Heslá v roku 2024? No predsa žiadne heslá! 

Smutné štatistiky 

Používanie hesiel ako takých predstavuje alfu a omegu pri uvažovaní o bezpečnom prístupe ku informačným systémom, či už si pod týmto systémom predstavíme online trhovisko, interný systém spoločnosti či internetové bankovníctvo. Rôzne mediálne kampane, ktoré sa snažia šíriť osvetu ohľadom bezpečného používania hesiel vo svetle čoraz častejších prienikov, ktoré boli do značnej miery zapríčinené “slabými heslami” nás však presviedčajú o tom, že zrejme budeme potrebovať oveľa viac ako prísne politiky hesiel, či osvetové kampane.  

Nedávna štúdia od Keeper Security [1] poukázala na fakt, že 75 % všetkých používateľov jednoducho ignoruje dobre mienené rady ohľadom bezpečnosti hesla a naďalej používajú slabé heslá. Navyše 64% používa ľahko uhádnuteľné heslá s len minimálnymi variáciami. Ak by už tento fakt sám o sebe nestačil tak Bitwarden [2] prišiel so štúdiou, ktorá hovorí, že 85 % používateľov má to isté heslo na rôznych stránkach. Toto predstavuje vodu na mlyn internetovým útočníkom, ktorým stačí získať jedno heslo používateľa a potom ho môžu skúšať aj na iných službách a s vysokou pravdepodobnosťou uspejú. Ak si myslíte, že už to byť horšie nemôže, tak na samotnom dne pomyselnej absurdity, čo sa “ne”komplexity hesla týka je, že najčastejšie používané heslo je “123456” podľa štúdie poskytnutej od NordPass [3]. Ani druhé najčastejšie heslo “password” na tom samozrejme nie je o nič lepšie.  

Ako by teda malo vyzerať bezpečné heslo? 

Téma bezpečného hesla je dlhodobo veľmi diskutovaná a neexistuje na ňu absolútne jednoznačný konsenzus. Jedno z odporúčaní je používať minimálne 12 znakové heslo, ktoré má kombináciu veľkých a malých písmen, znakov a číslic. Hoci tento prístup nie je vyslovene zlý a určite takýmto spôsobom môžeme vygenerovať bezpečné heslo, Microsoft TechNet blog však vysvetľuje, že zložitosť hesla (presnejšie jeho entropia) sa vyráta ako log(C) / log(2) x L kde C je veľkosť znakovej sady a L je dĺžka. Bez dlhého skúmania tohto matematického vzorca môžeme vydedukovať, že samotná dĺžka hrá v tomto vzorci, a teda aj v zložitosti celého heslá prím. Ako príklad si môžeme uviesť, že 12 znakové heslo je 62 trilión-krát ťažšie uhádnuteľné ako 6 znakové heslo. V skratke – čím dlhšie tým lepšie. Tento efekt si môžeme ukázať na nasledovnom prípade generovaných hesiel pomocou správcu hesiel – Bitwarden [4]. Ako znakovú sadu použijeme: malé a veľké písmená, špeciálne znaky, číslice [5]  

• 6 znakové heslo “8@vNMo” uhádnuteľné za 5 sekúnd 
• 8 znakové heslo “r%SpGa7X” uhádnuteľné za 8 hodín 
• 12 znakové heslo “4k3msBF#7B**” uhádnuteľné za 34 tisíc rokov 
• 16 znakové heslo “i&Ni$@mC$6mNJAT@” uhádnuteľné za 1 trilión rokov 

A čo by to bol za článok ohľadom trendov pre rok 2024 ak by sme nespomenuli AI? Niektoré špeciálne vytrénované AI modely vedia na základe kontextuálnych informácií predikovať aké heslá by boli vytvorené a je v tom prekvapivo efektívna. Samozrejme AI v tomto prípade nemusí uhádnuť heslo na prvýkrát, ale zredukuje možnú množinu hesiel, resp. navrhne množinu hesiel pre daného používateľa. AI navyše vie detegovať použité heslá len z odposluchu zvuku, ktorý vydáva klávesnica pri písaní hesla a to až z 95 % presnosťou [6] 

Ako sme si ukázali, vytvorenie komplexného (teda dlhého) a bezpečného hesla je kľúčové, ak sa nechceme stať jednoduchou obeťou internetových podvodov. Používatelia by si však navyše mali toto heslo pravidelne meniť a používať na jednotlivé služby vždy unikátne heslá. Ak si uvedomíme, že týchto služieb môžu byť nižšie desiatky, môže sa táto zo začiatku jednoduchá úloha zmeniť na poriadny oriešok. Zopár tipov a trikov, ktoré môžeme už dnes použiť pre manažovanie hesiel, no pritom ich stále udržiavať v bezpečí: 

Používanie správcov hesiel (tzv. password managerov) 

Jedná sa o špeciálnu triedu programov, ktorá ukladá naše heslá v špeciálnom trezore, ktorý je šifrovaný naším primárnym heslom. V takomto prípade si musíme pamätať len jedno heslo a to ktorým odomykáme správcu hesiel. Správca hesiel sa za nás postará o generovanie hesiel, ich dopĺňanie do formulárov či ich rotáciu. Tieto heslá sú potom generované pomocou vysokej entropie a nie je problém mať heslá, ktoré majú 32 či viac znakov. Navyše sú tieto programy už používateľsky veľmi prívetivé, obsahujú rozšírenie do všetkých systémov, platforiem či dokonca prehliadačov. Mnohé z nich sa predávajú za jednotky EUR či dokonca zadarmo.  

Samozrejme ani používanie správcov hesiel nie je bez rizika a aj tieto spoločnosti môžu byť hacknuté, o čom svedčí nedávny únik emailových adries od spoločnosti LastPass [7]. Toto riziko je však oveľa menšie ako riziko používania slabých hesiel, či opakujúcich sa hesiel na rôznych stránkach, či službách. Navyše toto riziko vieme eliminovať ak použijeme viacfaktorovú autentifikáciu (niekedy označovanú ako multifaktorová autentifikácia – MFA). 

Viacfaktorová autentifikácia 

V stručnosti si môžeme viacfaktorovú autentifikáciu predstaviť ako spôsob kedy pre prihlásenie použijem vždy aspoň 2 nezávislé prvky/elementy. Medzi tieto elementy momentálne radíme “niečo čo som – typicky biometrické overenie otlačkom, či tvárou”, “niečo čo viem – typicky heslo, či pin” a “niečo čo mám – typicky grid kartička, či mobilný telefón”. Veľmi dôležité je v tomto však slovo nezávislé. V takomto prípade by útočníkovi nepomohlo ani keby vám kompromitoval heslo (či už uložené v správcovi hesiel, alebo nie) pretože by nezískal druhý faktor. Takéto prihlasovanie sa dnes stalo de facto štandardom pre prihlasovanie do bankových systémov, alebo pri potvrdzovaní vyšších transakcií. Klasickým prípadom, kedy MFA absentovala bolo nedávne odcudzenie X (bývalého twitter) konta, ktoré patrilo Americkej komisii pre cenné papiere – SEC [8]. 

Kam sa teda uberá trend hesiel? 

Dovolím si tvrdiť, že pri správnom dodržiavaní vyššie uvedených odporúčaní by bola drvivá väčšina používateľov v bezpečí voči útokom miereným na zneužitie ich hesla. My používatelia sme však notoricky známi v nedodržiavaní bezpečnostných opatrení. Dokonca takmer jedna tretina sa cíti týmito informáciami preťažená [1].  

Tento fakt si začali uvedomovať aj bezpečnostní experti a aliancie, ktoré vydávajú bezpečnostné štandardy a na obzore sa objavuje pomerne sľubná technológia Passkey [9]. Passkey funguje ako autentifikácia bez hesla. Na overenie používa princípy asymetrickej kryptografie spolu s biometrickým overením. Pre jednoduchosť môžeme povedať, že sa na zariadení vygenerujú kľúčové páry, ktoré sa používajú na overenie voči danej službe. Overenie biometrickým otlačkom na telefóne potom tieto kľúče “odomyká”. Samotné kľúče sú potom zviazané so službou/doménou, a tak sa tento postup stáva rezistentný aj voči phishingovým útokom, pretože autentifikačný mechanizmus nebude pre podvrhnutú doménu/službu fungovať korektne.  

Bezheslový prístup predstavuje sľubnú budúcnosť v používaní hesiel resp. bezpečnostných prvkov v autentifikačnom procese. Samotná technológia je však vo svojich ranných fázach a jej implementácia je skôr ojedinelá. Verím však, že táto technológia naberie dostatočnú trakciu a využije tzv. sieťový efekt.  

Ako sme si ukázali, spoliehanie sa výhradne na tradičné heslá už jednoducho nestačí. Inovácie v oblasti viacfaktorovej autentifikácie, správcov hesiel či vznik bezheslových technológií, ako sú Passkey, nám ukazujú cestu vpred. 

Je dôležité, aby sme ako používatelia prijali tieto nové formy zabezpečenia a uvedomili si, že ochrana našich digitálnych identít je v našich rukách. Používanie silných, jedinečných hesiel, využívanie správcov hesiel a aktivácia viacfaktorovej autentifikácie by mali byť v roku 2024 a ďalej základom našich digitálnych návykov. 

Napriek technologickému pokroku a dostupnosti pokročilých nástrojov pre zabezpečenie je však stále najdôležitejšou súčasťou článku používateľ – vy. Vaše rozhodnutia, vaša ochota adaptovať sa a vaša ostražitosť sú kľúčové. Technológie ako Passkey a MFA nám môžu poskytnúť nástroje, ale bez vašej aktívnej účasti a angažovanosti ich potenciál zostane nevyužitý. 

Pamätajte, že v kybernetickej bezpečnosti nejde len o ochranu dát, ale o ochranu našej digitálnej identity a súkromia. Vyzývame vás, aby ste sa nezastavili len pri čítaní tohto článku, ale aby ste konali – aktualizujte svoje heslá, aktivujte viacfaktorovú autentifikáciu a začnite používať bezheslové možnosti tam, kde je to možné.  

 ZDROJE: Michal Srnec

[1] https://www.keepersecurity.com/password-management-report-unifying-perception-with-reality/ 

[2] https://bitwarden.com/resources/world-password-day/ 

[3] https://nordpass.com/most-common-passwords-list/ 

[4] https://bitwarden.com/ 

[5] https://www.security.org/how-secure-is-my-password/ 

[6] https://arxiv.org/abs/2308.01074 

[7] https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ 

[8] https://www.theguardian.com/technology/2024/jan/09/sec-twitter-account-hacked-bitcoin-etf-not-approved 

[9] https://passkey.org/