Unikla další hesla, co s tím?

V posledních měsících došlo k několika velkým únikům hesel a je téměř jisté, že k únikům hesel bude docházet i nadále.

Hesla konkrétně unikla ze serverů Gamigo (8.240.000), LinkedIn (6.500.000), Eharmony (1.500.000), Android Forums (1.000.000), Formspring (420.000), Yahoo Voice (400.000), Nvidia (400.000), IEEE.org (100.000) aj. Ano, čísla v závorce vyjadřují přibližný počet kompromitovaných účtů na daném serveru.

Uniklých několik miliónů hesel z výše uvedených serverů je důkazem, že byť existují nejrůznější doporučení, jak by mělo vypadat bezpečné heslo nebo passphrase, tak uživatelé přesto volí hesla velice slabá a tudíž snadno prolomitelná. Zajímavé vysvětlení, proč se někteří uživatelé chovají takto nezodpovědně, si můžete přečíst zde.

Aby však útočník vůbec mohl hesla lámat, tak se nejprve musí zmocnit databáze s hesly. Ve všech výše uvedených případech nemusel zneužívat žádné zero-day zranitelnosti, ale stačilo mu jen využít skutečnosti, že daný server nebyl správně nakonfigurován, neměl nainstalovány poslední patche, a kód webové aplikace obsahoval známé zranitelnosti.

A přitom se mnohým chybám ve webových aplikacích dalo poměrně snadno zabránit zavedením SSDLC, v rámci kterého je kladen důraz na bezpečné kódování a důkladné testování. I tak je ale vždy lepší počítat s tím, že se útočníkovi podaří nějakým způsobem zmocnit databáze, která obsahuje autentizační údaje uživatelů.

Z tohoto důvodu není vhodné ukládat hesla uživatelů do DB v otevřeném tvaru nebo jako prosté hashe, ale daleko lepší je použít nějaké bezpečnější autentizační schéma. V praxi se totiž bohužel ukazuje, že jen solit hesla nestačí, důvod, proč tomu tak je, je uveden zde.

U dobře zabezpečených služeb, jako je např. internetové bankovnictví, se útočník k přihlašovacím údajům tak snadno nedostane, a tak volí jiný způsob. Tím je nejčastěji phishing nebo malware, který se nachází přímo na počítačích a smartphonech nic netušících uživatelů, které jsou mnohem hůře zabezpečeny. V takovém případě pak nehraje komplexita hesel a jejich délka vůbec žádnou roli.

Pokud by uživatelé používali komplexní hesla nebo passphrase a ta by byla bezpečně uložena, bezpečně přenášena po síti, a bylo použito i bezpečné autentizační schéma, tak by je útočník neměl šanci prolomit. Všimněte si ale, že těch podmínek, které je nutné splnit, je docela dost a po několika desítkách let osvěty je zřejmé, že chování uživatelů se hned tak nezmění, a proto musí dojít k nějaké změně.