Hlavní navigace

Poučení z hacku Sony: kde jinde mít hesla než ve složce Hesla?

 Autor: Isifa
Daniel Dočekal 18. 12. 2014

Bezprecedentní byl prý hack Sony. Takový, že by se mu nikdo nemohl ubránit. Některé věci jsou ale poučné. Třeba hesla ve složce Hesla.

Je to samozřejmě těžké, kam se všemi těmi hesly, která nutné potřebujete. U firmy velikost Sony jich musí být nepočítaně. Různorodé účty na sociálních sítích, FTP přístupy, počítače, aplikace, databáze. K tomu obvyklý problém, že potřebujete hesla unikátní, neuhádnutelná, dostatečně složitá, aby odolala brute-force. A také to, že ne všechno je řešitelné přídavkem v prohlížeči, protože řada hesel se používá mimo prohlížeč.

Na jednu stranu se tak lze těžko divit, že si v Sony hesla ukládají v nějaké té složce v interní síti. Otázkou samozřejmě je, proč se ta složka zrovna jmenovala Hesla (Passwords) a proč dokumenty obsahující hesla byly nejspíš navíc prostě nezaheslované, nechráněné dokumenty ve Wordu a tabulky v Excelu. Byť na druhou stranu, nejpoužívanější heslo na světě je přeci jen 12345.

DOPLNĚNO 23:30: Podle některých názorů je možné, že složku Passwords vytvořili až sami útočníci, když dávali dohromady archiv souborů, které pak zveřejnili na internetu, upozornil nás český bezpečnostní expert Michal Špaček.

It Gets Worse: The Newest Sony Data Breach Exposes Thousands Of Passwords hovoří o přístupových údajích k Facebooku, Twitteru, YouTube či MySpace ke stovkám účtů, které tam společnost měla. To vše v 139 dokumentech (Word, Excel, ZIP, PDF) a tisících použitelných kombinacích. Včetně hesel k online službám, které si Sony platilo, i přístupových údajů k počítačům a počítačovým sítím. Nechybí ani hesla umožňující nakupovat na Amazonu a na dalších službách.

S hesly je to prostě těžké

Nechci nijak Sony bránit či omlouvat, ale jedno je stále platné. S hesly je to prostě těžké. S těmi, co používáte pouze v prohlížeči, je vhodné řešení třeba LastPass (či cokoliv podobného), byť i to je určitým způsobem riziko. Pokud používáte Chrome, tak synchronizace hesel mezi prohlížeči taky není k zahození (třeba i proto, že tím vyřešíte i mobilní telefon či tablet, tedy aspoň tamní prohlížeč).

V okamžiku, kdy do toho ale začne vstupovat ještě potřeba přihlašovacích údajů v mobilních aplikacích a přihlašování mimo prohlížeč (počítačové sítě, služby s vlastními programy, všechna ta FTP/TELNET/SSH), začíná se to docela dost komplikovat. Pro jednotlivce je to možná ještě zvládnutelné, ale pokud jste správcem něčeho s větším rozsahem, tak problém roste a roste.

Můžete to zkusit řešit nějakým systémem tvorby hesla, ale časem narazíte i na další problém. U některých služeb musíte hesla sdílet (Twitter například dodnes neumí nic jiného než jenom jedny přihlašovací údaje k účtu). U dalších se sice můžete dodatečně zabezpečit dvou-faktorově, ale to zase přestane být použitelné právě v okamžiku, kdy musíte přístupy sdílet. Dvou-faktor navíc umí pěkně potrápit, když zrovna nemáte po ruce mobil nebo klíč, který slouží k dodatečnému ověření. Nehledě na to, že některé služby stále dvou-faktor neumí všude (stačí pomyslet třeba na Apple, který v Česku stále toto dodatečné zabezpečení neumožňuje).

Nejlepší je jedno univerzální heslo

Vlastně se pak ani nelze divit, že existují dva extrémy – tím jedním je, že si někde schováte všechna hesla a přihlašovací informace. Samozřejmě to není dobré dělat tak okatě jako u Sony. A je dobré, aby právě tyto informace byly uložené tak, že je jen tak hned někdo nerozlouskne (zaheslované Wordy a Excely asi nebudou ideální řešení).

To druhé je, že rezignujete a pro všechno, co používáte, nasadíte univerzální heslo. Ne sice snadno odhadnutelné či rozlousknutelné, ale pořád jenom jedno. A budete tiše doufat, že se ho nikdo nedozví. Což, popravdě, je tak jedině dobrá cesta do pekel.

Biometrie, klíčenky

Uznejme, že nejsnazší by bylo, kdyby všechny ty počítače, mobily a tablety okolo nás byly schopné používat biometrická řešení nebo nějaké formy klíčenek – ať už drátových či bezdrátových. Něco takového, jako se snaží řešit FIDO (Fast IDentity Online).

To ale nebude plošně fungovat dostatečně rychle a snadno. Podobná řešení, ať už biometrická či pomocí klíčenek, navíc existují už roky – a každé z nich je klasicky nekompatibilní s těmi ostatními. A každé z nich chce změnit svět. 

Velkou roli v tom všem navíc mohou hrát mobilní telefony a NFC, jenže ani zde to nebude až tak jednoduché. Stále zde není 100% rozšíření, není zde žádná shoda nad řešením. A vždy zde budou zájmové skupiny, které budou chtít, aby právě to jejich řešení získalo vliv. 

Našli jste v článku chybu?

18. 12. 2014 9:40

fd (neregistrovaný)

To je reseni dobre pro jednotlivce/malou skupinu lidi. S kolegy treba pouzivame keypass. Ale nedovedu si predstavit, ze by to melo pouzivat par stovek/tisic lidi. Jde totiz predevsim o sdileni hesel (v nasem pripade pristup k dns, ruznym supportum, ...). Vetsina sluzeb neumoznuje vice pristupu k jednomu uctu, a ani to by nebylo uplne reseni (pak je treba prozmenu resit deaktivace kdyz zamestnanec odejde atd.)

Defakto, z hlediska bezpecnosti je kupodivu skoro nejlepsi papir v supliku.

18. 12. 2014 12:17

_pepak (neregistrovaný)

Nelíbí se mi, když autor prezentuje svoje názory jako obecně platná fakta. Biometrická řešení v žádném případě nejsou nesnazším řešením problému (a DD také sám píše, proč ne - protože nejsou ani rozšířená, ani vzájemně kompatibilní, přidal bych, že nejsou dostatečně levná). A hlavně ten problém vlastně nijak neřeší - zatím neznáme biometrii, která by v reálném světe byla schopná fungovat na principu hashe, všechno to běží na bázi porovnávání vzorků. Takže to údajné "řešení" v podstatě jenom přev…

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Nenechte se ošidit, když vám staví dům

Nenechte se ošidit, když vám staví dům

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček