Americký portál Yahoo razí cestu „k budoucnosti bez hesel“. Nabízí místo nich využití chytrého telefonu nebo tabletu jako prostředku přihlášení k uživatelskému účtu.
Nesnaží se přitom o neprůstřelnou ochranu proti průniku do účtu, usiluje prostě o zvýšení stávající úrovně zabezpečení, ale zároveň chce přihlašování usnadnit, aby zvýšení bezpečnosti bylo uživatelům i příjemné.
Při posuzování zvolených řešení mějme na paměti, pro koho jsou míněna — Yahoo se mezi hrstkou světových internetových společností vyznačuje cílením na uživatele naprosto netechnické, na prosté, obyčejné lidi (nikoli nepodobně jako český Seznam). Je‑li někdo v postavení vyzkoušet a prosadit bezpečnější přihlašování pochopitelné i pro „tetičku Amálii“, pak je to tedy spíše lidové Yahoo než geekovský Google nebo korporátní Microsoft.
Z doby poměrně nedávné připomeňme, že Yahoo ohlásilo koncem ledna 2014 cílený rozsáhlejší průnik do některých účtů, jež užívaly přihlašovací údaje shodné s obsahem patrně cizí, ukradené databáze uživatelů.
V Yahoo jsou už zjevně smířeni s tím, že podstatnou část svých uživatelů nikdy nenaučí neopakovat stejná, slabá hesla na více místech; lze tak usoudit například z vyjádření pro Engadget od Jeffa Bonforta, staršího viceprezidenta pro komunikační produkty Yahoo; společnost proto musí hledat jiné cesty k lepšímu zabezpečení uživatelských účtů.
Programy na správu hesel Bonforte sice nezmiňuje, leč předpokládejme, že společnost hledá řešení dostatečně snadné i pro ty, kdo by nebyli ochotni zabývat se správcem hesel, nebo vůbec schopni chápat, jak se jím zachází.
Hesla na jedno použití
První krok na cestě k opuštění hesel učinilo Yahoo letos v březnu uvedením možnosti nahradit si stálé heslo tím, že Yahoo v případě potřeby zašle uživateli jednorázové heslo v SMS — na předtím ověřené telefonní číslo. Připomíná to sice „dvoufaktor“, ale vlastně tomu chybí jeden z faktorů. Použití předvádí toto video.
Jednorázové heslo na vyžádání
Oproti například jednorázovým heslům od Microsoftu to není příležitostný způsob přihlášení navíc ke stávajícímu heslu, uživatel se v nastavení účtu vzdává možnosti přihlašovat se heslem stálým; nikoli ovšem nezvratně, k užívání stálého hesla se lze vrátit, ale po dobu zapnutí tohoto nastavení uživatel nemá k účtu platné stálé heslo, a tedy mu ho nemůže nikdo uhodnout. Znalost hesla se zcela nahrazuje kontrolou nad určitým telefonním číslem.
Heslo se neposílá pokaždé, ale jen tehdy, kdy vám v prohlížeči chybí potřebné cookie, nebo usoudí‑li Yahoo, že by po vás mělo heslo chtít.
Yahoo tuto možnost zpřístupnilo pouze pro uživatele ze Spojených států. (Přestože například za účelem ověření, že určité telefonní číslo je vaše, pošle SMS i do Česka; rovněž vám i pro české číslo dovolí zapnout dvoufaktorové ověřování, jež však u Yahoo znamená ověření pouze při prvním přihlášení z nového, dosud neznámého zařízení; například u Googlu je takové chování jen volitelná možnost, můžete u něj trvat na dvoufaktoru při každém přihlášení k účtu.)
Výhody: Uživatel si nemusí pamatovat nic než své přihlašovací jméno, jež nemusí být ani tajné, ani složité. A přestože se opisují jen čtyřmístné kódy, vzhledem k povaze přihlašování není průnik náhodným uhodnutím pravděpodobný.
Nevýhoda: Požaduje-li Yahoo po uživateli heslo, pak u sebe musí mít uživatel mobil, anebo musí vyvolat jeden ze způsobů obnovení přístupu k účtu. Ty musí mít nastaveny, jinak mu hrozí, že přijde-li o telefonní číslo jako takové, například ztratí-li předplacenou kartu, přijde o přístup k účtu.
Jako způsoby automatické obnovy si lze jednak přidat více telefonních čísel, což připadá v úvahu pro uživatele více zařízení s připojením k mobilní síti, jednak jiné e-mailové adresy, což ovšem provazuje zabezpečení jednoho účtu se zabezpečením jiného účtu.
