Koncem pracovního týdne jsme oslavili další z mnoha obskurních dnů, byť zrovna tento bychom si možná měli připomínat přinejmenším každé pondělí. Řeč je samozřejmě o Světovém dni hesel.
Nenechte se ale zmást onou světovostí, za svátkem totiž nestojí OSN či jiná podobná autorita, ale Intel, který kdysi na adrese passwordday.org spustil drobnou vzdělávací aplikaci. Dnes už je mrtvá a doména ve skutečnosti míří na britskou pobočku výrobce čipů, Den hesel si ale připomenul třeba Avast, který se v blogovém zápisku možná trošku odvážně ptá, zdali jej náhodou letos neslavíme naposledy.
A to ne proto, že by si na něj snad už příští rok opravdu nikdo nevzpomněl, ale spíše s ohledem na to, jakým způsobem dnes vlastně od rána do večera ověřujeme svoji identitu.
Supersložité heslo je prohra designu
Stručně řečeno, klasická alfanumerická hesla postupně vytlačují jiné metody, které nejrůznějšími způsoby řeší jejich principiální ergonomické nedostatky. Po několika desítkách let rozvoje moderních počítačů jsme to totiž dopracovali tak daleko, že nám začali bezpečnostní odborníci z televizních obrazovek po jakémkoliv velkém úniku přístupových údajů radit, že ideální heslo vypadá s trochou nadsázky zhruba takto:
xwY_1Tr3vAhG#7💩💩💩8+352;kL@%
Přitom se tak trochu zapomnělo na drobnost, že nám mají technologie sloužit, že nám mají zjednodušovat život a že volba podobných hesel, které si máme zapamatovat, spravovat jakousi další aplikací třetí strany, anebo v nejhorším případě dokonce napsat někam na papírek či do textového souboru hesla.txt, je vlastně prohrou samotného bezpečnostního designu.
Máma z Oregonu a teta z Kozojed nejsou stroje
Jaká je realita? Běžní smrtelníci používají stále dokola primitivní slovníkové výrazy a číselné řady, které každý prolamovací algoritmus odhalí za pár milisekund, a bude tomu tak i nadále přes všechny osvětové akce, nejrůznější sváteční dny i chytré mluvící hlavy z televizních obrazovek.
Máma z Oregonu, babička z Šanghaje i teta z Kozojed totiž nejsou raketové inženýrky a dokonce si po večerech ani nepájejí experimentální obvody své mikrovlnné trouby. Počítače, mobily a jejich aplikace jsou pro ně spotřební elektronika, která má fungovat, aniž by se ony samotné musely starat. Nemějme jim to za zlé.
Nejčastější hesla podle SplashData (Kompletní tabulku najdete na Wikipedii)
Ostatně, stačí se podívat na statistiku nejtypičtějších hesel za posledních bezmála deset let podle analytiků ze SplashData, kterou najdete pěkně pohromadě v tomto zápisku na Wikipedii. První pozice jsou v podstatě téměř stále stejné. Ano, byť to může být pro leckoho jen stěží pochopitelné, stále kralují číselné řady 123456789, password, nebo dokonce jen qwerty (prvních šest písmen na anglické klávesnici).
Pokud se nezmění samotní uživatelé, musí se změnit systém. A jak už jsme si řekli v úvodu, on už se roky opravdu mění. Avast ve svém zápisku cituje loňský odhad Gartneru, podle kterého bude v roce 2022 většina společností používat nějaký jiný typ autentizace ve více než polovině každodenních případů.
Biometrika
V kapse nosím Pixel 4, k telefonu a mnoha jeho kritickým aplikacím včetně mobilního bankovnictví se tedy přihlašuji prostým pohledem do čelní 3D kamery. Stejně tak to dělají majitelé iPhonů a mnozí další. Na starším telefonu jsem pak pro to samé používal otisk prstu a obdobné autentizační biometrické API.
Nastavení biometrické autentizace pomoc 3D kamery na Androidu a její praktické použití v bankovní aplikaci bez potřeby vyplňování klasického hesla/pinu
Právě biometrika, která je dnes už v nějaké podobě na nových mobilních telefonech střední a vyšší kategorie prakticky všudypřítomná, bude jedním z nejnadějnějších adeptů na nástupce klasických hesel. Nicméně i ta má svá úskalí. Když vám někdo odcizí vaše heslo, prostě jej změníte. Když vám ale někdo odcizí digitální popis anatomie vaší tváře, na plastiku asi nepůjdete.
Autentifikace na základě vzoru
Další zajímavou cestou ověření identity je tzv. metoda Pattern Based Authenification, o které se rozepsali experti z Authlogics v tomto dokumentu (PDF). Princip PBA připomíná třeba odemykání Windows pomocí kresby po obrázku, anebo odemykání telefonu gestem, kdy podle vlastního vzorku propojíte body na obrazovce. Heslem je tedy právě tento geometrický vzor, který znáte jen vy.
