„Cloudná“ hesla

Pro každou internetovou službu máme mít podle bezpečnostních doporučení samostatné a dostatečně složité heslo. Ale kdo si má pamatovat všechny ty desítky variant? Přece náš správce hesel. Více v článku našeho Business Analyst Martina Šlancara.

Heslo je asi nejčastějším způsobem přihlašování do různých podnikových a internetových služeb počínaje e-mailovou schránkou přes různé e-shopy až po sociální sítě či online hry. Při jeho volbě jsme často nuceni vymýšlet složité kombinace, musí obsahovat určitý počet znaků, zahrnovat číslice a speciální znaky. Nové heslo může také podléhat kontrole vůči slovníkům slabých a kompromitovaných hesel.

S variantou „heslo1234“ si tak většinou nevystačíme. Nejsme ale roboti a nedokážeme si zapamatovat desítky komplikovaných sestav znaků a písmen, takže v praxi většina z nás skončí u jednoho či několika hesel, která používáme pro přístup do všech internetových služeb.

To ale představuje bezpečnostní riziko. Útočníkovi stačí získat jedno heslo a pak již může zkoušet nejznámější internetové portály, zda se mu do nich nepodaří s ukradeným přístupovým klíčem přihlásit. Je-li úspěšný, může jménem původního vlastníka působit velkou neplechu.

Jak se proti tomu bránit? Právě tím, že budeme pro každou službu používat jedinečné a složité, no prostě kloudné heslo. A všechna si je uložíme do speciálního programu, který se označuje jako správce hesel. Ten uchovává ve speciální zašifrované databázi uživatelská jména, hesla a případně další citlivá data. Databáze je chráněna tzv. hlavním heslem. To jedno jediné pak stačí znát zpaměti.

Existuje několik druhů správců hesel. Jednak to jsou klasické programy v počítači či mobilním zařízení, které mají databázi uloženu v souboru. Existují i správci, kteří ukládají hesla do čipových karet či USB tokenů. A nakonec lze použít online služby, které ukládají hesla někam do cloudu. Takže ve finále disponujete těmi „cloudnými“ hesly.

Každá varianta má své výhody a nevýhody. Off-line správce hesel v počítači můžeme považovat za bezpečnější, protože máme databázi více pod svou kontrolou. Pokud ji ale chceme mít stále po ruce, zpravidla s sebou musíme tahat USB flash s kopií. U online verze pouze stačí spustit webový prohlížeč a ke svým heslům se dostaneme odkudkoliv, kde je připojení k internetu. Ale třeba takový LastPass má podle wikipedie za sebou již několik bezpečnostních incidentů, které nicméně autoři odstranili opravným patchem.

Správci hesel toho ale umí mnohem více než jen uchovávat přístupové kódy. Mohou umožnit vygenerovat nové kvalitní heslo, takže je nemusíme vymýšlet sami. K heslům lze přidávat i další informace a řadit je do kategorií pro lepší organizaci databáze.

A jak vypadá přihlašování pomocí správce hesel? Samozřejmě není nutné ručně přepisovat uložené heslo v databázi. Správci často umožňují alespoň zkopírovat uživatelské jméno a heslo do schránky (copy) a pak je snadno vložit do příslušných formulářových polí na login stránce (paste).

Funkce „autotype“ pak provede přihlášení kompletně za nás. Správce hesel se přepne do webového prohlížeče, do login stránky vloží přihlašovací údaje a stiskne tlačítko pro přihlášení. Jednoduché, ale přitom bezpečné. Nicméně i při používání správců hesel je potřeba být obezřetný. Jejich bezpečnost je postavena na utajení hlavního hesla. Když ho útočník zjistí a dostane se k databázi, má samozřejmě všechny vaše přihlašovací údaje jako na dlani.

Ing. Martin Šlancar, MBA
Business Analyst
NEWPS.CZ