Zneužitie hesla je jedným z najčastejších vektorov kybernetických útokov
Vyrieši to prístup „bez hesla“? Opýtali sme sa Chestera Wisniewského (ChW), hlavného bezpečnostného analytika spoločnosti Sophos.
Čo je podľa vás hlavným problémom hesiel ako vektora zabezpečenia?
ChW: Všetci to poznáme – heslá sa dajú ľahko skopírovať, ukradnúť a zabudnúť. Dobré heslá je neuveriteľne ťažké si zapamätať a spravovať a v neposlednom rade ich potrebujeme príliš veľa.
Je to veľmi ambiciózne, ale do akej miery môžeme očakávať svet bez hesiel?
ChW: Už dlho pracujeme na technológiách, ktoré zjednodušujú overovanie a zlepšujú spôsob overovania identity používateľa a lokality, na ktorú sa prihlasuje. Žiaľ, potrvá ešte dlho, kým z nášho života vymizne „staromódne“ heslo. Očakávam však, že väčšina veľkých technologických spoločností bude podporovať alternatívy k nemu a začne dôrazne nabádať používateľov, aby si zvolili bezpečnejšie a jednoduchšie technológie overovania. Tento prístup a súvisiace technológie už ponúkajú a podporujú spoločnosti ako Microsoft, Google, Facebook, Apple, Twitter a WordPress.
Kedy podľa vás prevládne tento typ riešenia?
ChW: Domnievam sa, a stav odvetvia to naznačuje, že väčšina veľkých poskytovateľov cloudových služieb začne v priebehu nasledujúcich 18 až 36 mesiacov vzdelávať používateľov a prechádzať na prostredie „bez hesla“.
Od čoho bude závisieť táto zmena prístupu k overovaniu totožnosti?
ChW: Ide o to, aby sa ľudia naučili tieto nové metódy a osvojili si ich. Mnohé z týchto služieb sú podporované reklamou, preto sa často stretávame s odporom voči prijatiu takýchto zmien a používatelia môžu byť odradení od používania takýchto služieb. Ak však budú všetci hlavní poskytovatelia konať spoločne, dúfajme, že sa nám podarí tento odpor prekonať.
Mal by existovať štandard, ktorý by riadil tento svet bez hesiel?
ChW: Takýto štandard už existuje, známy ako U2F, ktorý spravuje aliancia FIDO. Väčšina veľkých technologických spoločností je členom tejto aliancie a pri overovaní prechádza na štandardy FIDO2 a U2F.
Ako by malo vyzerať riešenie bez hesla?
ChW: V ideálnom prípade sa skladá z výrazu, ako je heslo, ale možno len z jedného dostatočne zložitého výrazu alebo dokonca z primerane dlhého kódu PIN, a zo zariadenia, ako je token USB alebo Bluetooth alebo telefón, ktorým sa prihlasujete z počítača. Cieľom je zabezpečiť, aby sa zariadenie, ktoré máte, nedalo použiť bez jeho „odomknutia“ a aby jednoduchá znalosť vášho hesla neumožnila niekomu z druhého konca sveta vydávať sa za vás.
Aké problémy alebo nevýhody vidíte v týchto alternatívach?
ChW: Najväčším problémom je, že najbezpečnejšie metódy vyžadujú, aby ste pri prihlasovaní vlastnili zariadenie na zvýšenie bezpečnosti. A v prípade straty tohto zariadenia môže byť ťažké ho obnoviť. V porovnaní so zadávaním slabého hesla môže byť aj pomalšie. S praxou sa však tieto problémy dajú vyriešiť a väčšie pohodlie, že nemusíte používať viacero hesiel, väčšina ľudí po čase ocení.
Sú používatelia pripravení žiť vo svete bez hesiel?
ChW: Nie som si istý, či sú pripravení, ale očakávam, že o výhodách sa bude diskutovať v skupinách rovesníkov a ich prijatie sa časom zvýši. Ak veľkí poskytovatelia služieb, ako sú Google a Facebook, zaujmú aktívnejší prístup k prihlasovaniu bez hesla, urýchli sa tým prijímanie nových autentifikačných riešení a verejnosť sa dozvie, ako tieto systémy fungujú a že sú bezpečnejšie a jednoduchšie ako používanie hesiel.
Ďakujeme za rozhovor!