Skip links

Úvaha / O heslech

Chci udělat maximum pro zabezpečení svých dat.

A proto jsem tak jednou přemýšlel o heslech. Řekl bych, že v tomto směru je minimálně prostor pro inovaci.

Situace:

V prvé řadě – co se týče odborných znalostí v rámci zabezpečení – jsem v podstatě laik. Což je drtivá většina lidí. Neuklidňují mě ani odpovědi znalejších v oboru, což by se dalo shrnout jako „No, jistotu nemáš nikdy.“

Tak či onak, je možné, že některé z mých úvah by se daly jednoduše vyvrátit „toto prostě není možné, protože to funguje tak a tak“. Pokud by se tak někdy v budoucnu stalo, příspěvek upravím.

  • Představte si situaci, kdy má člověk napaden počítač nějakým virem, který pracuje třeba jako keylogger (tedy zachytává znaky z klávesnice).
  • Může jít o nějaký drobný kus kódu, který má zanedbatelnou velikost (lze se tedy nakazit pomocí javascriptu apod.)
  • Vir používá pouze sám autor / malá skupina lidí. Není obecně znám a tedy antivir či jakákoliv jiná ochrana jej nedetekuje
  • Rovněž vzhledem k malé velikosti se třeba podle předem definovaných akcí sám smaže, někam se uloží informace odkud a po nějaké době zase nahraje zpět (internet, díra v zabezpečení, veřejné wifi, infikovaný modem, javascript, VF zvuk 🙂 )
  • Za této situace postrádá jakékoliv, sebesložitější, heslo smysl. A již v tento moment má případný záškodník přístup k mnoha vaším účtům.
  • Např. prohlížeč Chrome nabízí automatické generování hesel. To částečně může pomoci, ale mnoho služeb zpravidla používáte na více zařízeních. Protože se vám vygeneruje nezapamatovatelný řetězec, jste tedy nuceni si jej poznačit a na jiném zařízení zadat (co když bude keylogger i tam – mizivá velikost, možnosti šíření viz výše). Možná použijete synchronizaci mezi zařízeníma (a tedy budete věřit, že ta je spolehlivá. A to i tehdy, když vám na Googlu v nastavení účtu svítí upozornění, že došlo k narušení bezpečnosti u třetí strany a tedy je třeba všechny hesla změnit, protože mohlo dojít k úniku :))
  • Máte fotografickou paměť a pro každou službu jiné heslo, které obsahuje velká a malá písmena, čísla, specifické znaky a má alespoň 8 znaků + ve firmě, kde děláte si každý měsíc nastavujete nové pro svůj firemní účet. Nebo použijete správce hesel, který je zabezpečen čím? No JEDNÍM heslem. Tedy prolomení jednoho hesla = přístup ke všem heslům. Nebo řešíte poznámkou na papírku, který je nalepený na monitoru.
  • Navíc jsou zde věci jako cookies (a články, jak je snadné na veřejné wifi někomu čmajznout heslo během pár vteřin), pokud se neodhlásíte jste přihlášení neustále apod.
    A nejvtipnější na tom celém je, že i když v rámci svých zařízení máte nastavené vše správně, stále lze, jednoduše, odchytávat síťovou komunikaci :D. Tady bych uvítal přednášku, jak je to s tím HTTPS apod. Ale pokud chcete trochu vzrušení, stáhněte si Wireshark, nechte si vypsat veškerou komunikaci (v reálném čase), která probíhá mezi vaším počítačem/tel a okolím a nebudete věřit svým očím.
  • Jinou možnost jak zabezpečit účty nemáte. Max lze pojistit dvoufaktorovým ověřením (zdaleka ne vždy) a doufat, že neztratíte telefon.
  • Navíc pravděpodobnější je situace, že spadáte do kategorie lidí, jejichž znalosti počítačů končí u „nějak se mi to zasekává“. Pravděpodobně však máte telefon, používáte počítač a zadáváte do těchto zařízení řadu soukromých informací.
  • A teď tedy otázka, příjde vám taková situace normální? Vždyť uživatel by měl být ten, který je omezen nejméně. (Vzpomínáte na komfort u legálních DVD vs nelegálně staženého filmu?)

Jak to, že neexistuje řešení, které by fungovalo takto:

  • zapnu/odemknu zařízení
  • ověří se identita (a to na základě nějakého prvku, který je jasně spojený s uživatelem. Je toho snad málo?)
  • dojde k přihlášení ke všem účtům (či k těm nastaveným)
  • poté zařízení vypnu / zamknu – nastane automatické odhlášení a to ze všech účtů

Závěrem dodám, že pravděpodobně, pokud nepociťujete nějaký zásadní problém, bezpečnost prostě neřešíte. A nejspíš ani k ničemu špatnému nedojde. Ale to neznamená, že se to neděje. Navíc já záměrně vše rozepsal do extrému, jenže je to tak nějak pravda :)).

Jde spíše o zamyšlení nad situací, kdy by došlo k cílenému útoku a snaze získávat zejména citlivé informace (poloha, kde budete tehdy a tehdy, s kým se znáte atd. – což je vlastně zcela běžná situace), které jsou poté zneužívány. Nikoliv vyloženě o smazání dat (a tedy akci potvrzující tento čin – to může být až krajní možnost, která zamete stopy – ale jste rozumní a zálohujete, tak vás to nějak zásadně nerozhodí). V podstatě nemáte jinou možnost, než se snažit udělat maximum v rámci možností.

Nějaký nápad? 🙂