(Nemá-li uživatel ani jedno, ještě zbývá naděje přesvědčit lidskou podporu od Yahoo, že účet je skutečně váš.)
Slabiny: Vylučuje se tím ověření dvoufaktorové, tedy to není způsob vhodný přinejmenším pro někoho se zvýšenou pravděpodobností, že bude cílem útoku. Dvoufaktorové ověření má u Yahoo zapnuto „méně než 10 % uživatelů,
uvádí Jeff Bonforte.
Bezpečnost účtu závisí zcela na bezpečnosti mobilu uživatele, včetně toho, že v mobilu neběží malware sledující příchozí SMS, což pohříchu není tak vzácné. Podle zprávy od Motive Security Labs je malwarem napadeno asi 0,5–0,75 % zařízení s Androidem, nejrozšířenější je přitom právě spyware.
Nad nevýhodou svázání s mobilem netřeba se pohoršovat — Yahoo tento způsob nikomu nenutí, je to možnost nastavitelná dobrovolně. Povážit můžeme, zda je mobil dostatečně bezpečný jako jediný faktor. Zjevně záleží na chování uživatele mobilu. Nakolik je to bezpečnější způsob přihlašování než heslo, to se pak nepřímo odvíjí i od toho, nakolik uhodnutelné a opakované heslo by si dotyčný jinak zvolil.
Přihlédněme nakonec i k tomu, že zpráva od Motive Security Labs odhaduje podíl PC napadených malwarem vysoké nebezpečnosti v rozmezí 6–7 % (oproti adwaru střední nebezpečnosti v rozmezí dokonce 8–12 %).
Přihlašování úplně bez hesla
Ještě dále pokročilo Yahoo minulý týden, uvedením přepracované mobilní aplikace na přístup k poště na Yahoo (pro iOS a pro Android).
Její ostatní vlastnosti ponechme zcela stranou a řekněme si, že aplikace může být zároveň klientem pro přihlašování k účtu u Yahoo. Společnost nazvala nový způsob přihlašování „Yahoo Account Key“, tedy „klíč k účtu u Yahoo“. Postupně ho mají podporovat i další mobilní aplikace od Yahoo.
Stačí přihlášení potvrdit nebo odmítnout
Yahoo Account Key už nezávisí na SMS, nýbrž na doručeném oznámení (push notification): v okamžiku, kdy se v prohlížeči na PC zobrazí přihlašovací obrazovka, pak po aktivaci políčka, kam by jiný uživatel zapsal heslo, dojde uživateli „klíče“ oznámení na mobil — ale ne s kódem, který by musel opsat, prostě se jen zobrazí dotaz, zda se chce uživatel přihlásit; stačí odpovědět dotykem na Yes nebo No.
A to je zpravidla vše. (Někdy si Yahoo pro jistotu přece jen vyžádá opsání kódu.) Účet u Yahoo je tak zabezpečen stejně jako uživatelův mobil.
Jako v případě jednorázových hesel je to náhrada přihlašování heslem, nikoli další možnost vedle hesla, nicméně uživateli zůstávají možnosti obnovy přístupu, popřípadě možnost návratu k užívání hesla.
Na rozdíl od jednorázových hesel je přihlašování klíčem k Yahoo uváděno od počátku pro celý svět, avšak na Androidu postupně, a to bez dalšího upřesnění. Snad záleží na tom, jaký máte telefon a verzi Androidu. Funkce se zapíná v mobilní aplikaci (viz video), a nenajdete-li ji tam, pak zjevně nemáte potřebnou nejnovější verzi aplikace.
Není to ani v tomto provedení řešení vysoce bezpečné, byť je možná o fous bezpečnější než kód v SMS, a rozhodně mnohem pohodlnější.
Dylan Casey, viceprezident Yahoo pro produkty, poukazuje pro Engadget na to, že v budoucnu může být metoda rozšířena o biometrické rozpoznávání — otisku prstů, obličeje a podobně — a to by bylo rozhodně mnohem bezpečnější.
Proč to tak neudělali rovnou? Můžeme se dohadovat, že nejprve chtějí přinést řešení přístupné co nejvíce uživatelům, aby se možnost snadného přihlašování skrze mobil dostala do co nejširšího povědomí.
Mimoto skrývá nový způsob přece jen některé možné záludnosti; teprve se uvidí, zda se běžný uživatel klíče k Yahoo dokáže vypořádat například s přechodem na nový telefon.
