Vícefázové ověření 
a zabezpečení firemních hesel

Základním bezpečnostním opatřením v každé firmě jsou hesla do různých interních systémů. Čím více systémů je, tím vyšší je riziko špatného zacházení s hesly. Pokud chcete mít bezpečné heslo, můžete využít náš generátor hesel. Jak ještě posílit zabezpečení přihlašovacích údajů?

Vícefázové ověření a zabezpečení firemních hesel

Základním bezpečnostním opatřením v každé firmě jsou hesla. Zaměstnanci se pomocí hesel přihlašují do firemních systémů. Čím více systémů je, tím je riziko špatného zacházení s hesly vyšší. Pokud chcete mít bezpečné heslo, můžete využít náš generátor hesel. Lze posílit hesla ještě lépe?

Reading time icon

5 minut čtení

Reading time icon

5 minut čtení

Hesla jsou dobrý základ, který však k úplné bezpečnosti v 21. století nestačí. Správa hesel je složitá a náročná. Pro vyšší bezpečnost proto firmy spoléhají na další ochranné řešení – např. vícefázové ověření, jehož podmnožinou je dvoufázové ověření. Dozvíte se také, co znamenají pojmy dvoufaktorová autentizace, vícefaktorová autentizace i multifaktorová autentizace.

Proč by se firmy měly starat o bezpečnost hesel a zavést vícefázové ověření?

Podle zprávy společnosti Verizon byla v roce 2017 slabá nebo ukradená hesla příčinou až 81 % případů narušení bezpečnosti dat v důsledku hackerských útoků. Stránka HaveIBeenPwned eviduje přes 11 miliard uniklých přístupových údajů. Sečteno a podtrženo: Základní ochrana hesly pro maximální bezpečnost nestačí.

Mohlo by vás napadnout, že je zbytečné posilovat zabezpečení právě vaší firmy, protože nejste pro kyberzločince nijak zajímaví. Naopak: většina malých a středních podniků jsou oblíbeným cílem útočníků, protože narozdíl od velkých organizací věnují na zabezpečení jen malou část rozpočtu. Přitom jsou jejich data v porovnání s daty běžných uživatelů pro útočníky cennější.

3 nejčastější typy autentizace ve firmách

Autentizace (též autentifikace) = autentizace je proces ověřování identity uživatele.

  • Jednofaktorová autentizace (též jednofázová) – Nejjednodušší a zároveň nejpoužívanější způsob ověření identity. Využívá pouze jeden důkaz (tzv. faktor) pro kontrolu, že uživatel je tím, kým tvrdí, že je. Příkladem je zadání uživatelského jména a hesla při přihlašování k počítači. Zadání správných přihlašovacích údajů umožňuje systému zjistit, 1) kdo jste a 2) že jste to skutečně vy. Kromě kombinace uživatelského jména a hesla existují další způsoby ověřování identity.
  • Dvoufaktorová autentizace (též 2FA nebo dvoufázové ověření) - Podmnožina vícefaktorové autentizace. U 2FA uživatel dokládá svou identitu dvěma důkazy. 1) znalostní důkaz (uživatelské jméno a heslo), 2) důkaz vlastnictví (mobilní telefon a SMS kód či push notifikace). Příkladem dvoufázového ověření je přihlašování k online bankovnictví. Po vyplnění jména a hesla musí uživatel buď vyplnit speciální SMS kód, který obdrží na svůj mobilní telefon nebo potvrdit své přihlášení přímo v mobilní aplikaci banky (tzv. push notfikace). 
  • Vícefaktorová autentizace (též MFA nebo multifaktorová autentizace) – ověřování, které využívá alespoň 3 faktory ověření, přičemž tyto faktory jsou různého typu. Mezi nejpoužívanější faktory ověřování patří: důkaz znalosti (něco, co zná pouze uživatel – heslo, pin kód), důkaz vlastnictví (něco, co má/fyzicky vlastní pouze uživatel – mobilní telefon, hardwarový klíč), důkaz charakteristiky uživatele (něco, co je uživateli přirozeně vlastní – biometrické údaje – otisk prstu, snímek oční duhovky). Přidání dalších faktorů do procesu ověření identity uživatele výrazně zvyšuje bezpečnost. Pro nejvyšší stupeň ochrany se zavádí i čtvrtý faktor – lokalita (kde se uživatel fyzicky nachází) a pátý faktor čas (kdy se uživatel do systému hlásí).
silná hesla

Jak útočníci kradou hesla?

1. Útočník může heslo získat jednoduše tak, že se dívá své oběti „přes rameno“ ve chvíli, kdy zadává citlivé přihlašovací údaje na klávesnici (tzv. shoulder surfing).

2. Útočníci s oblibou manipulují s "lidskou slabostí" svých obětí prostřednictvím sociálního inženýrství. Profesionálně vytvořený online formulář nebo e-mail (phishing) se snaží uživatele přesvědčit k zadání hesla. Spoléhá přitom na vzhled kopírující důvěrně známé služby a dříve získané osobní informace. Na phishingový útok se může nachytat i technicky zdatnější a proškolený uživatel.

