Často přemýšlím o heslech. Zpravidla tehdy, když se chci přihlásit k nějakému účtu a nejsem na svém počítači. Tzn nemůžu si zrovna vybavit CHROMEM náhodně vygenerovaný řetezec. Řekl bych, že v tomto směru je minimálně prostor pro inovaci.
Situace:
V prvé řadě – co se týče odborných znalostí v rámci zabezpečení – jsem v podstatě laik. Což je drtivá většina lidí. Neuklidňují mě ani odpovědi znalejších v oboru. Vše bych se dalo shrnout jako „No, jistotu nemáš nikdy.“
Tak či onak, je možné, že některé z mých úvah by se daly jednoduše vyvrátit „toto prostě není možné, protože to funguje tak a tak“. Pokud by se tak někdy v budoucnu stalo, příspěvek upravím.
- Představte si situaci, kdy má člověk napaden počítač nějakým virem, který pracuje třeba jako keylogger (tedy zachytává znaky z klávesnice).
- Může jít o nějaký drobný kus kódu, který má zanedbatelnou velikost
- Vir používá pouze sám autor / malá skupina lidí. Není obecně znám a tedy antivir či jakákoliv jiná ochrana jej nedetekuje
- Rovněž vzhledem k malé velikosti se třeba podle předem definovaných akcí sám smaže, někam se uloží informace odkud a po nějaké době zase nahraje zpět (internet, díra v zabezpečení, veřejné wifi, infikovaný modem, javascript, VF zvuk 🙂 )
- Za této situace postrádá jakékoliv, sebesložitější, heslo smysl. A již v tento moment má případný záškodník přístup k mnoha vaším účtům.
- Např prohlížeč Chrome nabízí automatické generování hesel. To částečně může pomoci, ale mnoho služeb zpravidla používáte na více zařízeních. Protože se vám vygeneruje nezapamatovatelný řetězec, jste tedy nuceni si jej poznačit a na jiném zařízení zadat (co když bude keylogger i tam – mizivá velikost, možnosti šíření viz výše). Možná použijete synchronizaci mezi zařízeníma (a tedy budete věřit, že ta je spolehlivá. A to i tehdy, když vám na Googlu v nastavení účtu svítí upozornění, že došlo k narušení bezpečnosti u třetí strany a tedy je třeba všechny hesla změnit, protože mohlo dojít k úniku :))
- Máte fotografickou paměť a pro každou službu jiné heslo, které obsahuje velká a malá písmena, čísla, specifické znaky a má alespoň 8 znaků + ve firmě, kde děláte si každý měsíc nastavujete nové pro svůj firemní účet. Nebo použijete správce hesel, který je zabezpečen čím? No JEDNÍM heslem. Tedy prolomení jednoho hesla = přístup ke všem heslům. Nebo řešíte poznámkou na papírku, který je nalepený na monitoru.
- Navíc jsou zde věci jako cookies (a články, jak je snadné na veřejné wifi někomu čmajznout heslo během pár vteřin), pokud se neodhlásíte jste přihlášení neustále apod.
- A vejvtipnější na tom celém je, že i když v rámci svých zařízení máte vše co jde, stále lze, jednoduše, odchytávat komunikaci :D. Tady bych uvítal přednášku, jak je to s tím HTTPS apod. Ale pokud chcete trochu vzrušení, stáhněte si Wireshark a “go deep”, tedy nechte si vypsat veškerou komunikaci (v reálném čase), která probíhá mezi vaším počítačem/tel a okolím a nebudete věřit svým očím.
- Jinou možnost jak zabezpečit účty nemáte. Max lze pojistit dvoufaktorovým ověřením (zdaleka ne vždy) a doufat, že neztratíte telefon.
- Navíc pravděpodobnější je situace, že spadáte do kategorie lidí, jejichž znalosti počítačů končí u „nějak se mi to zasekává“. Pravděpodobně však máte telefon, používáte počítač a zadáváte do těchto zařízení řadu soukromých informací.
Související
