V januári tohto roku odhalili bezpečnostní experti najväčší dataset uniknutých prístupových údajov v histórii. Tejto obrovskej databáze, ktorá obsahuje 26 miliárd záznamov, sa preto začalo hovoriť Mother of All Breaches (Matka všetkých únikov). Ako tvoriť bezpečné heslá a ako vo firme nastaviť efektívne pravidlá na ich vytváranie a správu?
Uniklo vaše heslo alebo heslo vašich kolegov na internet? Vzhľadom na masívny únik viac ako 26 miliárd záznamov je to veľmi pravdepodobné. Na darkwebe sa totiž objavili prihlasovacie údaje aj z takých veľkých služieb, ako je X (bývalý Twitter), LinkedIn, Netflix alebo Gmail. Pokiaľ k tomu pripočítame fakt, že používatelia využívajú často rovnaké prihlasovacie údaje aj k ďalším službám, v ohrození sú účty a dáta vo veľmi širokom rozsahu. Prístupy do firemných systémov nevynímajúc.
Aké zásady vo firme dodržiavať v rámci politiky bezpečných hesiel?
1. Stanovte jasné pravidlá pre heslá a prihlasovanie
Aby ste vo svojej firme posilnili bezpečnostné opatrenia v oblasti prístupových údajov, potrebujete mať k dispozícii jasne definované a zrozumiteľné pravidlá pre prácu s heslami a celkovo pre politiku prihlasovania. Zamestnanci by určite mali poznať požiadavky na nastavenie hesiel a predpisy pre ich ukladanie, ochranu aj správu na pracovných zariadeniach. Nezabúdajte ani na pravidelné celofiremné vzdelávanie na tému heslá a riziká s nimi spojené. V neposlednom rade by ste mali mať aj plán, ako budete reagovať v prípade kompromitácie hesiel.
2. Používajte iba silné heslá
Napriek tomu, že dnes existujú aj ďalšie spôsoby zabezpečenia, heslo je zatiaľ stále najpoužívanejším spôsobom prihlásenia. Preto je nevyhnutné, aby bolo bezpečné. Napriek všetkým odporúčaniam sa v pravidelných prehľadoch najpoužívanejších hesiel objavujú na popredných priečkach heslá ako „123456789“, „heslo“ alebo „password“. Bezpečné nie sú podľa expertov ani mená príbuzných alebo maznáčikov. Ľahko uhádnuteľné sú aj heslá obsahujúce adresu, dátum narodenia alebo rodné číslo. To všetko sú totiž ľahko dohľadateľné informácie.
Vyžadujte od svojich zamestnancov, aby používali na prístupy do firemných systémov dostatočne silné heslo – teda heslo skladajúce sa minimálne z 12 znakov. Ale napríklad spoločnosť Microsoft radí vytvoriť silné heslo zo 14 a viac znakov. Často sa odporúča kombinovať malé aj veľké písmená, číslice a špeciálne znaky, ale v zásade postačí, aby bolo heslo dostatočne dlhé.
Spôsobov, ako si vytvoriť bezpečné a zároveň zapamätateľné heslo, je mnoho. Jedným z nich je metóda Bruce Schneiera. Tá spočíva v tom, že si vymyslíte náhodnú vetu a podľa určitého kľúča si z nej vytvoríte heslo. Keď napríklad vezmete prvé dve písmená z každého slova vo vete „Kyberbezpečnosť je záležitosťou manažmentu“, vyjde vám heslo Kyjezama. K tomu pridajte vaše obľúbené číslo a špeciálne znaky a vytvoríte tak prihlasovaciu frázu, ktorá odolá mnohým útokom hackerov a zároveň sa dá ľahko zapamätať.
3. Používajte rôzne heslá do jednotlivých systémov
Od svojich zamestnancov by ste tiež mali vyžadovať, aby používali pre každú službu alebo firemný systém unikátne heslo. Tým odbúrate riziko, že sa útočník dostane s jedným heslom do viacerých služieb naraz.
4. Využívajte správcu hesiel
V takom prípade je prakticky jasné, že s desiatkami a možno aj stovkami služieb, ktoré dnes používame, je takmer nemožné si zapamätať ani rôzne múdro vymyslené frázy, nieto náhodne generované heslá. Môžete preto zaviesť vo firme aplikácie pre správu hesiel.
Tie umožňujú zamestnancom vytvárať a uchovávať silné a jedinečné heslá pre rôzne účty bez nutnosti si ich pamätať. Aplikácie navyše poskytujú ďalšie bezpečnostné funkcie, ako je dvojfaktorová autentizácia (2FA) alebo bezpečné zdieľanie prihlasovacích údajov. Ich používaním sa výrazne znižuje riziko kompromitácie hesiel a zároveň sa zjednodušuje proces prihlasovania.
Funkcionalitu uchovávania hesiel v sebe majú integrované aj prehliadače, na tie sa ale veľmi neoplatí spoliehať. Browsery totiž často prístupové údaje ukladajú pomocou jednoduchého textu. To znamená, že vo chvíli, keď by sa k vášmu prehliadaču (alebo niekoho zo zamestnancov) dostal hacker, mal by k prístupovým údajom okamžitý prístup.
5. Zaveďte dvojfaktorovú autentizáciu
Ďalšiu vrstvu zabezpečenia zaisťuje viacfázové overenie, ktoré je dnes už bežným štandardom mnohých služieb. Dvojfaktorové overovanie (2FA) vyžaduje po užívateľovi okrem niečoho, čo pozná (heslo), aj niečo, čo používateľ vlastní – napríklad mobilný telefón. Na ten pri pokuse o prihlásenie príde jednorazový kód z aplikácie alebo SMS. Pokiaľ služby, ktoré vo firme využívate 2FA umožňujú, odporúčame túto funkciu zaviesť a vyžadovať jej používanie naprieč celým podnikom.
6. Zvážte popri používaní hesiel aj ďalšie metódy overenia
Mnohé služby tiež začali využívať biometrické údaje – rad moderných telefónov má v sebe zabudovanú čítačku odtlačkov prstov alebo nástroj na skenovanie tváre. A prichádzajú aj nové, modernejšie metódy overenia, ako sú passkeys alebo behaviorálna biometrika.
Požiadavka na autorizáciu pomocou odtlačku prsta alebo skenu tváre, je štandardom u väčšiny subjektov bankového sektora. Veľa bánk napriek tomu stále používa heslo ako zálohu pre prípad, že používateľ nemôže biometrický prvok z nejakého dôvodu použiť. V budúcnosti by táto záloha mala úplne zmiznúť. Poslúžiť by k tomu mal štandard FIDO2, na základe ktorého vznikajú spôsoby prihlásenia bez hesiel.
Viete že…
FIDO2 štandard zaisťuje bezpečnejšie prihlásenie pomocou kryptografických kľúčov namiesto hesiel, čím znižuje riziko phishingu a krádeže hesiel. Používa biometrické údaje alebo fyzické bezpečnostné kľúče pre jednoduché a bezpečné overovanie používateľov.
Špeciálny druh ochrany poskytujú hardvérové kľúče. Tie vyzerajú ako USB kľúčenka a poskytujú zvýšenú úroveň bezpečnosti pre online účty a dáta tým, že pridávajú fyzický prvok k procesu overovania.
Ako forma dvojfaktorovej autentizácie tieto zariadenia ochraňujú pred kybernetickými hrozbami, ako je phishing alebo malware. Vďaka robustným bezpečnostným čipom, ktoré sú odolné proti fyzickým útokom, hardvérové kľúče ponúkajú solídnu ochranu v porovnaní s tradičnými metódami autentizácie. Ich použitie je vhodné najmä v prostrediach, kde je vyžadovaná vysoká úroveň zabezpečenia a kde je dôležitá ochrana pred sofistikovanými útokmi.
7. Zaveďte pravidlo o nezdieľaní hesiel
Vo firme by malo byť úplne zásadné stanoviť jasné pravidlá pre prácu s heslami, ktoré všetkým zamestnancom jasne dávajú najavo, že zdieľanie hesiel je prísne zakázané. Aj napriek všetkým odporúčaniam je zdieľanie prístupových údajov pomerne bežné. Podľa prieskumu spoločnosti Beyond Identity zdieľa svoje heslá na pracovisku vyše 40 % zamestnancov. Komu? Okrem iného kolegom z práce, dodávateľom, ale aj svojim rodinným príslušníkom alebo priateľom.
Ďalšie bezpečnostné riziko predstavuje posielanie hesiel prostredníctvom e-mailu, WhatsAppu, Messengeru či iných nešifrovaných a nezabezpečených komunikačných kanálov. Tieto metódy prenosu nie sú väčšinou šifrované end-to-end, čo znamená, že heslá môžu počas prenosu ľahko zachytiť a následne zneužiť kybernetickí zločinci. Z týchto dôvodov je nevyhnutné využívať bezpečné metódy na zdieľanie hesiel, ako sú správcovia hesiel ponúkajúci šifrované zdieľanie, ktoré chráni vaše dáta pred neoprávneným prístupom.
8. Upustite od častého menenia hesiel
Ešte donedávna platilo pravidlo, že by sa heslá mali meniť pravidelne. Tento mýtus vyvrátil americký Národný inštitút pre štandardy a technológie (NIST). Ich aktualizované pokyny naopak neodporúčajú časté obnovovanie hesiel, ktoré podľa nich viedlo k voľbe slabších hesiel a predvídateľným vzorcom pri ich tvorbe. Namiesto toho odporúčajú vytvárať komplexné heslá alebo heslové frázy a meniť ich iba v prípade podozrenia, že heslo uniklo a dostalo sa do nesprávnych rúk. To je možné overiť napríklad na stránke Have I been pwned.
Čo si z článku odniesť?
Na web unikla databáza s 26 miliardami údajov, je veľmi pravdepodobné, že sú medzi nimi aj heslá vaše a vašich zamestnancov.
Každá firma by mala mať jasne stanovenú politiku vytvárania, uchovávania a zdieľania hesiel.
Pre väčšiu bezpečnosť vo firme využívajte moderné spôsoby zabezpečenia prihlasovacích údajov. Základom by mala byť dvojfaktorová autentizácia, používanie správcov hesiel alebo využitie biometrických údajov.
Pravidelná zmena hesiel je mýtus, ktorý (nielen) vo firmách skôr škodí, než prispieva k väčšej bezpečnosti.
