Hlavní navigace

Zabezpečení na úkor použitelnosti jde na úkor bezpečnosti

Michal Špaček

Pravidelně měňte hesla, silné heslo kombinuje znaky a čísla, HTTPS znamená bezpečí. Jaké mýty o bezpečnosti šíří Česká bankovní asociace?

Doba čtení: 7 minut

Sdílet

Česká bankovní asociace (ČBA) vydala jakýsi Index bezpečnosti, což je prý souhrnné vyjádření toho, zda si lidé umí ochránit své mobily, e-maily či hesla před útoky hackerů. K tomu rozjela mediální masáž, ve které Tomáš Hládek, poradce ČBA pro platební styk a kyberbezpečnost, doporučuje věci, které nejméně posledních deset let neplatí nebo vám nepomohou, nebo vám rovnou podrazí nohy a zlomí vaz.

Česká média, podobně jako minulý rok, tento Index bezpečnosti a na něj navázaná doporučení zcela nekriticky převzala, což mě třeba u České televize a Seznam Zpráv tak nějak jakože překvapilo. Na reportáž ve Studiu 6 jsem se podíval, článek na Seznam Zprávách přečetl, abyste vy už nemuseli.

Článek na Měšec.cz jsem bohužel nedočetl. Tomáš Hládek v něm například tvrdí, že heslo „Sppo“ (první písmena každého slova z říkanky Skákal pes přes oves) je prý zcela náhodná kombinace písmen, kterou útočník prý jen tak lehce neodhalí. „Skákal pes přes oves“ bohužel nejsou náhodně poskládaná slova a používání prvních písmen ze slov je jen zcela předvídatelný trik.


Podle webu Have I Been Pwned se heslo Sppo v únicích dat již vyskytovalo 19×

Věděli jste, že operační systém počítače, telefonu, tabletu a jiného zařízení sám o sobě nezabezpečuje vůbec nic? Ale jestli „vůbec nic“ znamená všechny ty microsoftí UACy a Windows Defendery a gůglovo Play Protecty, applí Gatekeepery a XProtecty, tak to tak asi fakt bude. Hele, Měšec, pěkně prosím a smutně koukám, smažte celou tuhle bezpečnostní sabotáž.

Aktualizace: Na Měšec.cz dnes vyšel článek Petra Krčmáře Hesla neopakujte, neměňte si je a hlavně si je nepamatujte, který řadu mýtů o heslech vyvrací. Server Měšec.cz patří společnosti Internet Info, vydavateli Lupy.

Tři zásadní pra-vidle

„Všichni bez výjimky by však měli dodržovat alespoň tři zásadní pravidla. Tím prvním je mít všechna zařízení – a tedy i mobilní telefony – řádně zabezpečená kvalitním a aktualizovaným antivirovým programem. Zadruhé je potřeba mít silná hesla a pravidelně je měnit – ať už ta od zařízení, účtů, ale třeba i od karet. A zatřetí je nutné být na internetu stále v pozoru. Znamená to například neotevírat podezřelé e-maily a přílohy od neznámých adresátů,“ upozorňuje Hládek v článku na Seznamu.


Antiviry v mobilech, hmm. Víc se mi zamlouvá třeba Wultra, která dodává řešení pro bezpečnější mobilní bankovnictví i několika českým bankám (zjednodušeně jde o „antivir v mobilním bankovnictví“, podívejte se na případovky na blogu). Takže bych spíš doporučil, abyste instalovali appky jen z oficiálních zdrojů a abyste používali mobilní appku od vaší banky a doufali, že ta používá věci od Petra Dvořáka et al. Zabijete dvě až tři mouchy jednou ranou. A hlavně nezapomeňte včas a nejlépe automaticky aktualizovat své počítače a telefony a tablety a routery a žárovky a ledničky a televize.

Mít silná hesla a pravidelně je měnit je něco, co nejde dodržet. Každé heslo zcela jiné a napsané v notýsku (ne na monitoru nebo klávesnici), nebo ještě lépe ve správci hesel, a místo hesel aspoň věty, to vám pomůže mnohem víc. A přesně tady, a nejen tady, se uplatní v titulku zmíněné pravidlo:

Zabezpečení na úkor použitelnosti jde na úkor bezpečnosti. (Security at the expense of usability, comes at the expense of security.) Jeho autorem je Avi Douglen a je známé jako AviD's Rule of Usability.

Vytvoříte silné heslo, horko těžko si ho zapamatujete, a když už to dokážete, tak je na čase ho změnit. Tak si vytvoříte nějaké o fous horší, ale jednodušší na zapamatování. A příště zas a pak zas a zas. A ve finále máte hesla třeba PepaLeto19PepaPod­zim19PepaZima19PepaJa­ro20. Tím jste zcela úspěšně podminovali veškerou snahu zlepšit zabezpečení. Se správcem hesel je to pochopitelně o něco jednodušší, hesla si nemusíte pamatovat, ale v takovém případě je změna jednou za čtvrt roku v podstatě zbytečná.

Pravidelně měnit PIN? To je zcela určitě řešení problému někdo mi vokopíroval kartu na bankomatu a nahrál si moje PIN při zadávání a teď bude čekat než si ho za měsíc změním aby pak při pokusu o výběr mu ten původní PIN nešel a řekl si „himl hergot, donr vetr, krucajs, element, zas na mě vyzráli a stihli si to změnit dřív než jsem to zkusil“ Jen škoda, že kopírovači karet nejsou moc flákači. A to víte, že PIN je zkratka z Post-It Note? Nevíte, protože není, ale mnohé by to vysvětlovalo.

Neotvírat podezřelé e-maily? Jak poznám, že je podezřelý, když ho neotevřu? Neotvírat přílohy od neznámých adresátů? Pokud chcete sabotovat ekonomiku nebo slyšet šéfa si stěžovat svému šéfovi, že neděláte svou práci, tak s chutí do toho. Taky to vůbec neřeší situace, kdy viry rozesílají (nevědomky) vaši přátelé.

A pak se Česká bankovní asociace diví, že jejich poučky lidi vesele ignorují dál. Buď se nedají dodržet, nebo jsou k ničemu. Nebo obojí. Co se týká doporučení k počítačové bezpečnosti a bezpečnosti na internetu, prosím, radami asociace se neřiďte. Jsou to doporučení převážně vycucaná z prstu, a ne z dat.

Studio Nope

Tomáš Hládek v rozhovoru v České televizi pak dále doporučuje třeba tyhle lahůdky s datem spotřebujte do dávno v minulosti:

Doporučení je, aby to heslo bylo několikrát za rok vyměněno.

To je staré doporučení. Už pár let neplatí.

Mít silné heslo je kombinací malých, velkých písmen, čísílek, znaků.

Silné heslo je unikátní heslo, nepoužité nikde jinde. Nemělo by být ani podobné ostatním mým heslům. A jestli máte v heslu nějaká čísílka a znaky, to je méně důležité. S vytvářením i pamatováním hesel vám pomůže nějaký důvěryhodný správce hesel, můj oblíbený je 1Password.

A když vám někdo ovládne počítač, tak ví, kde hledat uložená hesla. (O ukládání hesel v browserech)

Když už mi někdo počítač nějak ovládne, tak si může počkat, až to heslo napíšu, aniž bych je měl někde uložená. Tahle situace nemá mnoho řešení, pokud vůbec nějaké. Viz první z Deseti neměnných zákonů počítačové bezpečnostiPokud vás mizera dokáže přesvědčit, abyste spustili jeho program ve vašem počítači, už to není pouze váš počítač.

To S v HTTPS znamená Secure, takže víte, že jde o někoho, kdo je opravdu nějakým způsobem registrován, ví se, co je to za provozovatele, a že dodržuje nějaká pravidla bezpečnosti na té síti.


Ne. Ne, ne, nene. NEEEEEEEE. Tohle je strašně špatná a nebezpečná rada… https://  na začátku webové adresy neznamená ani jedno z toho. (A to ani když vám prohlížeč ukáže nějaký název firmy.) Znamená to jen to, že spojení je nějak šifrované. Přijďte na mé školení HTTPS, já vám to tam vysvětlím a ukážu. Prohlížeče nápis https://  a zámečky postupně skrývají a tohle je jen potvrzením toho, že to je dobrý nápad – ani odborní poradci neví, co znamená ten zámeček a  https://.

Když vidíte nějaký e-shop, u kterého vidíte, že patříte mezi první uživatele…

No a proto jsou na těch fejkových e-shopech i fejková hodnocení, aby působily důvěryhodněji.

Přiznávám, že bych v životě nezadával údaje na otevřené Wi-Fi, protože nikdy nevíte, kdo sedí o místnost vedle a kdo vidí, co zadáváte a vidíte na vaší obrazovce. Lze odpozorovat, co se na síti snažíte dělat.

Umm, ne. Pokud banka nedokáže zajistit, aby se tohle nestalo, tak to nedokáže zajistit ani na „neotevřené“ Wi-Fi a jako lidstvo to můžeme na internetu celý zabalit. A to říkám i přesto (a možná právě proto), že již nějaký ten pátek problémy veřejných sítí a nešifrované komunikace demonstruji na přednáškách (i návštěvnících).

Tipli listopad2


Rozbolela mě tak strašně hlava, že jsem ani nedokázal přidat mnoho relevantních zdrojů a seriózních obrázků. Sorry.

Novináři, prosím, pokud někdy budete chtít vědět něco o heslech, něco vysvětlit, nebo se třeba jen zeptat na něco u „introvertního piva“ (já si doma jedno otevřu a vy u sebe doma taky), tak dejte vědět. Jsem tu pro vás ve dne v noci. A spíš teda v noci. Díky, že už příště podobné nebezpečné věci nebudete šířit.