudete věřit svým očím.
  • Jinou možnost jak zabezpečit účty nemáte. Max lze pojistit dvoufaktorovým ověřením (zdaleka ne vždy) a doufat, že neztratíte telefon.
  • Navíc pravděpodobnější je situace, že spadáte do kategorie lidí, jejichž znalosti počítačů končí u „nějak se mi to zasekává“. Pravděpodobně však máte telefon, používáte počítač a zadáváte do těchto zařízení řadu soukromých informací.

A teď tedy otázka, příjde vám taková situace normální? Vždyť uživatel by měl být ten, který je omezen nejméně. (Vzpomínáte na komfort u legálních DVD vs nelegálně staženého filmu?)

Jak to, že neexistuje řešení, které by fungovalo takto:

  1. zapnu/odemknu zařízení
  2. ověří se identita (a to na základě nějakého prvku, který je jasně spojený s uživatelem. Je toho snad málo?)
  3. dojde k přihlášení ke všem účtům (či k těm nastaveným)
  4. poté zařízení vypnu / zamknu – nastane automatické odhlášení a to ze všech účtů

Závěrem dodám, že pravděpodobně pokud nepociťujete nějaký zásadní problém, bezpečnost prostě neřešíte. Navíc je pravděpodobné, že se vám ani nic špatného neděje. Což neznamená, že se to neděje :)).

Jde spíše o zamyšlení nad situací, kdy by došlo k cílenému útoku a snaze získávat zejména citlivé informace (poloha, kde budete tehdy a tehdy, s kým se znáte atd.), které jsou poté zneužívány. Nikoliv vyloženě o smazání dat (a tedy akci potvrzující tento čin – to může být až krajní možnost, která zamete stopy – ale jste rozumní a zálohujete, tak vás to nějak zásadně nerozhodí). V podstatě nemáte jinou možnost, než se snažit udělat maximum v rámci možností.

Nějaký nápad? 🙂

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *