Hlavní navigace

Hesla k datovým schránkám: musíte je měnit každých 90 dnů!

 Autor: 21971
Jiří Peterka

Zatím nedokumentovaná vlastnost datových schránek vás nutí měnit si heslo každých 90 dnů. A to i v případě, že používáte silnější autentizaci, opírající se o certifikát. Na změnu hesla máte 5 pokusů, během kterých se ke své schránce sice můžete přihlásit, ale k jejímu obsahu se bez úspěšné  změny hesla nedostanete. Pokud tyto pokusy nevyužijete, vaše přihlašovací údaje jsou zneplatněny.

Jako koncovým uživatelům se nám už už mohlo zdát, že o jejich vlastnostech a fungování víme všechno. Či dokonce ještě více než jejich zřizovatelé a provozovatelé. Ti totiž stále ještě nezaznamenali, že ostrá verze datových schránek běží na doméně mojedatovaschran­ka.cz – a místo toho všude propagují úplně jinou doménu (datoveschran­ky.info). A když říkají, že tato jiná adresa (datoveschran­ky.info) je jedinou správnou adresou, pak tím fakticky varují před tou skutečnou. Místo řešení bezpečnostních problémů tak vlastně nový bezpečnostní problém sami vytváří.

Jak ale už tušíte z titulku a perexu, tento článek bude o něčem jiném. O záležitosti, na kterou mne nejprve upozornili čtenáři, a posléze jsem ji zažil i na vlastní kůži. Časem potká každého, kdo si svou datovou schránku již aktivoval: systém na něj „vybafne“, že si musí změnit své heslo.

Nejprve vás systém „jemně upozorní“, že se blíží expirace (ukončení platnosti) vašeho stávajícího hesla, viz následující obrázek.

varování

S jakým předstihem tak systém činí, se mi nepodařilo přesně určit: je to méně než 5 dnů, ale více než 3 dny, jak ostatně vyplývá i z obrázku (4.11.2009 zde výzva ještě nebyla, a 7.11.2009 už ano).

Když pak k avizovanému ukončení platnosti hesla dojde, systém vás nechá přihlásit se do vaší datové schránky ještě pomocí starého hesla, a vyzve vás k jeho změně na nové heslo, viz další obrázek.

pozadavek na zmenu hesla

Nové heslo přitom musí být skutečně jiné, tj. odlišné od toho předchozího.

heslo musi byt jine

Kde a jak se o všem dozvědět?

V tuto chvíli vás asi již napadají nejrůznější otázky. Třeba: jak dlouho heslo vydrží? Či: kterých variant přístupu k datovým schránkám se toto vše týká? Nebo asi nejzásadnější otázka: kde se o takto důležitých věcech dozvím více, když jsem si toho dosud nevšiml(a)?

O nutnosti měnit hesla se – v obecné rovině – mluví na mnoha místech, i v souvislosti s datovými schránkami. Jenže kde se mluví o tom, že datové schránky si změnu hesla zcela nekompromisně vynucují? A kde se dozvím, s jakým intervalem? Tedy jak dlouho mi heslo vydrží a kdy bude expirovat?  

Asi by se dalo očekávat, že takto zásadní informace najdete například v „přístupové“ vyhlášce č. 194/2009 Sb. („o stanovení podrobností užívání a provozování informačního systému datových schránek“). Ta ale hovoří pouze o možnosti změnit heslo, nikoli o povinnosti tak činit.

Dalším kandidátem by logicky byl provozní řád ISDS. Nedávno byla dokonce vydána jeho nová verze („k 30.10.2009“). Ta sice obšírně řeší  nutnost změny prvotního hesla (tj. hesla vydaného správcem systému), ale o nutnosti změny hesla samotným uživatelem přímo nehovoří. Obsahuje ale zajímavá „zadní vrátka“, skrze která může systém nechat expirovat hesla prakticky kdykoli (a na uživatelích si jejich změnu vynutit):

Systém může kdykoliv, v závislosti na nastavení, omezit uživateli počet možných přihlášení s aktuálně používanými přístupovými údaji a znovu jej požádat o změnu přístupového hesla.

Jestliže tedy ani provozní řád neříká nic o tom, že by hesla pravidelně expirovala, natož za jak dlouho, kde tedy hledat potřebnou informaci? Kde zjistit, jak se systém chová?

Nedozvíte se to například ani na tiskopisu, skrze který Česká pošta rozesílá prvotní přihlašovací údaje. Nedozvíte se to třeba ani v online nápovědě k samotným datovým schránkám.

