Politiku hesel se vyplatí nepodceňovat

Další článek

Často se setkáváme s přesvědčením, že menší podniky nejsou pro útočníky lákavý cíl, opak je ale pravdou. Navíc menší podniky mají zpravidla omezené možnosti investic do zabezpečení, proto mohou být za určitých okolností jednodušším cílem. Ve většině případů jde o e-mailové útoky na obrovské množství uživatelů.

Zkušenosti našich bezpečnostních expertů potvrzují i další průzkumy, například závěry zprávy společnosti Verizon „2019 Data Breach Investigations Report“, která se zaměřuje na případy úniku dat ve firmách. Analytici v ní zjistili, že 43 % subjektů byly malé firmy. Stejná studie také zjistila, že 80 procent incidentů souvisejících s kyberútoky využilo slabých nebo opakovaných hesel v dotčené firmě. Podle Světového ekonomického fóra byla hesla také nejzranitelnějším místem organizací během pandemie COVID-19.

Nejrychlejší krok, jak se v takových statistikách neobjevit, je zaměřit se na nastavení takové interní politiky hesel, která útočníkům zkomplikuje práci.

Aktuální hrozby pro hesla 

Naši analytici pravidelně sledují útoky v Česku a varují před nimi. V případě operačního systému Windows se v Česku nejčastěji útočí na přihlašovací údaje pomocí password stealerů. Ve většině posledních měsíců jde o polovinu detekovaného malware u nás. Tento typ hrozeb se zaměřuje na přihlašovací údaje uložené v prohlížečích a šíří se spamem.

Jak si tvoří hesla Češi 

Lidé často tíhnou k tvorbě snadno zapamatovatelných hesel a uživatelé v České republice nejsou výjimkou. Mezi ta nejslabší patřily loni například po sobě jdoucí řady čísel, “qwerty” nebo samozřejmě password. To je jako nepoužívat žádné heslo. Jak jsou na tom vaši kolegové s tvorbou hesel? Podle našeho průzkumu z jara 2021 sází čeští uživatelé na složitost a unikátnost.

Do jaké míry se tím v praxi řídí, je otázka. Podle našich dat si totiž 61 % uživatelů hesla pamatuje, což u těch odolných a komplexních není možné. Třetina lidí si hesla zapisuje a pouze čtvrtina používá správce hesel.

S unikátností si také většina uživatelů hlavu neláme. Jen 32 % uvádí, že má unikátní heslo do všech služeb, 39 % má několik hesel, která se náhodně opakují, 22 % má několik hesel podle typu služby a 7 % dokonce používá jen jediné heslo.

Podobné výsledky vykázal i celosvětový průzkum společnosti Google. Opakující se hesla používá 52 % uživatelů a 13 % uživatelů má ke všem účtům pouze jediného heslo.

Proč k heslům nejde přistupovat ekologicky 

V podstatě z dat plyne, že naprostá většina uživatelů více či méně hesla recykluje. Jedná se o jednu z nejčastějších chyb, ke které se uživatelé uchylují.

Nejzávažnějším problémem při recyklaci hesel je tzv. credential stuffing. Jedná se o útok, při kterém jsou služby, typicky různé webové stránky, bombardovány zombie zařízeními zadávajícími odcizené přihlašovací údaje. Útočící klienti botnetu získávají kombinace uživatelských jmen a hesel z předchozích úniků dat a automaticky se cílových serverů dotazují, dokud nenarazí na padnoucí kombinaci a nezískají odpovídající přístup. V roce 2018 stál právě tento typ útoku za 30 miliardami pokusů o přihlášení.

Jak zjistit, že je mé heslo bezpečné?

Sílu hesla si lze ověřit na internetu. Za jak dlouho lze konkrétní heslo prolomit pomocí slovníkového útoku lze vidět na stránce howsecureismypassword.net. Při ověřování síly hesla z bezpečnostních důvodů doporučujeme nezadávat existující heslo, ale jeho přibližnou obdobu.

Jestli dané přihlašovací údaje byly součástí jakéhokoliv úniku hesel, je možné zjistit na webu haveibeenpwned.com. Uživatelé na stránce najdou i doporučení, jak postupovat, pokud jejich údaje součástí úniku byly.

Význam druhého faktoru

Pro firmy, které provozují jakékoli přihlašování, je zastavení slovníkových útoků a credential stuffingu dost oříšek. Možnosti firem, jak vynucovat jedinečná hesla, jsou také omezené – jeden znak navíc bezpečnosti příliš nepomůže, byť je najednou heslo unikátní.

Doporučujeme proto přistoupit k dalšímu kroku – vícefaktorovému ověření. Optimální je mít jej povinně zapnuté u všech klíčových služeb, ale i třeba soukromých sociálních sítích. Vyzkoušet můžete náš ESET Secure Authentication, řešení nabízí ověření identity pomocí hardwarového klíče, SMS nebo nejbezpečněji mobilní aplikace s využitím biometrie a push notifikací.

6 základních pravidel pro dobrou politiku hesel

1. Definujte politiku jednoduše a srozumitelně  

Popište pravidla tak, aby obsahovala všechny důležité informace – například délku hesla, složitost a maximální počet neúspěšných pokusů o přihlášení. 

2. Vynucujte na všech úrovních respektování pravidel 

Všichni zaměstnanci musí dodržovat firemní zásady bezpečnosti hesel, včetně těch nejvýše postavených. Právě ti jsou často terči útoků.

3. Ukládejte hesla bezpečně 

Uložte uživatelská hesla jako tzv. salted hash a použijte hashovací algoritmus speciálně navržený pro ukládání hesel.

4. Využívejte zakázané seznamy 

Vytvořte „blacklist“ nejčastějších, slabých nebo dříve zneužitých hesel a ve firemní síti je zakažte.

5. Neměňte hesla často 

Expirace hesel je nyní praxí, kterou například NIST i britské Národní centrum pro kybernetickou bezpečnost (NCSC) nedoporučují. Změnu radí jen v případě, že došlo ke kompromitaci hesla. Pokud jsou uživatelé nucení měnit hesla příliš často, pravděpodobně si budou volit hesla jednodušší nebo zvolí triviální strategii, jako je přidání čísla nebo písmena na konec hesla a jejich následné zvýšení při každé změně. Oba přístupy mají za následek slabší ochranu firemního systému. Pokud má firma pravidelnou změnu hesel ve své bezpečnostní politice, obecně by změny neměly být častější než jednou za čtvrt roku. 

6. Aplikujte tato pravidla na celou infrastrukturu včetně IoT 

Pravidla pro tvorbu hesel by měla zahrnovat všechna hesla chránící zařízení a systémy, zejména IoT, jako jsou bezpečnostní kamery, inteligentní huby a routery. Pokud tato zařízení nemají správnou konfiguraci nebo využívají defaultní nastavení, roste riziko, že útočníci tuto chybu zabezpečení najdou a zneužijí.

7. Vzdělávejte (se) 

Vysvětlujte všem kolegům, jak si bezpečná hesla tvořit, jak je spravovat, a proč je to důležité. V rámci pravidel vynucujte unikátní hesla a zakažte jejich recyklaci. Tyto dovednosti ostatně všichni využijí i v soukromém životě. Pokud si se školením nevíte rady, sdílejte video níže nebo se obraťte na naše techniky.

Podívejte se na články z dalších kategorií: