Správce hesel - nezbytný parťák pro online život
2.9.2019 | Jindřich Zechmeister
První díl miniseriálu o správcích hesel se věnuje základnímu tématu bezpečného ukládání hesel. Dozvíte se jak pracovat se svými hesly a jak sledovat možné ohrožení vaší bezpečnosti. Můžete tak minimalizovat riziko škod plynoucích z napadení a kompromitace vaší online identity.
Nedůležitější pravidlo: nepoužívejte stejné heslo
Základním pravidlem pro bezpečné používání internetových služeb je neopakování jednoho hesla ve více účtech. Pokud totiž dojde k jeho kompromitaci, a nemusí to být rozhodně vaší vinou, může se útočník přihlásit do všech služeb, které používáte. Pokud se dostane k nějaké hodnotě, například k hrám na Steam účtu, tak si okamžitě změní e-mail na svůj a zvolí si nové a silné heslo. Vám pak nezbývá než hledat pomoc u podpory dané služby, přičemž škody už mohou být nevratné.
Není lepší tomu předcházet? Právě k tomu slouží správce hesel a sledování případné kompromitace hesla (uživatelského účtu).
Jak funguje správce hesel
Takzvaný Password manager má za úkol bezpečně (tedy šifrovaně) ukládat vaše hesla. S rostoucím významem internetu se tyto aplikace začaly zaměřovat na doplňování hesel do prohlížeče, stejně jako na synchronizaci mezi PC a mobilem či tabletem. Svá silná hesla tak můžete mít všude k dispozici.
Správci hesel fungují na dvojí bázi - offline s lokálním ukládáním, jejich použití však není příliš komfortní, nebo jako cloudová služba, která hesla ukládá u poskytovatele. To může samozřejmě přinášet větší riziko, ale díky uživatelskému komfortu tito online správci u uživatelů vítězí.
Správce může mít také doplňkové funkce - typicky generování hesla a ukazatel síly hesla. U některých online služeb můžete sledovat zdali hesla k vašim účtům nejsou kompromitovaná díky některému z úniků (tzv. security breach).
Správce hesel je vždy lepší než uložení hesla v prohlížeči
Moderní prohlížeče umožňují uložení hesel, ale nikdy přesně nevíte, jak jsou zabezpečena. Chrome i Firefox nabízí pohodlnou synchronizaci s Google a Firefox účtem, což je praktické, ale na druhé straně to vyvolává otázky o zabezpečení těchto informací. Je problém vůbec se dozvědět jak jsou data v prohlížeči zabezpečena lokálně. Pro útočníky je pak Chrome jako nejpoužívanější prohlížeč jistým a snadným cílem; pokud bude mít nějakou zranitelnost umožňující dostat se k uloženým heslům, tak budou následky nedozírné.
Výrobci prohlížečů zabezpečení uložených hesel používají, ale k lokálnímu přístupu k nim (na daném PC) se typicky používá heslo uživatele systému a vzniká tak slabé místo. Jak je získání hesel z prohlížeče jednoduché ukazuje například článek Why You Should Never Save Passwords on Chrome or Firefox. V tomto příkladu stačilo k získání všech hesel pár minut a 12 řádků kódu.
Prohlížeč není v tomto aspektu dobrý sluha. Největší problém u správy hesel v prohlížečích je fakt, že uživatele nemotivují používat silná a různá hesla. Ani jim nepomohou je vygenerovat (až na výjimky jako Safari). Nevadí jim, když všude používáte slabé heslo. Použití správce hesel by naopak mělo uživatele motivovat k vytvoření nového silného hesla pro každou službu.
Nevymýšlejte svá hesla, generujte je
Jednoduchá a snadno zapamatovatelná hesla jsou praktická, ale prakticky neúčinná. I počítačový začátečník snad chápe, že obecná slova a jména nejsou silnými hesly. Pokud však budete vymýšlet vlastní silná hesla, tak si pravděpodobně vůbec nepomůžete. Ptáte se proč?
Často se stává, že "silná" hesla tvoříme na základě oblíbeného slova (hesla) a zachováme původní myšlenku. Rovněž "posilování" hesla doplňováním zvláštních znaků, nejlépe na konci, nemá žádný význam. Když uděláte z původního hesla "Vlasta" skoro až hackerské "Vl4st4?", tak hackerům život opravdu neztížíte. Oni i umělá inteligence s tímto dokáží snadno pracovat.
Nejznámější CMS systém Wordpress nedávno přišel s ukazatelem síly hesla, který nově vytvářené heslo posoudí a na základě jeho síly povolí jen silné heslo. Nebo vygeneruje své bezpečné, jako KUU7uiWA7VLa0O)KNhyJ&p5d. Pro posouzení síly hesla zkuste například web howsecureismypassword.net a zadejte tam své oblíbené heslo; myslím, že budete překvapeni.