Když jsem se pokoušel potřebnou informaci „vygooglit“, našel jsem o tom jedinou zmínku. Na informačním webu o datových schránkách, na adrese www.datoveschran­ky.info, se na jednom místě objevuje následující informace:

zminka o nutnosti menit heslo

Jaká jsou pravidla?

Samozřejmě jsem si vyžádal přesnější informace přímo „od zdroje“. Ty hlavní vypadají následovně:

  • Expirace hesla je skutečně nastavena na 90 dnů.
  • Po uplynutí této doby je uživatel (při přístupu na portál) vyzván formulářem ke změně hesla.
  • Je kontrolována složitost a také to, zda se heslo neopakuje s některým dříve užívaným.
  • Postup je obvyklý (potvrzení starého hesla, zadání nového, kontrolní zadání nového, kliknutí na tlačítko Změnit heslo).
  • Po úspěšné změně se uživatel přihlašuje novým heslem (to náleží k DS, čili je stejné i pro webové služby).

Povšimněte si zmínky o webových službách: povinnost změny hesla se fakticky týká všech variant přístupu k datovým schránkám, kde se s individuálním heslem pracuje. Tedy i přístupu přes webové rozhraní. Takže pokud přistupujete ke své datové schránce například pomocí konektoru do MS Outlooku (či pomocí nějaké jiné aplikace, která sama využívá rozhraní webových služeb), problém se vás týká tak jako tak.

Dokonce má i svá specifika, protože při přístupu přes rozhraní webových služeb vás systém nemůže upozornit podobnou hláškou, jako na výše uvedených obrázcích, které ukazují přístup přes webový portál. O tom, že heslo vám již expirovalo, se přes webové služby vlastně přímo ani nedozvíte. Můžete si to jen domyslet, z toho že systém vám náhle začne vracet chybu 401 (Unauthorized, neboli „obecná“ chyba přihlášení). Ovšem pokud nevíte, že heslo pravidelně expiruje – a ani se o tom nikde moc nedočtete –, máte dedukci značně ztíženou. Poznáte to, až když se v nouzi nejvyšší přihlásíte přímo přes webové rozhraní.

Zajímavé  je, že pravidelné expirování hesla po 90 dnech (a z toho vyplývající nutnost měnit heslo) se týká  i varianty, kdy se uživatel přihlašuje (k webovému rozhraní) pomocí svého (komerčního) certifikátu.

Grace Period

Pojďme nyní k další velmi důležité otázce: co přesně se stane, když vám heslo již expiruje? Zvláště když se o tom nemusíte dopředu ani dozvědět (a při přístupu přes webové rozhraní se to nemusíte hned domyslet ani poté, co se tak již stalo). Znamená to, že přístup k vaší datové schránce je již zablokován, vaše údaje zneplatněny – a vy musíte jít na CzechPoint nechat si přidělit nové přístupové údaje?

Autoři datových schránek tuto obavu vyvracejí existencí tzv. grace period:

… i po expiraci hesla může uživatel přes staré heslo ještě 5× přistoupit na portál (v době, kdy webové služby už přístup odmítají chybovým hlášením 401), a to bez omezení času. Tam je pokaždé vyzván ke změně hesla. Pokud to při žádném z těchto 5-ti přístupů neudělá, pak již nemá na změnu hesla přes portál šanci. Do té doby mu však CzechPoint, jak se občas ptají uživatelé, rozhodně nehrozí.

Pokud tomu ale rozumíte tak, že se ještě 5× „dostanete do své datové schránky“  a můžete stále pracovat s jejím obsahem (a při té příležitosti můžete i změnit heslo), pak tomu rozumíte špatně. K obsahu své datové schránky se nedostanete, protože systém si hned po přihlášení začne změnu hesla vynucovat a bez ní vás nepustí dál ( třeba jen k oznámení, kolik máte nově doručených zpráv).

To mi přijde zajímavé hned ze dvou důvodů. Prvním je formální aspekt: již jsem se přihlásil do své schránky (přes webové rozhraní), a začínají tedy již běžet lhůty pro fikci doručení. Jenže dokud nezměním staré heslo za nové (či dokonce nějak propásnu oněch 5 pokusů), vlastně se ani nedostanu k tomu, co mi bylo doručeno (ani k pouhé informaci, zda mi bylo doručeno něco nového).

S tím pak souvisí i druhý zajímavý aspekt: jakým způsobem vlastně mohu „prošvihnout“ oněch 5 možností  ke změně hesla, když mne systém neumožní udělat nic jiného, než provést právě změnu hesla? A zadat nějaké nepřípustné heslo, či stejné heslo, jako bylo to předchozí, mi také nedovolí.

Jedinou možností je zřejmě ukončit stávající přihlášení bez dokončení změny hesla. V okamžiku, kdy po vás systém změnu hesla požaduje, se sice řádně odhlásit již nemůžete – ale stále zbývá možnost vrátit se zpět v historii, či nechat se odhlásit systémem pro nečinnost. Tím aktuální pokus o změnu hesla propadá a k dispozici jich je už o jeden méně.

Skutečně to tak funguje, viz následující obrázky. Čítač počtu pokusů na nich klesá tak, jak má, až se objeví  „poslední vážné varování“ s poněkud odlišným textem.

zbyvaji 3 pokusy zbyva 1 pokus
posledni pokus posledni sance

Když nevyužijete ani tento poslední pokus o změnu hesla, dojde skutečně ke zneplatnění vašich přístupových údajů – a vy musíte požádat o nové. Takže k tomu, co vidíte na posledním dnešním obrázku, se raději sami nepokoušejte dopracovat. Já jsem to udělal úmyslně a s plným vědomím následků. Alespoň si prakticky vyzkouším, jak to chodí na CzechPointech   při vydávání nových přístupových údajů.

pristupove udaje jsou jiz zneplatneny

K tomu ještě jedna důležitá poznámka: popisované „čerpání“ pěti pokusů se týká pouze webového rozhraní na webovém portálu. Pokud se budete pokoušet přihlásit přes rozhraní webových služeb (resp. bude to za vás dělat příslušná aplikace), pak tyto pokusy se do oněch 5 nepočítají. Můžete to tedy zkoušet libovolně dlouho – a systém vám stále bude vracet onu chybu 401. A vy si z ní musíte sami domyslet, co se vlastně stalo.

Co říci závěrem?

Vzato čistě z hlediska bezpečnosti a správy hesel, je jejich co nejčastější obměna jistě správná. Vzhledem k celkově nízké úrovni zabezpečení (jen pomocí jména a hesla) i možným následkům neoprávněného přístupu do datové schránky o to více.

Na druhou stranu nelze nevidět ani praktické aspekty: takto „tvrdé“ podmínky, s vynucováním obměny hesla každých 90 dnů, si v jiných systémech jen tak netroufnou nastolit. Tady se ale „silový resort“ vnitra očividně nijak nerozpakoval být na uživatele tvrdý a nekompromisní. Jestlipak přitom zvažoval i o to, že koncové uživatele tím o to více tlačí do všelijakého zapisování hesel na dobře viditelná místa (viz klasický „papírek na monitoru“), místo snahy si heslo zapamatovat? Nebude tak celkový efekt nakonec úplně obrácený? Tedy ve smyslu zhoršení bezpečnosti, než jejího zlepšení?

A co informování celé uživatelské veřejnosti o takto zásadních věcech? To, že celá záležitost je doposud fakticky utajována, a zařazení nezbytných informací  do uživatelské dokumentace se prý teprve připravuje, mi přijde opravdu jako problém. A když si to spojím s jiným bezpečnostním problémem, zmiňovaným v úvodu (s propagováním jiné adresy jako „jediné správné“), pak už si přestávám být jist tím, co si o všem myslet.

Anketa

Jak celkově hodnotíte popisovanou povinnost měnit heslo každých 90 dnů?

Našli jste v článku chybu?

11. 11. 2009 7:35

Michal Krsek (neregistrovaný)
Jiri obavam se, ze ona "testovaci" perioda od 1.7. 2009 do 1.11. 2009 zustala zcela nevyuzita. Vsichni to vyuzili k tomu, aby naprogramovali rozhrani pro svoje spisove sluzby, ale nikdo to opravdu netestoval.

Radeji nedomyslim stav, ktery nastane, az se zjisti, ze nektere z tech spisovych sluzeb s touto funkcionalitou nepocitaji.

Pokud to vezmu z pozice statutarniho organu obchodni spolecnosti, ktera s urady prijde do styku minimalne, tak mi to prijde absurdni. Do systemu jsem se pri…



11. 11. 2009 21:13

l. (neregistrovaný)
Zima2009
Jaro2010
Leto2010
Podzim2010
Zima2010
...
...
...






120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: V restauraci bez cigaret? Sněmovna kývla

V restauraci bez cigaret? Sněmovna kývla

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life