Vzor je stále stejný, takže jednou získáme heslo 022314 a podruhé 315543
Implementace od Authlogics je poněkud propracovanější, ale v základu stejná. V podstatě jde o to, že gestem propojíte konkrétní body na velké matici alfanumerických znaků, čímž vytvoříte klíč. Podoba matice je přitom pokaždé jiná a s ní i vygenerované heslo (jedná se tedy zároveň o metodu OTP – One Time Password), což vás ale nemusí nijak trápit, vy si totiž budete pamatovat jen pohyb ruky po šachovnici fyzických nebo jen virtuálních tlačítek.
OTP a dvoufaktor
Výše padla řeč na zkratku OTP, tedy One Time Password. To je metoda, kterou už dnes v hojné míře používáme zpravidla ve spojitosti s nějakým systémem dvoufaktorové autentizace. Ani v tomto případě si nemusíme žádné heslo psát nikam na papírek, při každém požadavku totiž dorazí na důvěryhodné zařízení – typicky na náš mobil.
Dvoufaktor s OTP skrze SMS při přihlašování do Portálu občana
OTP známe třeba z online bankovnictví, kdy nám při pokusu o přihlášení nebo provedení citlivé operace dorazí kód ve formě SMS, případně nás mobilní aplikace banky vyzve k biometrické autentizaci.
Nejvyšší formou je pak dvoufaktor bez potřeby cokoliv opisovat. Autentizaci jen potvrdíme na důvěryhodném zařízení, které se nás prostě zeptá, zdali je vše v pořádku. Dneska to tak dělají jak Google, tak Microsoft i mnohé bankovní aplikace.
Tato autentizační metoda je tedy tak bezpečná, jak bezpečné je ono důvěryhodné mobilní zařízení. Jistě, útočník může prolomit cizí telefon a teoreticky hacknout celý dvoufaktorový systém, v praxi se to ale ještě u žádného z renomovaných hráčů nestalo. Proč? Prostá ekonomie. Náklady jsou v tomto případě zpravidla (zatím) vyšší než potenciální výnosy.
Single Sign-On
I tuto techniku většina z vás jistě používá každý den. SSO je totiž zkratka pro přístup, kdy se ke koncovým službám přihlašujeme skrze jednu centrální autoritu. Má to své výhody, koncové služby si totiž pouze ověřují, zdali jsme majitelé u nich registrovaných účtů, ale nevyměňujeme si s nimi naše hesla. Díky tomu nehrozí, ztráta databáze s hesly – tyto weby žádné takové databáze nemají, protože jsme jim nikdy žádné heslo nesdělili.
Jednotné přihlašování skrze Google pro webové stránky
Řeč je samozřejmě o přihlašování k webům X, Y a Z skrze Google, Facebook, Twitter, Microsoft a v našich končinách je třeba zmínit také projekt MojeID, za kterým stojí dostatečně nezávislý správce národní domény CZ.NIC. SSO lze pak nasadit i v uzavřeném podnikovém ekosystému na vlastním „železe“.
I v tomto případě platí, že je celý systém tak silný, jak silná je centrální autorita. A byť jsme tu měli v poslední dekádě hromadu velkých a úspěšných útoků na velikány jako Yahoo, Adobe nebo třeba servery Sony, Google, Facebook nebo třeba Microsoft takovým způsobem zatím nikdo neprolomil. Není se čemu divit, jejich vnitřní zabezpečení je totiž dnes často i vyšší než u vaší banky.
FIDO
S OTP, SSO a dalšími prvky next-gen autentizace souvisí také iniciativa FIDO (Fast IDentity Online), která se snaží všechny tyto nové techniky jednotně zastřešit, aby byly dostupné napříč operačními systémy, programy a webovými službami.
K dokonalosti to má bohužel i po letech neskutečně daleko, a tak se pomocí čtečky otisků prstů, 3D kamery, hardwarového klíče a dalších prvků přihlásíte sice (třeba) k Windows nebo do Gmailu, už ale ne do těch stovek tisíc dalších webových služeb.
Dvoufaktorová autentizace do webového Twitteru pomocí USB klíče YubiKey na Windows 10, které podporují protokoly z rodiny FIDO
FIDO teprve čeká na spolehlivý, dostatečně ergonomický, snadno implementovatelný a v praxi hlavně široce přijímaný webový standard, který bude jednou na webu stejně samozřejmý jako animovaný GIF.
Umělá inteligence
Vzdálenější budoucnost nakonec možná přinese zcela nové formy ověření identity s prvky A.I., která se bude rozhodovat, jak siná autorizace je potřeba podle toho, o co žádáme.
I s těmito technikami se už dnes experimentuje, a tak nás jednou automat vyzve k ověření identity různým způsobem, pokud budeme chtít provést jen nějakou banální operaci, anebo převést podnikovou pokladnu na zahraniční účet.
Ať už to dopadne jakkoliv, s mírným zpožděním a dodatečně: Štastný a veselý Světový den hesel.
