Denně používáme různá hesla pro přístup do počítače i k rozličným webovým službám. Dají se v té spleti ještě tvořit a pamatovat dle definice silná a bezpečná hesla?
Námětem dnešních bezpečnostních komentářů se mi nestala žádná celosvětová superhrozba nebo průběžné strašení bezpečnostních firem, ale příhoda z konce minulého týdne. Známý mi půjčil notebook za účelem několika drobných softwarových úprav, účet tamních Windows Vista byl však chráněn heslem, a tak se na mě vyzývavě šklebilo prázdné textové pole. Nu nic, zvedl jsem telefon, nicméně přesně podle Murphyho zákonů nebyl majitel dostupný. Po třetím pokusu o dovolání se jsem vyzkoušel heslo shodné s uživatelským jménem, a hle, okamžitě úspěšně. Pan X sice porušil základní pravidlo tisíckrát psaného kodexu, ale vnukl mi myšlenku: Mají vlastně uživatelé volit silné heslo, i když většinou nemají co důležitého chránit?
Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. Pojďme se tedy blíže podívat na to, jak se vyplatí zacházet s hesly.
Každý stisk klávesy pod drobnohledem
Hesla mají v historii IT pevně danou pozici, bez nich si nejen počítačový svět lze jen těžko představit. Základní doporučení zní, že by se stejné heslo nemělo používat pro více služeb, což ale dnes není zrovna jednoduché. Kolik hesel potřebuje běžný, internetem extrémně posedlý uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.
Druhá strana mince je však zajímavější: Jak lze na hesla ve skutečnosti zaútočit? Nechejme stranou nahlížení přes rameno a mafiánské techniky fyzického vydírání, zaměřme se na metody temnější části současného počítačového světa. Klasikou se stal phishing, případně jiné sociotechniky, zde se však lze poměrně úspěšně bránit použitím zdravého rozumu. Čas od času svou někdejší velkou slávu oprašují také keyloggery, ty však již čestné místo malwarového výsluní přepustily jiným.
Osobně musím přiznat, že se mi u právě zmíněných keyloggerů do určité míry líbila invence tvůrců, kdy je nejrůzněji vylepšují podle toho, jak se mění techniky zabezpečení. Do této kategorie spadají především útoky na grafické klávesnice (kterou používá například i Česká spořitelna), jež dovolují zadat heslo klepáním na znaky přímo na obrazovce. „Grafické keyloggery“ se specializují na konkrétní službu a jednoduše snímají danou oblast, jednotlivá klepnutí jsou pak odeslána útočníkovi.
Lámání? Říkejme radši rekonstrukce
Časy, kdy hesla byla uchovávána v otevřené podobě, jsou již zpravidla naštěstí pryč, dnes tedy operační systémy i servery volí některou variantu šifrování, otisky, resp. otisky s přidáním soli. Otisky mohou využít nejrůznějších hashovacích funkcí, nejčastěji MD5, SHA-1 nebo RIPEMD-160. Také proto se nevyplatí důvěřovat službám, které vám při zapomenutí hesla zašlou jeho původní znění namísto nově vygenerovaného s možností následné změny. Nezapomínejme, že hesla jsou nejtěsnějším pojítkem našich reálných identit s počítačovým světem, a tak se vyplatí je nevyzradit například za tabulku čokolády – některé dřívější průzkumy bohužel ukázaly úspěšnost i těchto nabídek…
Jednou z možností, jak útočit na hash kódy, je využití předpřipravených tabulek. Mezi takovéto projekty patří například i RainbowCrack
Šifrovaná nebo jinak zabezpečená hesla se samozřejmě ukládají i na straně klienta, ať už přímo přihlašovací heslo do systému, nebo jednotlivých aplikací. Z klientů v praxi jmenujme například oblíbený Total Commander, který dovoluje uložit šifrovaná hesla FTP přístupu ve svém konfiguračním souboru, a tedy napříště nabízí rychlé přihlášení. Pokud nevíte, jaký algoritmus se kterým klíčem je použit, raději tuto možnost u důležitých hesel nevolte – například právě Total Commander proslul útoky na uložená FTP hesla, stejná neplecha může postihnout jakékoliv jiné klienty z různých oblastí.
Na lámání hesel (vznešeněji řečeno jejich rekonstrukci) dokumentů, tabulek a prezentací, lámání hesel místních účtů Windows a útoky na komprimované archivy si někteří vývojáři dokonce založili byznys, nabízejí programy pro lámání hesel všeho druhu. Pokud máte rádi ruční lámání, které nabízí i náhled do principu přenášených hesel, můžete vyzkoušet například populární Cain & Abel, jenž dovoluje i testy útoků na vybrané hash kódy, duhové útoky proti hash kódům nevyjímaje.
Jak se na bezpečnost počítačových i síťových hesel díváte vy, kolik jich zhruba používáte? Snažíte se tvořit co možná nejsilnější hesla a využíváte některé nástroje pro jejich správu? Podělte se s ostatními čtenáři v diskuzi pod článkem.
