Heslo je podstatnou súčasťou našej digitálnej identity a musíme sa oň starať dôsledne a s láskou. Odomykáme si ním informácie, účty či služby a realizujeme platby. V prvý májový štvrtok na Svetový deň hesla si každoročne pripomíname, ako sa treba starať o našu bezpečnosť. Používanie hesiel v súvislosti s počítačmi uviedol do života Fernando J. Carbató a IT heslo má 60 rokov.

Na posilnenie kybernetickej bezpečnosti je dôležité, aby výrobcovia komunikovali s používateľmi. Napr. spoločnosť ASUS založila Poradenstvo spoločnosti ASUS na bezpečnosť produktov, kde pravidelne informuje o aktualizáciách programov a firmvérov pre konkrétne zariadenia. V októbri 2016 vznikla niečo ako sieň slávy. Do tejto verejnej databázy na webovej stránke ASUS zapisuje mená ľudí, ktorí včas upozornili na rizikové situácie a stali sa tak reportérmi bezpečnosti.

Od mačičiek po matematické modely

Obyvateľom digitálneho sveta netreba pripomínať naivitu hesiel, ako sú 123467 alebo QWERTY, prípadne lepenie žltých papierikov na displeje, používanie mien domácich maznáčikov, manželov, milencov a iných spriaznených osôb. Mnohé systémy a portály nás proste nepustia ďalej, keď zadáme slabé heslo. Pokročilé systémy zabezpečenia používajú aj na behaviorálnu analýzu používateľa, aby si overili, či prístup nebol kompromitovaný. Podozrivý pokus identifikujú napríklad s využitím geolokačných údajov či časového obdobia.

O kvalitu hesiel sa nám starajú v prvom rade matematické modely. Dokument Národného inštitútu štandardov a technológií (NIST) z roku 2016 Návod na elektronické overovanie priniesol odporúčania pre bezpečnostné systémy na úrovni administrátorov a implementáciu elektronickej autentifikácie. Tieto návody sa opierajú o metódy s algoritmickými výpočtami, ktoré merajú silu a účinnosti používaných hesiel. Ďalšou metódou, ktorá hodnotí kvalitu hesiel, je Meranie adaptívnej sily hesiel (Adaptive Password Strenght Meters) na princípoch Markovho modelu, čiže kolektívnej pravdepodobnosti jednotlivého charakteru v hesle v súvislosti s tým predošlým znakom. Tento model kvantifikuje silné heslá ako tie, ktoré majú dostatočnú dĺžku a menej pravdepodobné písmená, špeciálne symboly či číslice nasledujúce po sebe[1].

Šifrovanie aj biometria

Súčasťou bezpečnej komunikácie na internete sú šifrované protokoly masovo rozšírené od roku 1994. Bezpečnostné certifikáty TLS (Transport Layer Security) a SSL (Secure Socket Layer) šifrujú spojenie medzi serverom a internetovým prehliadačom používateľa. Vznikli koncom 80. rokov ako výsledok spolupráce bezpečnostných agentúr, korporácií a Národného úradu štandardov v USA a sú dnes štandardom na weboch, kde používatelia vkladajú citlivé údaje – platby kartou, prihlasovacie údaje.

Biometrické heslá, ktoré využívajú odtlačok prsta, tvár alebo hlas, zabezpečujú vysokú pravdepodobnosť pravdivej identifikácie oprávneného používateľa. Rokom 1995 sa začalo široké využitie biometrických identifikácií, keď sa na trh dostal prototyp zariadenia na rozpoznávanie zreničiek[2]..

Umelá inteligencia (AI) a kvantová bezpečnosť

Fyzické biometrické riešenia pracujú so zreteľnými a merateľnými charakteristikami časti tela – tvár, zrenička, DNA, odtlačok prsta alebo žily, ktoré transformujú do kódu zrozumiteľného systému AI. Behaviorálne biometrické heslá fungujú na rovnakom princípe a využívajú aj charakteristiky ako rytmus písania, spôsob komunikácie so zariadením, chôdza alebo práca s hlasom. Získané dáta sa šifrujú a ukladajú v zabezpečenej databáze a následne sa počas verifikácie a autentifikácie digitálne vzorkujú[3]. Bezpečnostné nástroje postavené na AI a strojovom učení sledujú niekoľko hodnôt: záverečné správanie (čím a ako ukončujeme náš úkon), správanie na sieti (s ktorými bodmi a ako reagujeme) a používateľské zvyklosti (čas prístupu, opakované využitie aplikácií, množstvo využívaných dát)[4].

Vývoj kvantových počítačov prináša na jednej strane efektívny nástroj na prelomenie hesiel a na druhej strane vývoj mimoriadne silných hesiel. Kvantový počítač so 4099 perfektne stabilnými qubitmi (kvantovými bitmi) môže zlomiť šifrované štandardy, ako je napríklad RSA-2048, v priebehu 10 sekúnd namiesto 300 triliónov rokov[5]. Našťastie, takýto kvantový počítač zatiaľ neexistuje.

[1] Yildirim. M. Encouraging users to improve password security and memorability.

[2] Mayhew, S. History of Biometrics.

[3] Madhavan, R. AI in Biometricsand Security – Current Business Applications

[4] Cavalancia, N. AI, machine learning in cybersecurity focused on behavior

[5] Baumhof, A. Breaking RSA Encryption – an Update on the State-of-the-Art

Značky: