Bezpečnost

Nařizuje vám zaměstnavatel neustále měnit hesla? Může to být cesta do pekel!

Nařizuje vám zaměstnavatel neustále měnit hesla? Může to být cesta do pekel!

Jedna z letitých a stále opakovaných bezpečnostních pouček hojně používaných v podnikové sféře je povinná změna hesla po určitém časovém období. Oddělení IT jednoduše vyžaduje, abyste si i několikrát do roka vytvořili heslo k poště, do všemožných intranetových systémů aj.

Toto pravidlo dává na první pohled samozřejmě smysl, protože pokud útočník odhalí starou variantu, v ideálním případě mu bude k ničemu, protože již budete používat jiné heslo.

Jenže to má háček, lidé totiž nejsou stroje. Alespoň ve většině případů.

Klepněte pro větší obrázek
Něco podobného zná leckterý zaměstnanec

Pokud je surfař přinucen změnit si heslo, zpravidla volí cestu nejmenšího odporu. Aby si nové heslo byl vůbec schopen zapamatovat, často upraví jen to původní drobnou transformací. A tak se z řetězce mojeSuperHeslo stane mojeSuperHeslo1, pak mojeSuperHeslo2 a tak dále. Však to sami dobře znáte.

Problém spočívá v tom, že se jedná o transformace, které jsou strojově předvídatelné, a tak zkušený útočník při prolomení některého ze starších hesel může vyzkoušet, jestli nové heslo neodpovídá některému z podobných transformačních vzorů a může jej odhalit za zlomek času – prakticky okamžitě.

O politice periodické změny hesel si myslí své i Lorrie Cranorová z Carnegie Mellon University, která se v lednu stala technologickým šéfem americké federální obchodní komise FTC a zaujal ji tento tweet, ve kterém průběžnou změnu hesel doporučuje sama mateřská organizace.

Cranorová začala s kolegy problém zkoumat, až se dostala ke starší studii z roku 2010 z pera výzkumníků z University of North Carolina at Chapel Hill, kteří se již tehdy zabývali zranitelností periodicky se měnících hesel a na vzorku z vlastní univerzity zjistili, že se studenti a zaměstnanci chovají přesně podle popsaného předpokladu a volili velmi podobná hesla originálu, což vedlo k potenciálně nižší bezpečnosti.

Těžko říci, jestli se na základě přístupu Cranorové změní přímo doporučení FTC a především korporátní praxe, jistě mi však dáte za pravdu, že na stejném principu volí nová hesla nejen Američané, ale téměř všichni.

Klepněte pro větší obrázek
Bezpečnostní specialistka Lorrie Cranorová z FTC pochybuje o politice průběžné změny hesla

Určitou obranou by samozřejmě mohla být kontrola, jestli se nové heslo příliš nepodobá tomu starému, což ostatně některé systémy dělají, ovšem i tato politika není bezchybná, protože může vést zase k tomu, že si zaměstnanec zcela odlišné heslo napíše na papírek u svého pracovního počítače, čímž se však celý bezpečnostní systém zhroutí jako domeček z karet.

V krajním případě to nakonec může dopadnout jako před pár lety ve francouzském mediálním domě TV5Monde, kde se takto vypsaná hesla v kanceláři dostala dokonce do živého televizního vysílání.

Klepněte pro větší obrázek
Všemožná redakční hesla na papírcích v živém vysílání francouzské televize
Diskuze (76) Další článek: Interaktivní dynamické video vyrobí z obyčejného videa aktivní model

Témata článku: Web, Bezpečnost, Zajímavosti, Hacking, Heslo, Analýza, Carnegie Mellon University, Pracovní počítač, Specialista, Živá data, Nové heslo, CES, CCS, Zaměstnavatel, Transformace, Stejná zranitelnost, Změna hesla, Tips, Technologický šéf, Časové období, FTC, Cesta, Papírek, Televize na Mall.cz


Určitě si přečtěte

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 22

10 skrytých nastavení prohlížeče Google Chrome, která se můžou hodit

10 skrytých nastavení prohlížeče Google Chrome, která se můžou hodit

** Prohlížeč Google Chrome ukrývá mnoho zajímavých možností ** Našli jsme deset nejzajímavějších skrytých nastavení ** Můžete si například výrazně vylepšit práci s kartami

Karel Kilián | 18

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Na hraní se hodí více peněz, ale na použitelný základ dvacet tisíc stačí

Tomáš Holčík, David Polesný | 50

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

** Rajče.net má odjakživa problémy s choulostivými fotkami dětí ** Student zlínské univerzity analyzoval jeho katalog ** Neuronová síť doposud prozkoumala 6 milionů snímků

Jakub Čížek, Filip Šedivý | 74

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

** Dlouhý betatest končí a nyní všichni mohou hrát přes internet ** Nemusíte žádné hry kupovat znovu. Jede to, co už máte v knihovnách na Steamu, Uplay, Battle.net a jinde ** Roční náklady odpovídají ceně jedné běžné hry

Tomáš Holčík | 66



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky