dnes je 23.11.2024

Input:

Hesla

15.6.2020, , Zdroj: Verlag Dashöfer

6.5.3.1
Hesla

RNDr. Dagmar Brechlerová, Ph.D., České vysoké učení v Praze, Fakulta biomedicínského inženýrství, Kladno

Úvod

S vývojem počítačů, vznikem elektronických datových souborů a elektronické komunikace vznikl zcela nový problém – jak zabezpečit data v elektronické formě. Vzhledem k tomu, že na rozdíl od hmotných objektů není problém data rozmnožovat vytvořením zcela identické kopie pouhými několika jednoduchými úkony, bylo nutno přijmout způsob, jak data ochránit a zároveň umožnit právoplatným majitelům přistupovat k těmto datům co nejjednodušeji. Je možno použít více způsobů zabezpečení, ale nejrozšířenějším se stala hesla díky univerzálnosti svého použití. V dnešní době pak představují zabezpečovací prvek, se kterým se většina lidí setkává prakticky denně. Hesla jsou jedním ze způsobů tzv. autentizace, a to stále nejvíce používaným.

Tak jako představují hesla virtuální klíč k rozmanité řadě informací, jejich prolomení představuje cíl pro značné množství jiných osob. Nemusí jít nutně jen o zloděje, snažící se prolomit heslo například do bankovního účtu. Může se jednat o novináře usilující dopídit se informací o nejnovější kauze, zhrzené partnery v lásce, kteří se snaží zjistit, zda je jejich polovička nepodvádí, konkurenci v pracovní oblasti, jež se snaží získat o svém soupeři cenné informace, či v některých případech o najaté experty, kteří se snaží v rámci špionáže získat klíčová data jiného státu, například výrobní tajemství.

Zdravotnická data jsou data velmi závažná, patří k tzv. citlivým datům. Tato data je nutno chránit velmi silně. Ať už se jedná o jakoukoliv záležitost, je nutné mít na paměti, že heslo představuje klíč, který čím je lépe střežen a čím je složitější, tím více znemožňuje potenciální zneužití dat. Heslo má za úkol zamknout data před nepovolanými zraky.

Mějme na paměti, že ač se sami můžeme pokládat za zcela neutrální stranu, o kterou potenciálně nemusí být vůbec zájem ze strany útočníků, skutečnost může být naprosto odlišná. Hodně uživatelů počítačů a dalších IT zařízení má natolik primitivní hesla či je natolik málo hlídají, že je mohou útočníci pomocí sociálního inženýrství, podloudných e-mailů či jiných technik snadno získat a pak využívat nejen data v přístroji, ale například cizí přístroj vzdáleně k šíření dalších podloudných zpráv či celé řady jiných aktivit. O tom bude pojednáno dále v textu.

Používání hesel

Heslem je v dnešní době nezbytné se prokazovat při celé řadě činností a při autentizaci nezbytné u rozličných elektronických přístrojů. Od odemknutí mobilního telefonu, přístupu k počítači, přihlášení do e-mailové schránky až po ověření uživatele při výběru peněz v bankomatu, všude je po nás vyžadována určitá informace, která má za úkol určit, zda ten, kdo ji zadává, je právě tím, kterému smí být umožněno takovou činnost provést.

V některých případech, například u zmíněného hesla do bankomatu, má potenciální útočník při kombinaci čtyř libovolných čísel velmi nízkou pravděpodobnost, že trefí správné součíslí, to vše navíc při omezeném množství pokusů a před kamerou, kterou dnes v sobě mají zabudovanou takřka všechny bankomaty. Proto útoky na bankomaty jsou prováděny jiným způsobem, například nainstalováním přídavného zařízení, které odchytává zadávané informace (tzv. skimming).

Když se však jedná o heslo, které nevede přímo k účtu s penězi, a navíc, může-li útočník využít speciální přístroj nebo specializovaný SW při získání hesla, jeho šance se rapidně zvyšují. Jak již bylo naznačeno v úvodu, většina uživatelů má pocit, že se nemohou stát cílem útoku a nemůže jim být například prolomeno heslo do nové e-mailové schránky. I kdyby si to čirou náhodou připouštěli, zatím tam nic nemají, tak proč by měli řešit složité heslo, když si místo něj mohou dát například oblíbenou kombinaci "12345" či jméno svého dítěte. Tento přístup je ovšem osudovou chybou. Do dané schránky může postupem času přicházet množství důležitých informací, pracovní korespondence, faktury, někdy i hesla a útočník může i pomocí zlomků informací obsažených v poště seskládat velmi detailní informace, které je možno zneužít.

Je proto nutno hned na začátku používání zvolit heslo, které je natolik komplikované, že nebude možno jej běžnými metodami prolomit.

Mezi skandály v oblasti úsměvně zvolených hesel patří například napadení úřadu syrského prezidenta Bašára al-Asada skupinou LulzFinancial, spadající pod hnutí Anonymous, která prolomila hesla e-mailů zaměstnanců úřadu a vyvěsila je na internetu. Skupině velmi usnadnilo práci, že minimálně 20 zaměstnanců používalo právě heslo "12345".

Jiný velmi známý incident z oblasti slabých hesel se odehrál na Slovensku v roce 2006, kdy zaměstnanci Národního bezpečnostního úřadu používali heslo "nbusr123" (Národní Bezpečnostní Úřad Slovenské Republiky 1 2 3), což je také fatálně slabá kombinace, kterou by odhalil i velmi chabě vybavený útočník a která je zcela nemyslitelná pro bezpečnostní složky státu.

Tvorba hesla

Dnes, kdy i levnější počítače či chytré telefony jsou ve své podstatě velmi výkonné výpočetní přístroje, je možné je využít ke generování hesel pro tzv. bruteforce či také slovníkový útok (pokud se používá seznam výrazů, které se zkouší): jednoduše zkoušet velké množství generovaných hesel jedno po druhém. Díky tomu je možné snadnější hesla prolomit jen pouhým postupným zadáváním různých výrazů. Tento typ útoku bude rozebrán společně s dalšími v následujícím textu, nicméně měl posloužit jako úvod pro kapitolu o tvorbě hesla a k tomu, aby bylo jasně naznačeno, proč například heslo "petr" není vhodné.

Při tvorbě hesla je většinou vymezen minimální počet znaků, obvykle bývá požadováno nejméně 8 znaků. S přibývajícími znaky samozřejmě klesá možnost prolomení náhodnými kombinacemi, neboť tím řádově vzrůstají počty kombinací, které by bylo nutno zadat.

Je proto dobré zvolit heslo pokud možno co nejdelší. Samozřejmě většina uživatelů pro vlastní pohodlí pravděpodobně nezadá heslo, které je dlouhé 40 znaků, nicméně například 10–12 znaků může být dostačující.

Je ideální vyhnout se jakýmkoliv existujícím slovům, v heslu by se neměla opakovat ani písmena, ani číslice, písmena by měla být jak malá, tak i velká a je obvykle možné použít i speciální znaky, například @, ! či ?. Tím se značně zvyšuje počet kombinací, které případný útočník musí vyzkoušet, aby se přes zabezpečení dostal. Je vhodné si vytvořit nějakou osobní mnemotechnickou pomůcku, pomocí které si uživatel heslo zapamatuje, která však bude obtížně odvoditelná pro útočníka. Tím ovšem není myšleno, že si smyšlený uživatel Petr narozený v roce 1980 zvolí heslo PeTr@1980. To je velmi snadno odvoditelné.

Test síly hesel si pak lze ověřovat na stránce http://www.passwordmeter.com/.

http://www.hammerofgod.com/passwordcheck.aspx

Znak zavináč v hesle není nutno zbytečně hledat na klávesnici, pro lehčí přístup je možné jej získat pomocí kombinace alt+64, tedy stisknout klávesu alt vedle mezerníku a v numerické části klávesnice (vpravo) či případně u notebooku na číselných klávesách stisknout po sobě 6 a 4. Tímto způsobem lze získat prakticky jakýkoliv znak, kombinacím pro tyto znaky se říká "alt kódy" a je možné se o nich dozvědět více na stránkách uvedených níže.

Podrobněji viz například http://www.ascii-codes.com/cp852.html, číslo v levém sloupci označuje číslo, které je nutno napsat při současném stisku klávesy alt (např. alt+14: ♫), nicméně je nutno si uvědomit, že ne všechny znaky lze vytvořit pomocí univerzálních kódů, neboť každý jazyk má jinou sadu znaků, a je tak možno dostat zcela odlišné výsledky například na americkém operačním systému. Zobrazená tabulka obsahuje kódy pro středoevropské jazyky. Všechny znaky až po číslo 127 by mělo být možné napsat na jakékoliv klávesnici, rozšířená tabulka od čísla 128 se pak může lišit. Je možno porovnávat výsledky dosažené pomocí tabulky se stránkou http://www.alt-codes.net/, která obsahuje anglické kódy.

Tabulka ukazující, jak je možno vytvářet pomocí čísel či kombinací speciálních znaků tvary podobající se běžným písmenům.

Další hrubou chybou je používání toho samého hesla stále dokola na všech stránkách a při všech příležitostech. Každá stránka by měla mít pokud možno svoje vlastní heslo, aby v případě, že například i daný majitel serveru či nějaký jeho zhrzený zaměstnanec data ukradne (a děje se tak poměrně často), uživatel přijde jen o heslo k dané konkrétní stránce a útočník, kterému by například zloděj heslo poskytl, beztak nebude mít šanci proniknout nikam dál. Je proto nutné najít i metodu, jak vytvářet kombinace odlišných hesel, například je možné přimíchat do hesla pár písmen z názvu stránky či přidat číslo označující počet písmen v názvu, tak aby došlo k pokud možno největšímu odlišení jednotlivých hesel na různých stránkách. Například náš uživatel Petr by si chtěl udělat schránku na webu Centrum.cz, půjde tedy a vytvoří heslo "5ChR4nK4@c7", značící, že se jedná o schránku a že ve jméně je na začátku písmeno C a název Centrum má bez domény .cz 7 písmen. Možností, jak získávat takovéto kombinace, je opět samozřejmě více, nemusejí vůbec vycházet z konkrétní stránky a záleží jen na uživatelově představivosti, jak se s tímto problémem vypořádá. Zde naznačený postup je pouze informativním příkladem, jak dosáhnout dostatečné komplikovanosti hesla a zároveň získat mnemotechnickou pomůcku. Díky ní by neměl být problém vzpomenout si na konkrétní heslo jakéhokoliv účtu bez nutnosti zpětného vyhledávání mezi starými zprávami, ve kterých bylo heslo zasláno při registraci na daný web.

http://www.hammerofgod.com/passwordcheck.aspx

Složitost rozdílných hesel ovšem souvisí s jejich účelem, je samozřejmé, že uživatel nepotřebuje mít komplikované heslo o dvaceti znacích u účtu diskusního fóra, kam se přihlásil třikrát v životě. Hesla na důležitých stránkách, jako je bankovní účet, e-mailová schránka, informační systém v nemocnici a další stránky, při jejichž napadení by mohly být následky poměrně citelné, je však nutno udržovat co nejsložitější, aby bylo v maximální míře znemožněno jejich potenciální prolomení. Obvyklé však u těchto systémů bývá spíše dvojfázové ověření, například nejen heslem, ale ještě tokenem či generátorem dočasných hesel, například pomocí aplikace Google Authenticator či nějaké podobné.

Obměna hesla

Používání toho samého hesla stále dokola bez alespoň občasné změny se může také stát osudným. Jedná se samozřejmě o záležitost, která většině uživatelů bude připadat zbytečná, nicméně se může například stát, že se přihlásí do své e-mailové schránky dejme tomu z počítače ve veřejné knihovně, který byl nezabezpečený a někdo do něj předtím nainstaloval například zařízení pro záznam stisknutých kláves (jinak známé jako keylogger) či sám uživatel nevědomky heslo uložil, případně zůstalo v paměti prohlížeče. Potenciální útočník se k němu nemusí dostat 5 minut po jeho zaznamenání, ale klidně třeba po měsíci tím, že na něj třeba náhodou narazí nebo si vybere v seznamu ukradených hesel právě toto.

Pokud by však došlo mezitím ke změně hesla, například obměnou jen několika znaků, bude dané heslo útočníkovi k ničemu a případná pohroma bude zažehnána.

Je proto vhodné čas od času změnit všechna hesla a při podezření na odcizení hesla neváhat a neprodleně změnit hesla, pokud možno opět zase všechna, případně alespoň ta důležitá (bankovní účet, e-mailové schránky, IS o pacientech,...).

Typy útočníků

Dávno zažitá představa, že kriminálník je potetovaný neinteligentní hrubián ve škrabošce, páčící dveře pomocí páčidla a následně odnášející lup v pytli, je dnes již poměrně překonaná. Zejména v oblasti IT může být pachatelem i vysokoškolsky vzdělaný profesionál, který se pouze dostal na scestí a využívá své široké znalosti k nekalým účelům. Vzhledem k nedávnému rozšíření legislativy se však pachatelem trestných činů souvisejících s prolamováním hesel a hackingem může stát celá řada dalších osob, ať už jednají vědomě, či si nejsou vědomy závažnosti svého počínání a pouze se například pokoušejí někomu dostat do účtu tipováním hesla.

V oblasti hackingu a prolamování hesel může být útočníkem prakticky kdokoliv, záleží na jeho motivaci a pochopitelně podle jeho znalostí a zkušeností v tomto počínání i na šíři škody, kterou může napáchat, nicméně i promyšlený útok amatérského útočníka může mít nedozírné následky. Motivace pro útok může být velice rozmanitá.

V trestním zákoníku je totiž od 1. 1. 2010 několik nových paragrafů týkajících se IT, nepovoleného přístupu do systému se týkají tyto dva:

§ 230 Neoprávněný přístup k počítačovému systému a nosiči informací

(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.

(2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a

  1. neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
  2. data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými,
  3. padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo
  1. neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat,

bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.

(3) Odnětím svobody na šest měsíců až tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 nebo 2

  1. v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, nebo
  2. v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat.

(4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán,

  1. spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny,
  2. způsobí-li takovým činem značnou škodu,
  3. způsobí-li takovým činem vážnou poruchu v činnosti orgánu státní správy, územní samosprávy, soudu nebo jiného orgánu veřejné moci,
  4. získá-li takovým činem pro sebe nebo pro jiného značný prospěch nebo
  5. způsobí-li takovým činem vážnou poruchu v činnosti právnické nebo fyzické osoby, která je podnikatelem.
  1. (5) Odnětím svobody na tři léta až osm let bude pachatel potrestán,
    1. způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu nebo
    2. získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu.

§ 231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat

(1) Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv podle § 182 odst. 1 písm. b), c) nebo trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává

  1. zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části nebo
  1. počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části,

bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo jiné majetkové hodnoty nebo zákazem činnosti.

(2) Odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán,

  1. spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny nebo
  2. získá-li takovým činem pro sebe nebo pro jiného značný prospěch.

(3) Odnětím svobody na šest měsíců až pět let bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu.

Zaměstnanec může chtít zneužít například systém elektronického obchodu, ve kterém pracuje, k tomu, aby si mohl objednat zboží výrazně pod cenou, a využije k tomu například ukradené heslo.

Student si bude chtít vyzkoušet načerno stažený program, jehož plná verze stojí několik desítek tisíc, a tak použije softwarový klíč, který získal z internetu. Následně se díky kontrolním mechanismům program přihlásí k serveru výrobce,

Nahrávám...
Nahrávám...