3. Kybernetičtí zločinci, kteří se dostali do firemní sítě, mohou nasadit malware k vyhledávání souborů s hesly nebo k nahrávání stisknutých kláves při zadávání hesel. Malware údaje odesílá na kontrolní server (centrální počítač, který přijímá rozkazy od útočníka a ukládá odcizená data). Hackeři mohou ukrást zašifrované soubory s hesly a prolomit je offline mimo prostředí napadané sítě.

4. Náročnější techniky útoku spočívají v odchytávání síťového provozu z firemních zařízení zaměstnanců, kteří pracují vzdáleně nebo na nějakém veřejném místě (např. v kavárně).

5. Hrubá síla (tzv. brute force) je nejoblíbenějším způsobem prolamování ochrany zaheslovaného obsahu. Automatizované skripty zkouší miliony kombinací hesel v krátkém čase, dokud nenajdou tu správnou. S rostoucím výpočetním výkonem počítačů je pro kyberzločince snadnější prolomit i delší jednoduchá hesla.

Hesla a chytrá zařízení

Zneužitelnost hesel umocňuje rostoucí zájem podniků o tzv. chytrá zařízení. Na jedné straně dokáže internet věcí (IoT) zefektivnit obchodní či provozní operace, na straně druhé jsou chytrá zařízení zranitelná. Jestliže správce nevěnuje pozornost jejich důkladnému nastavení a zařízení běží např. s výchozími uživatelskými jmény a hesly, riziko zneužití visí ve vzduchu.

Obecné nařízení o ochraně osobních údajů (GDPR) ukládá organizacím všech velikostí povinnost zajistit bezpečnost svých údajů zavedením "vhodných technických a organizačních opatření". Pokud firmě „utečou“ osobní údaje a spoléhá přitom pouze na jednoduchá statická hesla, může očekávat vysokou pokutu.

Zpřísňování zákonů a předpisů o ochraně údajů probíhá v celosvětovém měřítku a  zvyšuje nároky a standardy pro všechny, kdo disponují údaji o obyvatelích z daných zemí.

politika hesel

Jak vytvořit účinnou politiku hesel?

Při vytváření účinné politiky hesel se řiďte následujícími zásadami:

  • Proškolte všechny zaměstnance v oblasti vytváření silných hesel a nejčastějších kybernetických hrozeb.
  • Nechte vaše IT oddělení nastavit politiku hesel – tj. stanovit pravidla a zásady pro používání hesel. Nezapomeňte definovat také konkrétní postupy prosazování těchto pravidel, jinak nebude politika účinná.
  • Zaveďte další ochranná opatření pro zvýšení bezpečnosti hesel v celé organizaci, např. dvoufaktorovou autentizaci.

Ukázka politiky hesel

  • Minimální délka hesla musí být 10 znaků.
  • Heslo musí obsahovat minimálně 1 číslici, 1 velké písmeno, 1 malé písmeno a 1 speciální znak.
  • Heslo se musí lišit od předchozích hesel.
  • Heslo nesmí obsahovat uživatelské jméno, křestní jméno, příjmení uživatele nebo název služby.
  • Heslo nesmí obsahovat nejčastěji používaná hesla.
  • V hesle se nesmí vyskytovat tři stejné znaky jdoucí za sebou.
  • V případě žádosti o reset hesla je platnost odkazu ½ hodina. Nové heslo je možné znovu změnit nejdříve po 45 minutách.
  • Heslo je nutné změnit vždy po 12 měsících.
  • Nesdílejte s nikým své přístupové údaje. Jiná osoba musí mít vlastní přihlašovací údaje.

Jaké další nástroje využijete pro posílení bezpečnosti hesel ve firmě?

Pro lepší ochranu hesel zaměstnanců v organizacích se používá nejčastěji tzv. dvoufaktorová autentizace (2FA). Kromě přístupového jména a hesla, tj. údajů, které uživatel zná, se ověřuje identita držitele účtu i pomocí něčeho, co má v okamžiku přihlášení u sebe k dispozici (např. jednorázový přístupový kód, SMS zpráva). Díky tomu je přístup k podnikovým systémům chráněn i v případě, kdy dojde k úniku nebo krádeži přihlašovacích údajů.

Vzhledem k tomu, že jsou SMS a mobilní zařízení častým terčem útoků, upouštějí moderní řešení dvoufaktorové autentizace od ověřování pomocí SMS a místo toho upřednostňují tzv. push notifikace. Ty jsou bezpečnější a uživatelsky přívětivější. Pro další zvýšení bezpečnosti ověřovacího procesu, mohou organizace přidat další faktor ověření např. biometrii (tj. něco co je uživateli přirozeně vlastní).

Výkonné dvoufaktorové ověření (2FA) od ESETu ochrání firemní hesla

Řešení, které umožňuje ověřit identitu uživatele jedním kliknutím na mobilním zařízení. Pomáhá zabezpečit firemní data a splnit předepsané požadavky na ochranu údajů. Používá uživatelsky přívětivé push notifikace na telefonech s operačním systémem Android i iOS. Autentizace se snadno spravuje a lze ji nasadit za méně než 10 minut. Vyzkoušejte ji a sami se přesvědčte, jak může pomoci zvýšit bezpečnost ve vaší firmě.