12. květen, 2013 | Blog

Bezpečnost hesel a autentizace dle Deloitte.

Uznávaná konzultační společnost Deloitte uveřejnila své předpovědi ohledně různých IT oborů na další rok. Osobně mě nejvíce zaujala část o bezpečnosti hesel a autentizaci, která možná změní pohled na zabezpečení účtů obecně. 

Nejprve bychom si měli ve zkratce ujasnit, jak takový „běžný“ útok na uživatelské účty může vypadat. Slovníkové a „brute force“ metody už dnes velkou šanci na úspěch nemají. Většina serverů odmítne po několika mylných pokusech přístup k účtu a informuje majitele. Stále však existuje možnost, že server opakované pokusy o přihlášení ošetřené nemá a pak je v podstatě jakékoli 8 znakové heslo prolomitelné do šesti hodin („mašinou“ za 30.000 dolarů). Výpočetní možnosti dnešního HW jsou opravdu obrovské a to mají hackeři/crackeři  v záloze trumf v podobě „crowd hackingu“.

O co jde? Představme si, že máme malwarem spojené počítače do jedné velké sítě tzv. botnetu. Výpočetní výkon tak můžete rozložit na milióny počítačů po celém světě. Prolomení hesla je pak už jen otázkou času. Možná jste slyšeli o projektu SETI, který funguje na podobném principu. Projekt je však na rozdíl od botnetů zcela legální J.

Když má ale moje heslo dostatečné množství znaků, obsahuje velká, malá písmena a číslice, můžu být v klidu. Je to tak?

Ne tak úplně J. Při studii, ve které uživatelé vygenerovali 6 miliónu hesel, bylo prokazatelně dokázáno, že pomocí pouhých 10.000 nejčastěji se vyskytujících hesel bylo možné získat přístup do 98 procent všech účtů. V reálných podmínkách budou čísla trochu jiná, ale to nic nemění na faktu, že si komunity hackerů mezi sebou čiperně mění ukradené databáze hesel, pilně je analyzují a vylepšují úspěšnost útoku.

Přes všechnu osvětu však stále zůstává hlavním problémem samotné chování uživatelů. Uživatelé používají hesla, která mají základ v lehce zjistitelných informacích (adresa, jména, data narození atd.). Když už je v heslu použito velké písmeno, je vysoce pravděpodobné, že půjde o první písmeno. Číslice jsou zpravidla na konci hesla. K tomu připočtěme fakt, že průměrný uživatel má 26 účtů, ale pouze pět hesel. Žádná sláva, že?

Deloitte proto očekává, že dojde k velké implementaci dvou faktorové autentizace (s jednorázovým heslem) nejen do firemních sítí. Složitý název skrývá jednoduchý mechanismus pro přihlašování například do VPN. V praxi běžně používáme tento typ autentizace v internetovém bankovnictví např. při odesílání plateb. Uživateli přijde na jeho mobilní telefon SMS s jednorázovým heslem, kterým se přihlásí do sítě (potvrdí odeslání platby). Heslo tedy nejde nikdy znovu použít a uhádnout.

ESET řeší autentizaci pomocí produktu ESET Secure Authentication.

Martin Skýpala
Technical Marketing Specialist