Podobnou funkci odhadu síly hesla najdete v programech a také v mnoha online službách, které budou představeny v další části seriálu .
Ptáte se jak hesla generovat? Nejlepší možností je generovat hesla přímo ve správci hesel. Můžete samozřejmě využít i jednu z mnoha online služeb. Jakékoliv takto generované heslo bude s velkou pravděpodobností bezpečnější než vaše heslo z puberty "vylepšené" způsobem uvedeným výše.
Sledujte kompromitaci svého účtu a hesla
Na internetu neustále dochází k útokům na servery internetových služeb, e-shopů či firem. Útočníci se snaží získat databázi s uživatelskými údaji, které pak mohou zneužít. Pokud se jim zadaří a získají seznam uživatelských účtů i s hesly, mohou se dostat nejen do účtu dané služby, ale hlavně do vašeho e-mailu a spustit pravou bezpečnostní katastrofu. Netřeba zdůrazňovat, že právě e-mailová adresa bývá pro služby hlavním přihlašovacím jménem.
Zde se opět vracím k hlavnímu pravidlu pro použití hesla - neopakujte stejné heslo u více služeb. Bezpečnost uložení hesla je přímo závislá na poskytovateli takové služby, který je za jejich bezpečnost odpovědný. Jistě vás napadne, že rok po počátku účinnosti GDPR je vše dobře zabezpečeno; přesto dochází k úniku databází uživatelů každou chvíli. Každý alespoň minimálně technicky znalý a zodpovědný provozovatel webu neukládá hesla v databázi jako prostý text (plaintext); ukládá se pouze jejich otisk (hash). I ten však není neprolomitelný a útočníci mají obsáhlé seznamy nejpoužívanějších hesel a jejich otisků.
Jiným problémem je možnost prolomení hesla v budoucnu. Jednoduše řečeno dnes bezpečný algoritmus nemusí k zabezpečení stačit za pět či deset let. I z toho důvodu se pravidelně upgradují algoritmy otisků na silnější (přechod z SHA-1 na SHA-2 si jistě pamatujete, možná i konec MD5). Výpočetní síla každým rokem narůstá a s ní i riziko prolomení daného algoritmu. Bezpečnost ohrožuje také existence kvantových počítačů, které si s takovým úkolem poradí výrazně rychleji než současné počítače.
Sledování v prohlížeči
Zpět k věci. Chrome umožňuje sledovat kompromitaci hesel díky doplňku Password Checkup. Po instalaci doplněk kontroluje přihlašovací údaje vůči své rozsáhlé databázi; pokud je najde v seznamu dříve uniklých účtů, tak vás upozorní. Rozšíření najdete v Chrome store.
Firefox provozuje službu sledování hesel pod názvem Firefox Monitor. Na Rootu vyšel pěkný český článek o této službě. Fungování je jednoduché - zadáte svůj e-mail a dostanete přehled o únicích, ve kterých tato adresa figurovala. Pak víte, že je čas na změnu.
Internetové služby
Služby pro sledování kompromitace účtu nejsou ojedinělé. Jejich principem je sledování velkých úniků databází s uživatelskými účty (anglicky Breach). Ty se většinou dostanou i na veřejnost a služba hledá přítomnost vašeho e-mailu v těchto ukradených či uniklých databázích. Pokud tam je, tak je pravděpodobně kompromitované i příslušné heslo a dostanete upozornění, abyste ho neprodleně změnili.
Nejznámější službou pro tento účel je haveibeenpwned.com. Stačí zadat svou e-mailovou adresu (nepotřebujete vytvářet účet) a můžete ji vyhledat v dosud známých uniklých databázích. U každého z úniků je uvedeno datum, okolnosti a rozsah uniklých dat. Nejlepší funkcí serveru je upozornění na únik - správci služby vás budou neprodleně informovat e-mailem ve chvíli, kdy se tato adresa objeví v nějakém úniku. Jednoduché, pohodlné a nemusíte nic aktivně dělat.
Další podobné služby jsou například ghostproject.fr (ukáže vám i začátek kompromitovaného hesla), leakprobe.net či spycloud.com.
Používejte dvoufázové ověření
Nakonec poslední rada k bezpečnému přihlašování. Každé heslo může být kompromitováno, ale útočník se do dané služby nepřihlásí, pokud nemá přístup k mobilu či e-mailu zajišťujícímu druhý kanál.
Mnoho internetových služeb podporuje dvoufázové přihlášení a pro uživatele je to velice jednoduché. Doporučujeme projít si rubriku Dvoufaktorová autentizace a zapnout si bezpečné přihlášení alespoň u Facebooku a Google.
V dalším navazujícím článku přineseme přehled správců hesel a podíváme se na jejich funkce.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz